RanScam – betrügerische Ransomware

wp_ranscamDie Cisco-Sicherheitssparte Talos warnt aktuell vor einer Malware mit dem Namen “Ranscam”. Diese gibt sich als Verschlüsselungs-Trojaner aus, um an das Lösegeld seiner Opfer heranzukommen. Dabei macht sich “Ranscam” den Ruf von Ransomware bzw. Crypto-Trojaner zu nutze und taucht mit flächendeckender bedrohlich wirkender Sperrmeldung auf den Bildschirmen der infizierten Systeme auf. Wie üblich bei Ransomware, soll das Opfer hier ein Lösegeld in Höhe von 0.2 Bitcoins (ca. 120 Euro) für die Wiederherstellung der verschlüsselten Dateien an die Kriminellen bezahlen.

Mit der Meldung: ‘Ihr Computer und die Dateien wurden verschlüsselt’ , werden die Opfer von “Ranscam” eingeschüchtert.

Bildschirmfoto 2016-07-15 um 10.36.15

Warnmeldung des Ranscam

Die Experten fanden allerdings heraus, das die Malware “Ranscam” die flächendeckende Sperrmeldung bloß vortäuscht, um an das Geld der Opfer heranzukommen. Analysen haben jedoch gezeigt, dass die “Ranscam” keine Ransomware ist, denn Sie ist weder in der Lage  Daten zu verschlüsseln, noch diese wiederherzustellen. Dennoch richtet sie große Schäden auf den infizierten Systemen an.

So hält die Malware “Ranscam” einige gefährliche Funktionen für seine Opfer bereit. Über Powerscript wird z.B. das Bild des Sperrbildschirms aufgerufen und im Hintergrund werden andere schädliche Funktionen gestartet:

Bildschirmfoto 2016-07-15 um 13.46.05

  • Es werden alle Windows-Dateien, die für die System-Wiederherstellung benötigt werden, entfernt.
  • Alle Schattenkopien werden gelöscht.
  • Ranscam verhindert durch das Löschen diverser Keys in der Registrierung, dass der abgesicherten Modus gestartet werden kann.
  • Der Aufruf des Taskmanagers wird unterbunden.
  • Tastatureingaben werden deaktiviert.
  • u.a.

blind
Ein weiterer Prozess, den Ranscam auf dem System ausgeführt wird, ist ein System-Scan, bei dem Inhalte der Benutzer-Ordner komplett gelöscht. Damit keine Wiederherstellung z.B. über Schattenkopien gestartet werden können, werden zudem wichtige Systemdateien entfernt. Auch wenn das ein oder andere Opfer gewillt ist, der Lösegeldforderung nachzukommen um Daten aus der angeblich versteckten Partition wiederherzustellen, geht man hier leer aus. Es erscheint eine Meldung, welche behauptet dass keine Zahlung geleistet wurde und noch weitere Dateien gelöscht werden.

Mit Ramscam ist eine neue Art von Schadsoftware aufgetaucht, die das inzwischen vorhandene Vertrauen bei Ransomware-Betreibern ausnutzt, welche bei der Zahlung des Lösegeld tatsächlich Daten wieder entschlüsseln.

Vertrauen Sie niemals den Versprechungen, denn Kriminelle wollen nur Ihr Geld. Wir von Botfrei schließen uns der Meinung des BSI, dem BKA und Polizeibehörden an und raten dringend davon ab, dass Lösegeld an die Cyberkriminellen zu bezahlen!

Opfer die mit der Malware “Ranscam” infiziert wurden, sollten die Festplatte formatieren und das Betriebssystem neu installieren.

Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers.

Darauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden!

Maßnahmen die getroffen werden können, bevor Ransomware den Rechner infiziert.blind

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu Clonezilla an, oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  6. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  7. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac
  8. Verhaltensbasierter Antiviren-Schutz wie der Malwarebytes Anti-RansomEmsisoft Anti-Malware und HitmanPro.Alert von Surfright bieten einen starken Schutz gegen aktuelle und künftige Bedrohungen von Ransomware.

Können Sie Ihre verschlüsselten Dateien nicht einordnen, lesen sie hier>>

Bild: blog.talosintel.com

2 thoughts on “RanScam – betrügerische Ransomware”

  1. Mit dem Aktivitätsmonitor hebelt Kaspersky ja im Allgemeinen Ransomware relativ leicht und effektiv aus. Wie verhält es sich hier? Greift Kaspersky hier auch? Wisst ihr da was?
    Vielen Dank & liebe Grüße, Enrico

Kommentare sind geschlossen.