Die Ransomware DetoxCrypto gibt sich als PokemonGo aus

wp_ransomware_pokeUnd wieder haben Experten eine neue Version einer Windows-Ransomware entdeckt, die diesmal gleich in verschiedenen Versionen auf die Rechner der Benutzer ausgespielt werden kann.

Dabei beobachtete das MalwareHunterTeam, dass die Ransomware mit Namen “DetoxCrypto” im ersten Versuch als Screenshot des Windows-Desktop in Erscheinung tritt und zum anderen die Welle über das populäre PokemonGo-Spiel nutzt, um die Benutzer in die Falle zu locken.

Angeblich soll der Erpressungs-Trojaner “DetoxCrypto” als Teil eines Affiliate-Programmes oder über Webseiten im Darknet verbreitet werden. Dabei entdeckten die Experten immer wieder Varianten mit anderem Aussehen, E-Mailadressen und angepassten Funktionen. Zum Beispiel tritt eine Version mit Erscheinungsbild des Pokemon “Pikachu” auf und eine andere Version machte ein Bild des aktiven Windows-Bildschirms des befallenen Systems, wobei entsprechend die Erpresserbiefe zur jeweils ausgelieferten Version angepasst wurden.

Youtube: BleepingComputer – DetoxCrypto Ransomware with Pokemon Wallpaper and Music

Obwohl die Experten noch nicht ganz genau wissen, über welche Wege die Ransomware “DetoxCrypto” verteilt wird, ist ihnen u.a. eine ausführbare Datei mit Namen “Pokemongo.exe” in die Hände gefallen. Wenn diese gestartet und auf dem System aktiv wurde, fing das verheerende Spiel auch schon an. Wie üblich bei Ransomware-Trojanern, werden alle Daten auf dem infizierten System, hier über den AES-Algorithmus, verschlüsselt. Während die Bildschirmsperre großflächig mit weiteren Instruktionen erscheint, wird im Hintergrund Musik als Audio-Datei abgespielt.

Das Opfer soll über die Email-Adresse “motox2016@mail2tor.com” weitere Zahlungsinformationen von den Kriminellen anfordern. Dem wird durch Setzen eines Timers Nachdruck verliehen, der nach 96 Stunden und Ausbleiben der Zahlung alle verschlüsselten Daten de Opfers vom Rechner unwiederbringlich löscht.

Beispiel eines Erpresserbriefs der Pokemon-Variante:

We are all Pokemons

YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED AND A UNIQUE UNLOCK KEY IS GENERATED !!

YOU CAN ONLY UNLOCK YOUR FILES BY BUYING THIS KEY FROM US, THERE IS NO OTHER WAY TO SAVE OR UNLOCK YOUR FILES !!

HOW TO UNLOCK MY FILES ?

You need to send 2 Bitcoins to our Bitcoin Wallet address.
To get the Wallet address contact us at : contact365@mail2tor.com

WE RECOMMEND TO BUY BITCOINS HERE : WWW.LOCALBITCOINS.COM

Register and buy Bitcoins with PayPal, Skrill or find someone who sells Bitcoins Locally by entering your City and select CASH in person as Your paying option.

TO SAVE TIME YOU CAN GIVE THE SELLER OUR BITCOIN ADDRESS AND HE CAN SEND THE BITCOINS TO US DIRECTLY.

AFTER WE RECEIVE THE PAYMENT WE WILL SEND YOU THE UNLOCK KEY TO THE EMAIL YOU CONTACTED US FROM.

** Act fast because ALL YOUR FILES WILL BE DELETED IN 96h **
** IF YOU DELETE THIS PROGRAM ALL YOUR FILES WILL BE DELETED FOREVER **

Bislang ist eine Wiederherstellung der verschlüsselten Daten nicht möglich.

Angst und Einschüchterung ist die Motivation der Kriminellen: Wir von Botfrei schließen uns der Meinung des BSI, dem BKA und Polizeibehörden an und raten dringend davon ab, Lösegeld an die Cyberkriminellen zu bezahlen!

Maßnahmen die getroffen werden können, bevor Ransomware den Rechner blindinfiziert.

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu Clonezilla an, oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht aufintegrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  6. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  7. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac
  8. Verhaltensbasierter Antiviren-Schutz wie der Malwarebytes Anti-RansomEmsisoft Anti-Malware und HitmanPro.Alert von Surfright bieten einen starken Schutz gegen aktuelle und künftige Bedrohungen von Ransomware.
Können Sie Ihre verschlüsselten Dateien nicht einordnen, lesen sie hier>>

Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers.

Darauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden!

Bild: bleepingcomputer.com;