Hitler RanomwareLeider kein Scherz, der Sicherheitsforscher Jakub Kroustek vom Anti-Viren Herstellers AVG sowie das Security-Blog Bleeping-Computer berichten über eine neue Ransomware, die sich selbst “Hitler-Ransonware” nennt. Die Ransomware ist selbst noch nicht im Umlauf, sondern wurde von den Forschern als unfertige Demo bzw. Test-Version entdeckt. Aktuell erkennt knapp die Hälfte aller Anti-Viren-Programme die Malware.
Laut Analyse ist diese Ransomware-Variante aktuell nicht in der Lage Daten zu verschlüsseln und damit auch keine Ransomware im klassischen Sinn. Die Malware entfernt zunächst die Datei-Endungen und spielt einen Sperrbildschirm aus, auf dem ein einstündiger Countdown läuft, welcher androht, innerhalb einer Stunde alle Daten zu löschen. Nach dieser Stunde findet zunächst ein “typischer” Windows System-Crash mit Blue-Screen statt. Beim anschließenden Reboot werden alle Dateien im Benutzer-Profil des jeweiligen Opfers gelöscht. Auf dem Sperrbildschirm selbst ist ein Bild von Adolf Hitler zu sehen, und darunter ein Text, wo das Opfer gebeten wird, für 25 EUR eine Vodafone Card zu erwerben und den Code einzugeben.

Einige Fakten deuten darauf hin, dass der Entwickler einen deutschen Hintergrund hat, da in einer Batch-Datei deutscher Text zu finden ist:

Das ist ein Test
besser gesagt ein HalloWelt
copyright HalloWelt 2016
:d by CoolNass
Ich bin ein Pro
fuer Tools für Windows

Wo möglich scheint der Ransomware-Autor auch aus dem rechten Umfeld zu stammen, da er wie viele “besorgte Bürger” oder Rechtsextreme im Internet Schwierigkeiten mit Grammatik und Rechtsschreibung hat, und deshalb die Hitler-Ransomware fehlerhaft auf dem Sperrbildschirm “Hitler-Ransonware” (mit N statt M), nennt. Auch die Bezahlung mit Vodafone-Karten in Euro ist eher ungewöhnlich, da vorherige Ransomware-Varianten eher auf die Bezahlung in Crypto-Währungen oder internationale Payment-Karten wie UKash gesetzt haben.

Taken from BleepingComputer.com

Bild: bleepingcomputer.com – Blue Screen of Death (CSRSS.exe)

Generell spricht einiges dafür, dass hier eher Amateure am Werk sind, die nicht in der Lage sind, eine “echte” Ransomware mit einer tatsächlichen Verschlüsselung zu erstellen. Man konnte bereits in der Vergangenheit verfolgen, dass diese Cyberkriminellen statt auf eine komplexe Verschlüsselung auf die technisch einfachere Variante des Löschens setzen und dabei als Trittbrettfahrer auf der Welle der “erfolgreichen und etablierten” Ransomware Autoren mitreiten.
Aktuell ist auch nicht bekannt, ob das Bezahlen der 25 EUR tatsächlich zu einer Entschlüsselung führt – bei einer ähnlichen Art von Trittbrett-Ransomware, RanScam, war dies zumindest nicht der Fall.
Der Internet-Experte David Ledbetter empfiehlt als aktuelle Schutzmaßnahme gegen diese von Malware, das Windows so zu konfigurieren, dass nach einem System-Crash kein automatische Neustart erfolgt. Anleitungen, wie man den Autostart nach einem Blue-Screen verhindert, findet man z.B. hier (auf Englisch).
Wir empfehlen zudem als allgemeinen Schutz vor Ransomware und Malware den Einsatz eines Anti-Viren-Programms, das zeitnahe Einspielen von Updates sowie das regelmäßige Erstellen von Backups.
Quelle: https://www.bleepingcomputer.com/news/security/development-version-of-the-hitler-ransomware-discovered/
UPDATE: Auf Youtube gibt es jetzt ein Video, welches den Angriff der Hitler-Ransomware auf einem Windows-PC zeigt.
[su_youtube url=”https://www.youtube.com/watch?v=7f_2BDXJw8U”]