Neue Python basierte Ransomware entdeckt

wp_fsocietyUnd wieder ist den Sicherheits-Experten eine Ransomware mit Namen “Fsociety Locker” in die Netze gegangen. Anders als viele andere Varianten der Erpressungs-Trojaner, wurde diese Ransomware  in der Scriptsprache Python geschrieben. Dabei muss der Autor der Ransomware offensichtlich ein Fan der amerikanische Fernsehserie “Mr. Robot” sein, da der Erpressungs-Trojaner mit dem Bild der anarchistischen Untergrundorganisation “Fsociety” in Erscheinung tritt.

Diese Ransomware-Variante “Fsociety Locker” ist noch eine der wenigen Beispiele von Python basierter Ransomware, die Experten in freier Wildnis entdeckt haben. Dennoch wird denn Experten schon jetzt klar, aufgrund leichter Erlernbarkeit der Script-Sprache und raschen Entwicklung entsprechend funktionierenden Codes, vermutlich jetzt ein neuer Trend bei der Malware-Entwicklung eingeläutet wird.

Die Python Ransomware “Fsociety Locker” bringt einige gefährliche Funktionen mit, die in früheren Versionen so noch nicht enthalten waren. Dazu gehören Funktionen u.a. wie, dass infizieren von eingebunden Netzlaufwerken, das Erkennen von virtuellen Maschinen und Download und Installation von weiteren Schadcode.

Welche Dateien werden von dem “Fsociety Locker” verschlüsselt? 

Nachdem die Ransomware auf das System gelangt ist (die genauen Infizierungswege sind noch nicht bekannt), werden die lokalen Laufwerke von “c: – z:” überprüft, auch eingebunden Netzlaufwerke bleiben nicht verschon. Dabei bringt der Fsociety Locker eine breite Palette an Dateierweiterungen mit und macht auch nicht vor schon bereits verschlüsselten Dateien (Bild: Ransomware Erweiterung .locky ) Halt, sondern verschlüsselt diese nochmals im AES-Algorithmus mit hartcodiertem Schlüssel. Nach der Verschlüsselung werden die Dateinamen mit “.fs0ciety” erweitert.

Bildschirmfoto 2016-09-05 um 14.30.01

Liste der Dateierweiterungen

Im Normalfall erscheint nach erfolgreicher Verschlüsselung eine flächendeckende Warnmeldung – bzw. über in einem geöffneten Browserfenster die Warnmeldung der Erpresser – mit der Forderung eines Lösegeld der Summe X innerhalb einer bestimmten Zeitvorgabe. Laut den Experten sind im Code diverse Funktionen für die Warnmeldung enthalten, dennoch scheint “Fsociety Locker” nicht richtig zu funktionieren, sodass nur zum Teil eine Meldung erscheint, allerdings mit Fehlern und ohne Zahlungsinfomationen. Eine etwaige Zahlungsbereitschaft des Opfer würde hier im Vorfeld zunichte gemacht.

Bildschirmfoto 2016-09-05 um 16.01.10

Unvollständige Warnmeldung

Die Ransomware “Fsociety Locker” wurde bereits geknackt – Vertrauen Sie niemals den Versprechungen, denn Kriminelle wollen nur Ihr Geld. Wir von Botfrei schließen uns der Meinung des BSI, dem BKA und Polizeibehörden an und raten dringend davon ab, Lösegeld an die Cyberkriminellen zu bezahlen!

Gibt es Möglichkeiten die verschlüsselten Dateien wiederherzustellen?

Ja, es gibt eine Lösung die verschlüsselten Dateien einzeln bzw. komplette in einen Ordner wiederherzustellen. Scheinbar handelt es sich hier um eine Testversion der Malware, sodass die Experten mit dem von Michael Perna auf GitHub abgelegten Script und dem Schlüssel “123456789123456” die Daten erfolgreich wieder entschlüsseln konnten.

Fazit: Derzeit scheint “Fsociety Locker” noch in einem frühen Entwicklungsstadium zu sein, dennoch äussert sich jetzt schon mit seinen Funktionen als brandgefährlich. Es ist durchaus möglich, dass in naher Zukunft neue Ransomware-Varianten in Python oder anderen Scriptsprachen geschrieben werden um Plattform (Linux, MacOS usw.) unabhängig zu sein und auf diverse Gegebenheiten zu reagieren. Warten wie es ab.

Brauchen Sie Hilfe bei der Entschlüsselung? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers. 

Drauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden!

Maßnahmen die Sie jetzt treffen können, bevor Ransomware den Rechner infiziert.blind

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu Clonezilla an, oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  6. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  7. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac
  8. Verhaltensbasierter Antiviren-Schutz wie der Malwarebytes Anti-RansomEmsisoft Anti-Malware und HitmanPro.Alert von Surfright bieten einen starken Schutz gegen aktuelle und künftige Bedrohungen von Ransomware.

Können Sie Ihre verschlüsselten Dateien nicht einordnen, lesen sie hier>>

Bild: bleepingcomputer.com