Merry X-Mas Ransomware überbringt keine Weihnachtsgrüsse!

Hoppla, da kommt die erste Ransomware im noch jungen Jahr 2017 auf uns zu. Noch in weihnachtlicher Erscheinung, überbringt uns der “Merry X-Mas” Erpressungs-Trojaner nachträglich Weihnachtsgrüsse, aber alles andere als schöne Geschenke in 2017 – ALL COMPUTER DATA ENCRYPTED!

Die Merry Christmas Ransomware wurde von den Experten @dvk01uk und @Techhelplistcom entdeckt, wobei diese sicherlich schnell festgestellt haben, dass die Ransomware nicht von den Gehilfen des Weihnachtsmanns ausliefert wird. Vielmehr wird der Trojaner über Spam-Kampagnen, vorgeblich im Namen der “Federal Trade Commission” unter die breite Masse gebracht. In der Spam-Mail geht es um einen vermeintlichen Verstoß gegen das Kreditschutz-Verbrauchergesetz mit einer eingebetteten Verlinkung zum eigentlichen Beschwerdeschreiben.

Bild:bleepingcomputer.com Spam-Mail im Namen der Federal Trade Commission

Wenn der Empfänger auf diesen Link klickt, wird eine ZIP-Datei heruntergeladen, welche die Datei “complaint.pdf.exe” enthält. Da Windows in den Standardeinstellungen die Erweiterungen der Dateien ausblendet, sieht der Anwender nur die “complaint.pdf” -Datei und wird diese in der Regel auch öffnen wollen. Sobald die Datei gestartet wird, nimmt das verheerende Spiel im Hintergrund des Systems, unbemerkt von Anwender und der Sicherheitssysteme seinen Lauf.

Laufwerke und Partitionen werden gescannt und gesammelte Informationen des Benutzers wie z.B. Computername, laufende Prozesse, installierte Programme, die lokale Zeit und verschiedene Hardwareinformationen des Computer an die von den Kriminellen befehligten Systeme gesendet. Anschließend werden gezielt Datei-Erweiterungen auf dem System verschlüsselt (Fabian Wosar Dateiendungen), wobei die Merry X-Mas-Ransomware je nach Variante die Daten mit PEGS1, .MRCR1 oder .RARE1 ergänzt. In jedem Ordner mit verschlüsselten Daten hinterlegt der Trojaner seine Erpresser-Meldung, die zudem mit dem Autostart von Windows verknüpft wird. Mit jedem Neustart des Rechners ist somit das Erscheinen der Erpresser-Meldung gewährleistet.

Bild:bleepingcomputer.com – Erpresser-Meldung der Merry Christmas Ransomware

Diese Lösegeldwarnung der Kriminellen enthält einen ablaufenden Timer mit die Warnung “TIME AFTER ALL WILL BE DELETED” und setzt die Opfer zusätzlich unter Druck, möglichst schnell zu handeln. Über angegebene Kontaktdaten, wie dem Messenger “Telegram” oder per E-Mail soll das Opfer mit dem Entwickler in Verbindung treten, um weitere Zahlungsmodalitäten zu bekommen.

YouTube: BleepingComputer  – Merry Christmas or Merry X-Mas Ransomware Demonstration

Zu diesem Zeitpunkt gibt es keine Möglichkeit die verschlüsselten Dateien kostenlos zu entschlüsseln, aber der Krypto-Experte Fabian Wosar ist guter Dinge, dass hoffentlich schnell eine Entschlüsselung Methode für die “Merry Christmas Ransomware” gefunden werden kann.

Kommen Sie der Lösegeldzahlung niemals nach – Angst und Einschüchterung ist die Motivation der Kriminellen: Wir von Botfrei schließen uns der Meinung des BSI, dem BKA und Polizeibehörden an und raten dringend davon ab, Lösegeld an die Cyberkriminellen zu bezahlen!

Sinnvolle Maßnahmen, wie Sie den Rechner vor Ransomware schützen können:

Bildschirmfoto 2014-10-20 um 13.00.59

Installieren Sie den HitmanPro.Alert. Dank der verbauten Funktion “CryptoGuard” erkennt unser Impfstoff auch Aktivitäten von Verschlüsselungs-Trojanern. Er schlägt immer dann an, wenn Dateien verändert werden sollen und wichtige Meta-Daten, wie z.B. die Eigenschaft ein Word-Dokument zu sein, verlieren. Um Sie vor der Verschlüsselung zu schützen, stoppt unser “Watchdog” den Prozess der hierfür verantwortlich ist und spielt die zuvor angelegten und im Arbeitsspeicher gehaltenen Sicherheitskopien der Dateien auf Ihre Platte zurück.

Können Sie Ihre verschlüsselten Dateien nicht einordnen, lesen sie hier>>

Maßnahmen die getroffen werden können, bevor Ransomware den Rechnerblindinfiziert.

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu Clonezilla an, oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Officenicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Ändern Sie die Standardeinstellungen von Windows der die Datei-Erweiterungen ausblendet>>
  6. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  7. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  8. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac

Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers. Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen werden.

Bild:bleepingcomputer.com