Erpressungs-Trojaner RensenWare – Willst du ein Spiel spielen?

Ransomware – Und wieder taucht eine neue Version eines Erpressungs-Trojaner auf, die unter Umständen den Entschlüsselungsprozess selber einleiten kann.

Es erscheint eher als ein Witz, aber das Opfer hat es diesmal selbst in der Hand und kann durch Erspielung einer Punktzahl den entstandenen Schaden abwenden.

Der Erpressungs-Trojaner mit Namen “RensenWare” wurde von den Experten des MalwareHunter-Teams entdeckt und zeigt eigentlich auf wie kreativ die Malware-Entwickler mittlerweile vorgehen, um an das Geld der Anwender zu gelangen. Dennoch gehen die Experten davon aus, dass diese Ransomware nicht öffentlich verteilt wird.

TH12

Bild: bleepingcomputer.com – TH12

Bei Analysen und Tests der Ransomware-Probe zeigte sich, dass “RensenWare” sehr fehleranfällig ist und immer wieder beim eigentlichen Scannen der Laufwerke abstürzt. Nur durch Improvisation bekamen die Experten die Ransomware zur endgültigen Entfaltung. Dabei scannte der Trojaner das System nach bestimmten Dateitypen ab, welche dann über den AES-256 Algorithmus verschlüsselt und durch die Endung .RENSENWARE erweitert wurden. Seltsam fanden die Experten, dass weder die Volumenschattenkopien noch andere Wiederherstellungs-Optionen von der Ransomware gelöscht wurden – Gut für das Opfer.

Dateierweiterungen auf die es “RensenWare” abgezielt hat: .jpg, .txt, .png, .pdf, .hwp, .psd, .cs, .c, .cpp, .vb, .bas, .frm, .mp3, .wav, .flac, .gif, .doc , .xl, .xlsx, .docx, .ppt, .pptx, .js, .avi, .mp4, .mkv, .zip, .rar, .alz, .egg, .7z, .raw

Willst du ein Spiel spielen?

Hat “RensenWare” die Daten auf dem System verschlüsselt, wird eine ganz eigenwillige Erpressung gestellt. Über eine WARNUNG präsentiert sich Kapitän Minamitsu Murasa aus der Touhou Project, eine Serie von Schießspielen vom Team Shanghai Alice.

So verlangen die die Kriminellen, dass das Opfer im Spiel “LUNATIC Level of TH12 ~ Undefined Fantastic Object” mindesten einen Score von 0,2 Milliarden Punkten erspielt mit der Androhung, dass sonst die Dateien für immer verloren gehen.

Warning

Bild: bleepingcomputer.com – TH12 Warning

Erpresser-Warnung:

Laut den Experten ist das keine leere Drohung , so wird auch kein Wiederherstellungsschlüssel auf dem System abgelegt. Sollte manuell die Infektion vom Anwender entfernt werden wollen, gehen die Daten unwiederbringlich verloren.

Die aktive Malware sucht den Prozess “th12” des laufenden Spiels. Wird dieser erkannt, wird die Punktzahl und Höhe des Spiel-Niveau aus dem Prozessspeicher ausgelesen. Werden hier die nötigen 0,2 Milliarden Punkte erreicht, wird der Schlüssel ausgespielt und der Wiederherstellungsprozess auf dem System eingeleitet.

YouTube: Touhou 12 – Undefined Fantastic Object – Lunatic 1cc

Da die Entwickler mit “RENSENWARE” scheinbar nicht auf Bereicherung aus sind, wurde die “RensenWare” höchstwahrscheinlich nur als ein ein böser Scherz ausgespielt, oder zum Test und wir können uns auf ausgereiftere Versionen gefasst machen. Doch unabhängig von den Gründen, wird hier wieder veranschaulicht, auf welche innovative Art und Weise eine Ransomware entwickelt werden kann.

Sinnvolle Maßnahmen, wie Sie den Rechner vor Ransomware schützen können:

Bildschirmfoto 2014-10-20 um 13.00.59

Installieren Sie den HitmanPro.Alert. Dank der verbauten Funktion “CryptoGuard” erkennt unser Impfstoff auch Aktivitäten von Verschlüsselungs-Trojanern. Er schlägt immer dann an, wenn Dateien verändert werden sollen und wichtige Meta-Daten, wie z.B. die Eigenschaft ein Word-Dokument zu sein, verlieren. Um Sie vor der Verschlüsselung zu schützen, stoppt unser “Watchdog” den Prozess der hierfür verantwortlich ist und spielt die zuvor angelegten und im Arbeitsspeicher gehaltenen Sicherheitskopien der Dateien auf Ihre Platte zurück.

Können Sie Ihre verschlüsselten Dateien nicht einordnen, lesen sie hier>>

Maßnahmen die getroffen werden können, bevor Ransomware den Rechnerblindinfiziert.

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu das kostenfreie EaseUS Todo Backup an. Oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem Sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Ändern Sie die Standardeinstellung von Windows, welche die Datei-Erweiterungen ausblendet>>
  6. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  7. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  8. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac

Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers. Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen werden.