Ransomware, also Erpressungs-/Verschlüsselungstrojaner wie Locky, Cerber, Teslacrypt & Co, sind den meisten schon ein Begriff. Jetzt ist mit Virlock ein neuer Vertreter der Ransomware aufgetreten. Sie verschlüsselt nicht nur Dateien infiziert diese auch mit Schadecode. Darunter sind auch Dateien betroffen, die der Nutzer per Cloudspeicher mit anderen Anwendern teilt. Wird der Cloudspeicher mit einem lokalen System synchronisiert, gelangt die Malware sogar automatisch auf weitere Rechner.

Sicherheitsforscher von Netskope haben die neue Variante der Ransomware Virlock entdeckt, die sich auch über Cloud-Storage und Collaborations-Anwendungen verbreiten. Vor allem in Unternehmen könnte so ein infizierter Nutzer ungewollt die Erpressungssoftware im gesamten Unternehmensnetzwerk verteilen.

Zum Beispiel zwei Anwender, die Zugriff auf einen gemeinsamen Ordner eines Cloudspeichers haben, dessen Inhalt wird automatisch mit ihren Rechnern synchronisiert wird. Wenn dann einer der Anwender Kontakt mit Virlock hat, werden seine lokalen Dateien infiziert und anschließend mit der Cloud synchronisiert. Klickt der andere Anwender schließlich auf eine Datei in dem Ordner an, wird Virlock unter Umständen auch auf seinem System ausgeführt.

Virlock ist bereits seit ca. 2 Jahren im Umlauf und nimmt bei Ransomware eine Sonderstellung ein, weil es die Dateien nicht nur verschlüsselt sondern auch mit Schadcode infiziert. Nutzer, die eine von Virlock verschlüsselte Datei öffnen, können sich so selbst mit der Malware infizieren, die dann deren Dateien verschlüsseln und mit Schadcode versehen.

Der typische Weg, wie Virlock auf einen Rechner gelangt ist über einen USB Stick oder eine externe Netzwerkfreigabe. Die Malware generiert drei ausführbare Dateien, von denen zwei die Aufgabe haben, andere Dateien zu infizieren. Virlock nimmt zusätzlich Anpassungen an der Registry vor, um die manuelle Entfernung der Schadsoftware zu verhindern.

Virlock verschlüsselt und infizierte Dateien erhalten automatisch die Dateiendung “exe”. Erst wenn die Verschlüsselung abgeschlossen ist, blendet es seine Lösegeldforderungen ein, die dem Nutzer im Namen von FBI oder US-Justizministerium den Einsatz von raubkopierter Software vorwirft. Als Lösegeld wird US $ 250 in Bitcoins verlangt, damit man wieder Zugriff auf seine Daten erhält.

Es empfiehlt sich auch wichtige Cloud-Dateien regelmäßig lokal zu sichern und auf Malware zu überprüfen.

Tags:

Comments are closed