Ransomware Light auf falschen Pornoseiten

Als Ransomware werden schädliche Programme bezeichnet, die Dateien auf dem Rechner verschlüsseln. Kriminelle verlangen dann ein Lösegeld, damit die Dateien wieder entschlüsselt werden (vom engl. holding ransom = Geiselhaft/Erpressung). Solche Fallen erscheinen nun auch auf scheinbaren Pornoseiten, die schnell wieder verschwinden und mit neuer Adresse wieder auftauchen.

Die Bilderfalle

Die Falle kann eigentlich nur funktionieren, da in den meisten Windows-Systemen die Dateiendungen ausgeblendet werden. Windows möchte die Nutzer anscheinend davor schützen, bei der Umbenennung einer Datei aus Versehen die Dateiendung zu löschen, doch der Nachteil ist, dass es Kriminelle damit leichter haben, solche Fallen überhaupt aufzustellen.

Konkret poppt beim Aufrufen der Seiten, welche aussagekräftige Namen wie nude-girlss.mywire. org, sexyphotos. kozow. com oder sexy-photo. online haben (ihr braucht es gar nicht erst versuchen, diese Seiten wurden mittlerweile gelöscht!) ein Foto auf, welches man herunterladen soll.

Aber Achtung: Wenn die Dateiendung ausgeschaltet ist, sieht es so aus, als ob ein .PNG-Bildfile heruntergeladen wird, tatsächlich heißt die Datei aber beispielsweise SexyPhotosJPG.exe, ist also eine ausführbare Datei!

Nach Ausführung hat man Ransomware Light

Ist man nun so ~~geil~~ leichtsinnig ist, das „Bild“ herunterzuladen und damit die Datei zu starten (weil es ja sein könnte, dass sich dahinter der ersehnte Börsenbericht befindet), geschieht Folgendes:

Es werden die Dateien del.exe, open.exe, windll.exe, windowss.exe und avtstart.bat in den temporären Ordnet gelegt und ausgeführt
Die Datei windowss.exe erstellt weitere Dateien, inklusive einer windows.bat, die eine Vielzahl von Dateien umbenennt
Die windll.exe Datei legt ein Readme-File an, in dem weitere Informationen stehen

Die Dateien werden nur umbenannt!

Hinterher sehen mehrere Ordner auf dem Rechner so aus:

MIMIKAMA — Die umbenannten Dateien (Quelle)

Die Dateien tragen dann Namen wie Locked_20.Locked_fille, sind aber nicht verschlüsselt, sondern wurden nur umbenannt. Mit ein wenig Mühe und herumprobieren lassen sich wichtige Dateien also wieder per Hand herstellen, was allerdings je nach Anzahl der Dateien sehr mühsam sein kann.

Der „Erpresserbrief“

In jedem Ordner befindet sich dann auch eine Readme-Textdatei, in der weitere Informationen stehen:

MIMIKAMA — Der Erpresserbrief (Quelle)

In der Datei steht (fälschlicherweise), dass die Dateien verschlüsselt wurden und man innerhalb von sieben Tagen 300 Dollar per Bitcoin zahlen solle (das Lösegeld verdoppele sich nach drei Tagen auf 600 Dollar), ansonsten werden die Dateien dauerhaft gelöscht.

Die Dateien werden jedoch an keinen „Server“ gesandt, deren Originalnamen auch nirgendwo gespeichert! Selbst wenn man also das Lösegeld zahlt, bleiben die Dateien umbenannt!

Was kann ich tun, wenn mir das passiert ist?

Da gibt es nur zwei Möglichkeiten:

Entweder versuchen, durch Raten der Dateiendung wenigstens die wichtigsten Dateien durch Umbenennung wieder herzustellen
Oder das Betriebssystem wieder auf einen früheren Zustand zurücksetzen (Systemwiederherstellung)

Die zweite Methode funktioniert gut, da es sich nicht um echte Ransomware handelt, die sogenannte „Schattenkopien“ ebenfalls verschlüsseln würde.

Also dann doch lieber auf bekanntere Seiten gehen. Oder sich die Börsenberichte anschauen. Je nachdem, was erregender ist.

Artikelbild: Unsplash

Quellen:

Cyble, Bleeping Computer, PC Welt

Auch interessant: Aktuell kursiert eine E-Mail, die angeblich von einer Steuerberaterin stammt. Im Anhang der Nachricht befindet sich jedoch kein Steuerbescheid, sondern ein Trojaner, der Ihren Rechner oder Ihr Smartphone / Tablet mit einer Schadsoftware infizieren kann.
– Trojaner-Warnung: E-Mail mit Steuerbescheid

Anmeldung zum Mimikama-Newsletter

Unsere virtuelle Faktencheck-Bewertungsskala: Bei der Überprüfung von Fakten, in der Kategorie der „Faktenchecks„, nutzen wir eine klare Bewertungsskala, um die Zuverlässigkeit der Informationen zu klassifizieren. Hier eine kurze Erläuterung unserer Kategorien:

Rot (Falsch/Irreführend): Markiert Informationen, die definitiv falsch oder irreführend sind.
Gelb (Vorsicht/Unbewiesen/Fehlender Kontext/Satire): Für Inhalte, deren Wahrheitsgehalt unklar ist, die mehr Kontext benötigen oder satirisch sind.
Grün (Wahr): Zeigt an, dass Informationen sorgfältig geprüft und als wahr bestätigt wurden.

Unterstütze jetzt Mimikama – Für Wahrheit und Demokratie! Gründlicher Recherchen und das Bekämpfen von Falschinformationen sind heute wichtiger für unsere Demokratie als jemals zuvor. Unsere Inhalte sind frei zugänglich, weil jeder das Recht auf verlässliche Informationen hat. Unterstützen Sie Mimikama

Mehr von Mimikama

Kein Impfnotstand in Japan - Canva

Kein Impfnotstand in Japan

Lebensmittel wiegen weniger als angegeben – Was tun? / Bild: freepik

Lebensmittel wiegen weniger als angegeben – Was tun?

"Sicherheit vor Funktionalität": Strategiewechsel bei Microsoft - Canva

„Sicherheit vor Funktionalität“: Strategiewechsel bei Microsoft

Achtung: Comdirect-Phishing lockt mit photoTAN-Update

Achtung: Comdirect-Phishing lockt mit photoTAN-Update

Keine Studentenproteste: Ein Video zeigt Robert De Niro bei den Dreharbeiten zu einer Netflix-Serie

Keine Studentenproteste: Ein Video zeigt Robert De Niro bei den Dreharbeiten zu einer Netflix-Serie

Kinder und Jugendliche: Wie man gefährliche Websites erkennt / Artikelbild: Freepik

Kinder und Jugendliche: Wie man gefährliche Websites erkennt

Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)