Als Ransomware werden schädliche Programme bezeichnet, die Dateien auf dem Rechner verschlüsseln. Kriminelle verlangen dann ein Lösegeld, damit die Dateien wieder entschlüsselt werden (vom engl. holding ransom = Geiselhaft/Erpressung). Solche Fallen erscheinen nun auch auf scheinbaren Pornoseiten, die schnell wieder verschwinden und mit neuer Adresse wieder auftauchen.

Die Bilderfalle

Die Falle kann eigentlich nur funktionieren, da in den meisten Windows-Systemen die Dateiendungen ausgeblendet werden. Windows möchte die Nutzer anscheinend davor schützen, bei der Umbenennung einer Datei aus Versehen die Dateiendung zu löschen, doch der Nachteil ist, dass es Kriminelle damit leichter haben, solche Fallen überhaupt aufzustellen.

Konkret poppt beim Aufrufen der Seiten, welche aussagekräftige Namen wie nude-girlss.mywire. org, sexyphotos. kozow. com oder sexy-photo. online haben (ihr braucht es gar nicht erst versuchen, diese Seiten wurden mittlerweile gelöscht!) ein Foto auf, welches man herunterladen soll.

Aber Achtung: Wenn die Dateiendung ausgeschaltet ist, sieht es so aus, als ob ein .PNG-Bildfile heruntergeladen wird, tatsächlich heißt die Datei aber beispielsweise SexyPhotosJPG.exe, ist also eine ausführbare Datei!

Nach Ausführung hat man Ransomware Light

Ist man nun so geil leichtsinnig ist, das „Bild“ herunterzuladen und damit die Datei zu starten (weil es ja sein könnte, dass sich dahinter der ersehnte Börsenbericht befindet), geschieht Folgendes:

  • Es werden die Dateien del.exe, open.exe, windll.exe, windowss.exe und avtstart.bat in den temporären Ordnet gelegt und ausgeführt
  • Die Datei windowss.exe erstellt weitere Dateien, inklusive einer windows.bat, die eine Vielzahl von Dateien umbenennt
  • Die windll.exe Datei legt ein Readme-File an, in dem weitere Informationen stehen

Die Dateien werden nur umbenannt!

Hinterher sehen mehrere Ordner auf dem Rechner so aus:

MIMIKAMA
Die umbenannten Dateien (Quelle)

Die Dateien tragen dann Namen wie Locked_20.Locked_fille, sind aber nicht verschlüsselt, sondern wurden nur umbenannt. Mit ein wenig Mühe und herumprobieren lassen sich wichtige Dateien also wieder per Hand herstellen, was allerdings je nach Anzahl der Dateien sehr mühsam sein kann.

Der „Erpresserbrief“

In jedem Ordner befindet sich dann auch eine Readme-Textdatei, in der weitere Informationen stehen:

MIMIKAMA
Der Erpresserbrief (Quelle)

In der Datei steht (fälschlicherweise), dass die Dateien verschlüsselt wurden und man innerhalb von sieben Tagen 300 Dollar per Bitcoin zahlen solle (das Lösegeld verdoppele sich nach drei Tagen auf 600 Dollar), ansonsten werden die Dateien dauerhaft gelöscht.

Die Dateien werden jedoch an keinen „Server“ gesandt, deren Originalnamen auch nirgendwo gespeichert! Selbst wenn man also das Lösegeld zahlt, bleiben die Dateien umbenannt!

Was kann ich tun, wenn mir das passiert ist?

Da gibt es nur zwei Möglichkeiten:

  • Entweder versuchen, durch Raten der Dateiendung wenigstens die wichtigsten Dateien durch Umbenennung wieder herzustellen
  • Oder das Betriebssystem wieder auf einen früheren Zustand zurücksetzen (Systemwiederherstellung)

Die zweite Methode funktioniert gut, da es sich nicht um echte Ransomware handelt, die sogenannte „Schattenkopien“ ebenfalls verschlüsseln würde.

Also dann doch lieber auf bekanntere Seiten gehen. Oder sich die Börsenberichte anschauen. Je nachdem, was erregender ist.

Artikelbild: Unsplash

Quellen:

Cyble, Bleeping Computer, PC Welt

Auch interessant: Aktuell kursiert eine E-Mail, die angeblich von einer Steuerberaterin stammt. Im Anhang der Nachricht befindet sich jedoch kein Steuerbescheid, sondern ein Trojaner, der Ihren Rechner oder Ihr Smartphone / Tablet mit einer Schadsoftware infizieren kann.
Trojaner-Warnung: E-Mail mit Steuerbescheid 


Wenn dir dieser Beitrag gefallen hat und du die Bedeutung fundierter Informationen schätzt, werde Teil des exklusiven Mimikama Clubs! Unterstütze unsere Arbeit und hilf uns, Aufklärung zu fördern und Falschinformationen zu bekämpfen. Als Club-Mitglied erhältst du:

📬 Wöchentlichen Sonder-Newsletter: Erhalte exklusive Inhalte direkt in dein Postfach.
🎥 Exklusives Video* „Faktenchecker-Grundkurs“: Lerne von Andre Wolf, wie du Falschinformationen erkennst und bekämpfst.
📅 Frühzeitiger Zugriff auf tiefgehende Artikel und Faktenchecks: Sei immer einen Schritt voraus.
📄 Bonus-Artikel, nur für dich: Entdecke Inhalte, die du sonst nirgendwo findest.
📝 Teilnahme an Webinaren und Workshops: Sei live dabei oder sieh dir die Aufzeichnungen an.
✔️ Qualitativer Austausch: Diskutiere sicher in unserer Kommentarfunktion ohne Trolle und Bots.

Mach mit und werde Teil einer Community, die für Wahrheit und Klarheit steht. Gemeinsam können wir die Welt ein bisschen besser machen!

* In diesem besonderen Kurs vermittelt dir Andre Wolf, wie du Falschinformationen erkennst und effektiv bekämpfst. Nach Abschluss des Videos hast du die Möglichkeit, dich unserem Rechercheteam anzuschließen und aktiv an der Aufklärung mitzuwirken – eine Chance, die ausschließlich unseren Club-Mitgliedern vorbehalten ist!


Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)