Ransomware Light auf falschen Pornoseiten

Als Ransomware werden schädliche Programme bezeichnet, die Dateien auf dem Rechner verschlüsseln. Kriminelle verlangen dann ein Lösegeld, damit die Dateien wieder entschlüsselt werden (vom engl. holding ransom = Geiselhaft/Erpressung). Solche Fallen erscheinen nun auch auf scheinbaren Pornoseiten, die schnell wieder verschwinden und mit neuer Adresse wieder auftauchen.

Die Bilderfalle

Die Falle kann eigentlich nur funktionieren, da in den meisten Windows-Systemen die Dateiendungen ausgeblendet werden. Windows möchte die Nutzer anscheinend davor schützen, bei der Umbenennung einer Datei aus Versehen die Dateiendung zu löschen, doch der Nachteil ist, dass es Kriminelle damit leichter haben, solche Fallen überhaupt aufzustellen.

Konkret poppt beim Aufrufen der Seiten, welche aussagekräftige Namen wie nude-girlss.mywire. org, sexyphotos. kozow. com oder sexy-photo. online haben (ihr braucht es gar nicht erst versuchen, diese Seiten wurden mittlerweile gelöscht!) ein Foto auf, welches man herunterladen soll.

Aber Achtung: Wenn die Dateiendung ausgeschaltet ist, sieht es so aus, als ob ein .PNG-Bildfile heruntergeladen wird, tatsächlich heißt die Datei aber beispielsweise SexyPhotosJPG.exe, ist also eine ausführbare Datei!

Nach Ausführung hat man Ransomware Light

Ist man nun so geil leichtsinnig ist, das „Bild“ herunterzuladen und damit die Datei zu starten (weil es ja sein könnte, dass sich dahinter der ersehnte Börsenbericht befindet), geschieht Folgendes:

• Es werden die Dateien del.exe, open.exe, windll.exe, windowss.exe und avtstart.bat in den temporären Ordnet gelegt und ausgeführt
• Die Datei windowss.exe erstellt weitere Dateien, inklusive einer windows.bat, die eine Vielzahl von Dateien umbenennt
• Die windll.exe Datei legt ein Readme-File an, in dem weitere Informationen stehen

Die Dateien werden nur umbenannt!

Hinterher sehen mehrere Ordner auf dem Rechner so aus:

Die Dateien tragen dann Namen wie Locked_20.Locked_fille, sind aber nicht verschlüsselt, sondern wurden nur umbenannt. Mit ein wenig Mühe und herumprobieren lassen sich wichtige Dateien also wieder per Hand herstellen, was allerdings je nach Anzahl der Dateien sehr mühsam sein kann.

Der „Erpresserbrief“

In jedem Ordner befindet sich dann auch eine Readme-Textdatei, in der weitere Informationen stehen:

In der Datei steht (fälschlicherweise), dass die Dateien verschlüsselt wurden und man innerhalb von sieben Tagen 300 Dollar per Bitcoin zahlen solle (das Lösegeld verdoppele sich nach drei Tagen auf 600 Dollar), ansonsten werden die Dateien dauerhaft gelöscht.

Die Dateien werden jedoch an keinen „Server“ gesandt, deren Originalnamen auch nirgendwo gespeichert! Selbst wenn man also das Lösegeld zahlt, bleiben die Dateien umbenannt!

Was kann ich tun, wenn mir das passiert ist?

Da gibt es nur zwei Möglichkeiten:

• Entweder versuchen, durch Raten der Dateiendung wenigstens die wichtigsten Dateien durch Umbenennung wieder herzustellen
• Oder das Betriebssystem wieder auf einen früheren Zustand zurücksetzen (Systemwiederherstellung)

Die zweite Methode funktioniert gut, da es sich nicht um echte Ransomware handelt, die sogenannte „Schattenkopien“ ebenfalls verschlüsseln würde.

Also dann doch lieber auf bekanntere Seiten gehen. Oder sich die Börsenberichte anschauen. Je nachdem, was erregender ist.

Artikelbild: Unsplash

Quellen:

Cyble, Bleeping Computer, PC Welt

Auch interessant: Aktuell kursiert eine E-Mail, die angeblich von einer Steuerberaterin stammt. Im Anhang der Nachricht befindet sich jedoch kein Steuerbescheid, sondern ein Trojaner, der Ihren Rechner oder Ihr Smartphone / Tablet mit einer Schadsoftware infizieren kann.
– Trojaner-Warnung: E-Mail mit Steuerbescheid