Ransomware Light auf falschen Pornoseiten

Ja, wissen wir. Niemand besucht Schmuddelseiten. Höchstens mal aus Versehen, wenn man eigentlich nach den Börsenberichten schauen will. Passt aber trotzdem vor Fast-Ransomware auf einigen Seiten auf!

Autor: Ralf Nowotny

Als Ransomware werden schädliche Programme bezeichnet, die Dateien auf dem Rechner verschlüsseln. Kriminelle verlangen dann ein Lösegeld, damit die Dateien wieder entschlüsselt werden (vom engl. holding ransom = Geiselhaft/Erpressung). Solche Fallen erscheinen nun auch auf scheinbaren Pornoseiten, die schnell wieder verschwinden und mit neuer Adresse wieder auftauchen.

Die Bilderfalle

Die Falle kann eigentlich nur funktionieren, da in den meisten Windows-Systemen die Dateiendungen ausgeblendet werden. Windows möchte die Nutzer anscheinend davor schützen, bei der Umbenennung einer Datei aus Versehen die Dateiendung zu löschen, doch der Nachteil ist, dass es Kriminelle damit leichter haben, solche Fallen überhaupt aufzustellen.

Konkret poppt beim Aufrufen der Seiten, welche aussagekräftige Namen wie nude-girlss.mywire. org, sexyphotos. kozow. com oder sexy-photo. online haben (ihr braucht es gar nicht erst versuchen, diese Seiten wurden mittlerweile gelöscht!) ein Foto auf, welches man herunterladen soll.

Aber Achtung: Wenn die Dateiendung ausgeschaltet ist, sieht es so aus, als ob ein .PNG-Bildfile heruntergeladen wird, tatsächlich heißt die Datei aber beispielsweise SexyPhotosJPG.exe, ist also eine ausführbare Datei!

Nach Ausführung hat man Ransomware Light

Ist man nun so geil leichtsinnig ist, das „Bild“ herunterzuladen und damit die Datei zu starten (weil es ja sein könnte, dass sich dahinter der ersehnte Börsenbericht befindet), geschieht Folgendes:

  • Es werden die Dateien del.exe, open.exe, windll.exe, windowss.exe und avtstart.bat in den temporären Ordnet gelegt und ausgeführt
  • Die Datei windowss.exe erstellt weitere Dateien, inklusive einer windows.bat, die eine Vielzahl von Dateien umbenennt
  • Die windll.exe Datei legt ein Readme-File an, in dem weitere Informationen stehen

Die Dateien werden nur umbenannt!

Hinterher sehen mehrere Ordner auf dem Rechner so aus:

MIMIKAMA
Die umbenannten Dateien (Quelle)

Die Dateien tragen dann Namen wie Locked_20.Locked_fille, sind aber nicht verschlüsselt, sondern wurden nur umbenannt. Mit ein wenig Mühe und herumprobieren lassen sich wichtige Dateien also wieder per Hand herstellen, was allerdings je nach Anzahl der Dateien sehr mühsam sein kann.

Der „Erpresserbrief“

In jedem Ordner befindet sich dann auch eine Readme-Textdatei, in der weitere Informationen stehen:

MIMIKAMA
Der Erpresserbrief (Quelle)

In der Datei steht (fälschlicherweise), dass die Dateien verschlüsselt wurden und man innerhalb von sieben Tagen 300 Dollar per Bitcoin zahlen solle (das Lösegeld verdoppele sich nach drei Tagen auf 600 Dollar), ansonsten werden die Dateien dauerhaft gelöscht.

Die Dateien werden jedoch an keinen „Server“ gesandt, deren Originalnamen auch nirgendwo gespeichert! Selbst wenn man also das Lösegeld zahlt, bleiben die Dateien umbenannt!

Was kann ich tun, wenn mir das passiert ist?

Da gibt es nur zwei Möglichkeiten:

  • Entweder versuchen, durch Raten der Dateiendung wenigstens die wichtigsten Dateien durch Umbenennung wieder herzustellen
  • Oder das Betriebssystem wieder auf einen früheren Zustand zurücksetzen (Systemwiederherstellung)

Die zweite Methode funktioniert gut, da es sich nicht um echte Ransomware handelt, die sogenannte „Schattenkopien“ ebenfalls verschlüsseln würde.

Also dann doch lieber auf bekanntere Seiten gehen. Oder sich die Börsenberichte anschauen. Je nachdem, was erregender ist.

Artikelbild: Unsplash

Quellen:

Cyble, Bleeping Computer, PC Welt

Auch interessant: Aktuell kursiert eine E-Mail, die angeblich von einer Steuerberaterin stammt. Im Anhang der Nachricht befindet sich jedoch kein Steuerbescheid, sondern ein Trojaner, der Ihren Rechner oder Ihr Smartphone / Tablet mit einer Schadsoftware infizieren kann.
Trojaner-Warnung: E-Mail mit Steuerbescheid 
Unterstützen 🤍

FAKE NEWS BEKÄMPFEN

Unterstützen Sie Mimikama, um gemeinsam gegen Fake News vorzugehen und die Demokratie zu stärken. Helfen Sie mit, Fake News zu stoppen!

Mit Deiner Unterstützung via PayPal, Banküberweisung, Steady oder Patreon ermöglichst Du es uns, Falschmeldungen zu entlarven und klare Fakten zu präsentieren. Jeder Beitrag, groß oder klein, macht einen Unterschied. Vielen Dank für Deine Hilfe! ❤️

Mimikama-Webshop

Unser Ziel bei Mimikama ist einfach: Wir kämpfen mit Humor und Scharfsinn gegen Desinformation und Verschwörungstheorien.

Abonniere unseren WhatsApp-Kanal per Link- oder QR-Scan! Aktiviere die kleine 🔔 und erhalte eine aktuelle News-Übersicht sowie spannende Faktenchecks.

Link: Mimikamas WhatsApp-Kanal

Mimikama WhatsApp-Kanal

Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.


2) Einzelne Beiträge (keine Faktenchecks) entstanden durch den Einsatz von maschineller Hilfe und
wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)


Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum

INSERT_STEADY_CHECKOUT_HERE

Kämpfe mit uns für ein echtes, faktenbasiertes Internet! Besorgt über Falschmeldungen? Unterstütze Mimikama und hilf uns, Qualität und Vertrauen im digitalen Raum zu fördern. Dein Beitrag, egal in welcher Höhe, hilft uns, weiterhin für eine wahrheitsgetreue Online-Welt zu arbeiten. Unterstütze jetzt und mach einen echten Unterschied! Werde auch Du ein jetzt ein Botschafter von Mimikama

Mehr von Mimikama

Mimikama Workshops & Vorträge: Stark gegen Fake News!

Mit unseren Workshops erleben Sie ein Feuerwerk an Impulsen mit echtem Mehrwert in Medienkompetenz, lernen Fake News und deren Manipulation zu erkennen, schützen sich vor Falschmeldungen und deren Auswirkungen und fördern dabei einen informierten, kritischen und transparenten Umgang mit Informationen.