Neue Variante der Ransomware CryptoBit entdeckt Neue Variante der Ransomware CryptoBit entdeckt - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


11.07.2016 Rudolf Felser/pi

Neue Variante der Ransomware CryptoBit entdeckt

Die Malware-Analysten von Palo Alto Networks, Unit 42, haben eine aktualisierte Version der Ransomware CryptoBit entdeckt, welche sich über das Rig Exploit Kit (EK) verbreitet.

© CC0 Public Domain - pixabay.com

Am 23. und 24. Juni nutzte diese Kampagne ein Gate mit einem Domainnamen, der laut den Security-Experten auf das Rig EK hindeutet. Wann immer ein angreifbares Windows-Gerät auf diesen Traffic stößt, liefert das Rig EK auf dem Gerät CryptoBit aus, um das Gerät zu infizieren. Andere Quellen benutzen verschiedene Begriffe für diese Ransomware, etwa "CriptoBit" oder "Mobef" anstatt "CryptoBit".

"Die Entwickler von CryptoBit haben ihre Schadsoftware überarbeitet um Windows-Endgeräte noch effektiver anzugreifen. Wir beobachten in letzter Zeit immer häufiger, dass Kriminelle ihre Malware verändern und optimieren. Dadurch wird es für konventionelle Sicherheitslösungen wie Antivirus-Software sehr schwer, die Malware zu stoppen", erklärt Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks. "Die Anbieter traditioneller Sicherheitssoftware liefern sich mit den Kriminellen ein Wettrennen, dessen Geschwindigkeit immer mehr zunimmt."

Das eingesetzte Gate überprüft die Bildschirmauflösung und Zeitzone des Opfergeräts. Der Rig EG Traffic hat sich seit Mai 2015 nicht sehr verändert, als die Verschleierung der Nutzlast auf das XOR-ing ("Exklusiv-oder"-Prinzip) der Binärdaten mit einer ASCII-Reihung umgestellt wurde. Bei dieser Infektion war der Windows Host verwundbar auf Grund eines veralteten Flash-Plugins. Der CryptoBit Traffic hat einen falschen User-Agenten im HTTP Header und beinhaltet zudem eine falsche Referrer-Zeile, um die Callback-Aktivität als regulären Web Traffic zu tarnen. Nach der Infizierung öffnet sich ein Fenster auf dem Desktop des infizierten Hosts.

Darin heißt es übersetzt: "Wenn Sie Ihre Dateien wiederhaben möchten, dann mailen Sie mir unter: kyklos@lelantos.org + sycophant@sigaint.org + epiclesis@protonmail.ch + malakia@anoninbox.net. Schicken Sie eine E-Mail an alle diese Adressen, für den Fall dass eine verloren geht. Vergessen Sie nicht, später Ihren Spam-Ordner zu checken, in aller Wahrscheinlichkeit wird meine Antwort dort landen. Falls Sie anonym bleiben möchten oder Sie keine Antwort erhalten, versuchen Sie bitte Bitmessage [bitmessage.org] und die folgende Adresse zu benutzen, um mich zu kontaktieren: BM-NaxZ29ouecw2Y7ibaXKus1vxDRDtheW6. Diese Methode funktioniert 100%ig."

Dieses Fenster lässt sich nicht verschieben. Nachdem der Host wieder hochgefahren ist, verschwindet das Popup-Fenster. Stattdessen bleibt eine Text-Datei auf dem Desktop, welche dieselben Anweisungen zur Entschlüsselung enthält. Man kann zudem Schlüsseldateien sehen. Seit dem 27. Juni hat diese Kampagne begonnen, andere Malware als bislang zu verbreiten. Zwischen dem 17. Juni und dem 27. Juni haben die Forscher von Palo Alto Networks jedoch mindestens acht Beispiele dieser aktualisierten CryptoBit-Variante entdeckt.

Weitere Details zu den Ergebnissen seiner Untersuchung haben die Security-Experten auf ihrer Webseite gesammelt. (pi)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH

    Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH Wasser- und Energieversorgung, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Luft- und Raumfahrttechnik, Logistik, Konsumgüterindustrie,... mehr
  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr
  • ITSDONE GRUPPE

    ITSDONE GRUPPE Office Software, Kaufmännische Software (ERP), Datenbanken, Server-Betriebssysteme, Programmiersprachen, Betriebssysteme für PCs, Netzwerk- und Systemüberwachung,... mehr
  • free-com solutions gmbh

    free-com solutions gmbh Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr

Hosted by:    Security Monitoring by: