Erpressungs-Trojaner noch bedrohlicher

Die Ransomware „HDDCryptor“, auch als „Mamba“ bekannt, verschlüsselt nicht nur Daten, sondern sperrt auch Computer von Opfern. Dafür mache sich der Schädling am Master Boot Record (MBR) zu schaffen, erläutert der Sicherheitsforscher Renato Marinho von den Morphus Labs in seiner Analyse. Ob davon auch GUID-Partitionstabellen (GPT) von UEFI-Systemen bedroht sind, ist derzeit nicht bekannt. HDDCryptor soll es auf Windows-Computer abgesehen haben und sich unter anderem als Drive-by-Download verbreiten. Um sein Schadenswerk zu verrichten, missbraucht der Schädling unter anderem die legitimen Open-Source-Tools DiskCryptor und Netpass. Netpass nutzt HDDCryptor dafür, um Zugangsdaten von Netzwerk-Ordnern zu extrahieren. Anschließend verschlüssele der Trojaner lokale Daten und Dateien von Netzwerk-Freigaben mit DiskCryptor, so Marinho.

Der Erpressungs-Trojaner „Stampado“ wildert im Revier anderer Ransomware und verschlüsselt sogar bereits chiffrierte Daten. Doch Betroffene können aufatmen: Der Sicherheitsforscher Fabian Wosar hat ein Entschlüsselungs-Tool entwickelt und stellt dieses kostenfrei zum Download bereit (siehe c’t-Link).

Avira zufolge zeigen aktuelle Infektionen mit „Locky“, dass der Trojaner nun komplett im Offline-Modus wüten kann: Locky muss keine Verbindung mehr zu den Command-and-Control-Servern der Kriminellen aufbauen, um die Verschlüsselung einzuleiten. In der Vergangenheit war das unabdingbar. Außerdem kommt beim analysierten Sample nur noch pro Kampagne ein privater Schlüssel zum Einsatz und nicht mehr individuell pro Opfer erzeugte Schlüssel. Davon profitieren Betroffene: Hat einer von ihnen das Lösegeld bezahlt, können alle Opfer der Kampagne das Entschlüsselungs-Tool verwenden. (des@ct.de)

Entschlüsselungs-Tool für Stampado:ct.de/yvm3