Erstmals bedroht ein Verschlüsselungstrojaner Ransom32 plattformübergreifend alle Systeme – Windows – Mac – Linux

Erstmals bedroht ein Verschlüsselungstrojaner Ransom32 plattformübergreifend alle Systeme :  Windows – Mac – Linux  …

Wie heise.de unter Berufung auf Kryptologen von Bleeping Computer und Emsisoft berichtet sei mit der Ransomware Ransom32 die Schwelle zur Infizierung aller Systeme wie Windows, Apple MAC OS und Linux plattformübergreifend erreicht. Der Verschlüsselungstrojaner komme in einer Art Baukastensystem daher, das es Kriminellen mit ein paar Handgriffen ermöglicht, den Erpressungstrojaner an das Zielsystem z.B. Windows 7, Windows 8.1,  Windows 10 oder bei Apple MAC OS X oder Linux, ggf. auch Android anzupassen.

http://www.heise.de/security/meldung/Erste-Sichtung-Erpressungstrojaner-Ransom32-aufgrund-JavaScript-noch-bedrohlicher-3060409.html

ransom32_message-730x456

Emsisoft beschreibt das Szenario wie Kriminelle da vorgehen so:
Es werde von den Kriminellen Software as a service (Software als Dienstleistung)  genutzt, wo normale Software auch erworben werden kann.
Zunächst muß derjenige, der erpressen möchte, die Bitcoin-Adresse angeben werden, an die die erpressten Lösegelder gesendet werden.
Dann gelangt der Erpresser auf die Konfigurationsseite wo er Lösegeldsumme und andere Details eingeben kann.
Dort ist für den Erpresser auch sichtbar, wie viele Systeme infiziert worden sind.
Der Kriminelle erhält dann eine ca. 22 MB große Datei zum Download.

http://blog.emsisoft.com/de/2016/01/01/meet-ransom32-the-first-javascript-ransomware/

 

Details zu Ransom 32 :

Der Virus kommt in der bekannten Windows Variante als selbstextrahierendes RAR-Archiv daher.
Darin enthalten sind u.a. :

  • „chrome“ enthält eine Kopie der Lizenzvereinbarung für freie Software (GNU GPL).
  • „chrome.exe“ ist eine gepackte NW.js-Anwendung. Sie enthält den eigentlichen Malware-Code und bildet den sogenannten Framework (also das Gerüst) zum Ausführen der Malware.
  • „ffmpegsumo.dll“, „nw.pak“, „icudtl.dat“ und „locales“ enthalten die für den NW.js-Framework erforderlichen Daten.
  • „rundll32.exe“ ist eine umbenannte Kopie des Tor-Clients.
  • „s.exe“ ist eine umbenannte Kopie von Optimum X Shortcut. Mit dem Programm lassen sich Verknüpfungen auf dem Desktop und im Startmenü erstellen und ändern.
  • „g“ enthält die Malware-Einstellungen, die über die Weboberfläche konfiguriert wurden.
  • „msgbox.vbs“ ist ein kleines Script, über das die zuvor individuell angepasste Meldung angezeigt wird.
  • „u.vbs“ ist ein kleines Script, das alle Dateien und Ordner in einem vorgegebenen Verzeichnis durchnummeriert und löscht.

Laut Emsisoft ist NW.js ein plattformübergreifendes JavaScript Framework eingesetzt.

„Sobald Ransom32 auf ein System gelangt und ausgeführt wird, entpackt sie alle Dateien in den Ordner der temporären Dateien. Von hier kopiert sie sich in das Verzeichnis „%AppData%\Chrome Browser“. Mithilfe der enthaltenen „s.exe“ erstellt sie im Autostart/Startup-Ordner die Verknüpfung „ChromeService“, damit die Malware garantiert bei jedem Systemstart ausgeführt wird. Über den integrierten Tor-Client verbindet sie sich dann mit ihrem Befehls- und Steuerserver (C2-Server), der im Tor-Netzwerk versteckt auf Port 85 liegt. Von hier werden der zum Verschlüsseln verwendete Kryptografieschlüssel und die Bitcoin-Adresse abgerufen, an die das Lösegeld gehen soll. War die Verbindung zum C2-Server erfolgreich, wird von der Malware schließlich die Erpressermeldung angezeigt.“ so Emsisoft .

Die Malware verschlüsselt folgende Dateien:

*.jpg, *.jpeg, *.raw, *.tif, *.gif, *.png, *.bmp, *.3dm, *.max, *.accdb, *.db, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*, *.*spv*, *.*grle*, *.*mlx*, *.*sv5*, *.*game*, *.*slot*, *.dwg, *.dxf, *.c, *.cpp, *.cs, *.h, *.php, *.asp, *.rb, *.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb, *.inx, *.idml, *.pmd, *.xqx, *.xqx, *.ai, *.eps, *.ps, *.svg, *.swf, *.fla, *.as3, *.as, *.txt, *.doc, *.dot, *.docx, *.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm, *.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm, *.sldx, *.sldm, *.wav, *.mp3, *.aif, *.iff, *.m3u, *.m4u, *.mid, *.mpa, *.wma, *.ra, *.avi, *.mov, *.mp4, *.3gp, *.mpeg, *.3g2, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.m3u8, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.ses, *.dat

„Ransom32 soll auf dem NW.js-Framework aufbauen, über das Entwickler Desktop-Applikationen auf JavaScript-Basis mit Cross-Plattform-Ausrichtung erstellen können. Somit könnten Angreifer die Ransomware mit wenigen Handgriffen auch mit Linux und OS X kompatibel machen, erläuterten die Sicherheitsforscher.
Die mit dem NW.js-Framework erstellten Desktop-Applikationen sollen wesentlich tiefer in das Betriebssystem eingreifen können als eine JavaScript-Anwendung, die in einer Sandbox abgeschottet in einem Webbrowser läuft.“ so heise.de .

 

Bei einer Anfrage eines Kunden bezüglich der Wiederherstellung verschlüsselter Daten erhielten wir von AFD-PC-SERVICE.de Armin Fischer von der Daten-Forensik von Kroll Ontrack , Computer Forensik-Services, die Auskunft, dass es bei der Komplexität der heutigen Verschlüsselungsalgorithmen nur extrem schwer und zeitaufwendig sei, die Dateien so wieder zu entschlüsseln. Dafür sei eine enorme Rechenleistung erforderlich, außerdem könne das Prozedere Jahre dauern. Es sei einfacher Daten von einem defekten Datenträger im Reinraumlabor wiederherzustellen.

http://www.krollontrack.de/kontakt/

 

 

 


AFD-PC-SERVICE.de Armin Fischer Regensburg

AFD-PC-SERVICE.de Armin Fischer // Armin Fischer Dienstleistungen
c/o Armin Fischer
Hauptstr. 70
D-96117 Memmelsdorf bei Bamberg  GERMANY

0176/2100896-0 oder
0176/2100896-7
office@afd-pc-service.de

Buero/ Office:
Tel./VoIP BA:  +4995125295367
Tel./VoIP R:  +4994156955640
Mobil/SMS: +4917621008960
mail: office@afd-pc-service.de

Armin Fischer:
Tel.: +499413966185 Mobil/SMS: +4917621008967
mail: info@arminfischer.de

Terminanfrage online: http://www.afd-pc-service.de/terminanfrage/
Termin Planung und Abgleich: http://kalender.arminfischer.de

www.arminfischer.de  www.afd-pc-service.de  www.arminfischer.de/dienstleistungen/
Ust-ID: DE232723558

 

Kollege Marco Müller, diePCWerkstatt.de Marco Mueller in Regensburg

diepcwerkstatt-de-kleines-logo

diePCWerkstatt.de Marco Mueller
Landshuter Str. 68
D-93053 Regensburg  

Tel./ VoIP: +499417977227
Mobil: +491728227401
e-mail: info@diepcwerkstatt.de 

www.diepcwerkstatt.de 

 

 

 

 


Keywords: Ransom32, Ransomware, Verschlüsselung, Verschlüsselungstrojaner, Epressungstrojaner, Virus, Viren, Malware, Schadsoftware, kriminell, Software as a Service, Bitcoin, JavaScript,  RAR, RAR-Archiv, NW.js, Computervirus, Computerviren, Windows, Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1, Apple, Apple MAC, MAC OS, OS X, Linux, Ubuntu, Kubuntu, Android, PC-Service, PC-Service Bamberg, PC-Service Memmelsdorf, PC-Service Scheßlitz, PC-Service Oberfranken, PC-Service Franken, PC-Service Metropolregion Nürnberg, PC-Service Nürnberg, PC-Service Regensburg, PC-Service Oberpfalz, Memmelsdorf, Bamberg, Scheßlitz, Oberfranken, Franken, Metropolregion Nürnberg, Nürnberg, Oberpfalz, Regensburg, IT, IT Bamberg, IT Memmelsdorf, IT Franken, IT Oberfranken, IT Metropolregion Nürnberg, IT Nürnberg, IT Regensburg, IT Oberpfalz, IT-Service, IT-Service Memmelsdorf, IT-Service Bamberg, IT-Service Scheßlitz, IT-Service Oberfranken, IT-Service Franken, IT-Service Nürnberg, IT-Service Metropolregion Nürnberg, IT-Service Oberpfalz, IT-Service Regensburg, Computerviren Bamberg, Computerviren Regensburg, Virenentfernung, Virenentfernung Memmelsdorf, Virenentfernung Bamberg, Virenentfernung Franken, Virenentfernung Oberfranken, Virenentfernung Nürnberg, Virenentfernung Metropolregion Nürnberg, Malwareentfernung, Malwareentfernung Memmelsdorf, Malwareentfernung Bamberg, Malwareentfernung Scheßlitz, Malwareentfernung Oberfranken, Malwareentfernung Franken, Malwareentfernung Metropolregion Nürnberg, Malwareentfernung Regensburg, Malwareentfernung Oberpfalz, Malware, Malware Memmelsdorf, Malware Bamberg, Malware Oberfranken, Malware Franken, Malware Metropolregion Nürnberg, Malware Nürnberg, Malware Regensburg, Malware Oberpfalz, PC-Werkstatt, PC-Werkstatt Memmelsdorf, PC-Werkstatt Scheßlitz, PC-Werkstatt Bamberg, PC-Werkstatt Metropolregion Nürnberg, PC-Werkstatt Nürnberg, PC-Werkstatt Franken, PC-Werkstatt Oberfranken, PC-Werkstatt Regensburg, PC-Werkstatt Oberpfalz, Virenschutz, Virenschutz Memmelsdorf, Virenschutz Bamberg, Virenschutz Scheßlitz, Virenschutz Oberfranken, Virenschutz Franken, Virenschutz Metropolregion Nürnberg, Virenschutz Nürnberg, Virenschutz Regensburg, Virenschutz Oberpfalz, AntiVirus, AntiVirus Bamberg, AntiVirus Memmelsdorf, AntiVirus Scheßlitz, AntiVirus Oberfranken, AntiVirus Franken, AntiVirus Metropolregion Nürnberg, AntiVirus Nürnberg, AntiVirus Regensburg, AntiVirus Oberpfalz, heise.de, Kroll Ontrack, Emsisoft, jpg, jpeg, raw, tif, gif, png, bmp, accdb, db, dbf, sql, php, java, jar, class, psd, eps, ps, swf, fla, txt, doc, dot, docx, rtf, wps, msg, pdf, xls, ppt, pps, wav, mp3, aif, iff, m3u, m4u, mid, mpa, wma, avi, mov, mp4, 3gp, mpeg, flv, mpg, wmv, vob, csv, vcf, xml, dat,

 


 

www.afd-pc-service.de/?p=3438

Print Friendly, PDF & Email
Translate »
Quick Box - Popup Notification Box Powered By : XYZScripts.com

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen