Ransom32: Lösegeldsoftware auf JavaScript Basis

© tonsnoei – Fotolia.com

© tonsnoei – Fotolia.com

Eine neue Ransomware Schadsoftware mit Namen Ransom32 treibt ihr Unwesen. Neu an dieser ist, dass diese auf JavaScript Basis beruht, womit sie theoretisch auf praktisch jedem System, von Windows bis Linux, ausgeführt werden kann. Im Detail und recht verständlich kann man alles zur neuen Bedrohung im Artikel „Die erste Ransomware in JavaScript: Ransom32“ im Blog von Emsisoft nachlesen.

Kurz zusammengefasst handelt es sich bei der Ransomware Schadsoftware um ein selbstextrahierendes Archiv, welches wohl immerhin um die 22 MByte groß ist. Dieses enthält u.a. z.B. eine Datei chrome.exe, welche in Wirklichkeit eine nw.js Anwendung ist, die den Kern des Schadcodes enthält, dazu eine rundll32.exe, welche eine umbenannte Version des Tor-Clients darstellt sowie NW.js Framework Dateien sowie kleine vs. Script Dateien, die u.a. die Meldungen ausgeben, welche der Benutzer nach Befall angezeigt bekommt.

Das Archiv selber entpackt sich (wenn ausgeführt) im Verzeichnis „%AppData%\Chrome Browser“, zudem wird ein Autostarteintrag, getarnt als chromeservice erstellt, damit das Ganze beim Systemstart geladen wird.

Ansonsten das typische Vorgehen: ist ein Rechner befallen, so werden Dateien verschlüsselt, der Benutzer hat also keinen Zugriff mehr auf bestimmte Daten, gegen Lösegeldzahlung soll der Benutzer dann wiederum angeblich wieder Zugriff auf seine Dateien erhalten.

NW.js (oder node-webkit) hat die für die Entwicklung von Anwendungen an sich positive Eigenschaft, dass anders als bei normalen JavaScript damit auch Anwendungen mit weitreichenden Möglichkeiten unter dem jeweiligen Betriebssystem möglich sind, was in diesem Fall aber leider ermöglicht, dass man damit auch eine Schadsoftware basteln kann, welche Dateien verschlüsselt und dies theoretisch unabhängig vom zugrunde liegenden Betriebssystem.

Das Verwerfliche an der ganzen Sache ist, dass die eigentlichen Entwickler diese Malware / Ransomware als Software as a Service zur Verfügung stellen, d.h. man kann diese Schadsoftware quasi buchen, wobei man dann einen bestimmten Prozentsatz der erpressten Einnahmen an die eigentlichen Entwickler abgibt. Dazu gibt es wohl auch ein modernes Verwaltungsportal, also eine echte Perversion.

Natürlich ist dies abgrundtief böse und moralisch verwerflich, aber leider hat sich das Internet eben so entwickelt. Letztlich muss man sich einfach bestmöglich schützen.

Schutz gegen Ransomware / Lösegeldsoftware

Der beste Schutz gegen Ransomware ist natürlich zum einen das Vermeiden zweifelhaften Webseiten, das sehr bedachte Klicken auf Links in Mails und gleichzeitig das Verwenden von Internet Schutz Lösungen, die wie Bitdefender 2016 verschiedene Sicherheitsmaßnahmen anbieten. Wichtig ist hier vor allem eine KI-basierte Erkennung von auch bisher noch unbekannten Bedrohungen sowie ein cloud-basierter Echtzeitschutz beim Surfen, wie sie Bitdefender 2016 anbietet. Bitdefender bietet dazu auch einen Ransomware Schutz, mit diesem kann man Verzeichnisse schützen, auf welche dann nur noch vom Benutzer freigegebene Programme zugreifen können. Versucht ein anderes Programm Zugriff auf diese Dateien bzw. Verzeichnisse zu nehmen, so blockiert die Echtzeitüberwachung von Bitdefender diesen Zugriff und warnt den Anwender, was bei meinen Tests auch sehr zuverlässig funktionierte.

Trotzdem gibt es natürlich keinen 100% Schutz, aber man kann sich eben bestmöglich durch eigene Vorsicht (z.B. was man öffnet/ausführt) und durch gute Internet Sicherheitslösungen wie Bitdefender, die auch einen Ransomware Schutz anbieten, schützen.


Verwandte Themen:


Comments are closed.