Erpressungstrojaner mit Zusatzfunktion

Hacker verlangen 500 Dollar in Bitcoins, um die verschlüsselten Dateien wieder zu entschlüsseln

Datum
27. Januar 2017
Autor

Experten vom MalwareHunterTeam haben eine neue Ransomware entdeckt. Bleeping Computer’s Lawrence Abrams hat den Erpressungstrojaner analysiert. FireCrypt verschlüsselt nicht nur die Dateien des Anwenders, sondern versucht auch, eine leichte DDoS-Attacke auf eine im Quellcode enthaltene URL zu starten.

Malware wird in der Regel durch online verfügbare Bausteine oder Software verteilt. Der von FireCrypt verwendete Builder nennt sich BleedGreen und baut eine Ransomware-Datei, mit der Hacker Symbole, Endungen oder Namen individuell wählen können. So können sie eine ausführbare .exe-Datei als PDF- oder Word-Datei tarnen. Um Antivirenprogrammen die Arbeit zu erschweren, generiert die Ransomware jedes Mal einen neuen Hashwert.

Wenn die Malware einen Rechner infiziert hat, beendet sie zuerst den Windows-Taskmanager. Anschließend verschlüsselt sie 20 verschiedene Dateitypen mit einem AES-256-Verschlüsselungsalgorithmus. Zu erkennen sind die verschlüsselten Dateien an der Endung .firecrypt. Aktuell fordern die Erpresser ein Lösegeld von 500 Dollar in Bitcoins, um die Daten wieder zu entschlüsseln.

Die aktuelle Version der Ransomware führt außerdem einen weiteren Angriff aus. Sie lädt Inhalte von einer URL herunter. Der FireCrypt-Autor nennt diese Funktion „DDoSer“. Dies scheint allerdings ein wenig übertrieben zu sein, da man mehrere tausend infizierte Rechner benötigt, um einen ernst zu nehmenden Angriff zu starten.

Einschätzung

FireCrypt verschlüsselt, wie andere Ransomware, Dateien, hat aber eine Zusatzfunktion für DDoS-Attacken. Sie scheint in der aktuellen Version nicht sonderlich gefährlich zu sein, könnte aber in späteren Versionen ausgefeilter und damit auch gefährlicher werden. Da finanzielle Interessen dahinter stehen, ist es wohl nur eine Frage der Zeit, bis es so weit ist.

Ein aktueller Virenscanner und die Beachtung der Endungen von Anhängen (.firecrypt) in E-Mails minimieren das Risiko, infiziert zu werden.

Zielgruppen

  • IT- und IS-Sicherheitsverantwortliche
  • Interessierte Kreise