Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Alles über Ransom32 RaaS

Vor kurzem ist eine neue Ransomware-Variante aufgetaucht: Ransom32 RaaS. Obwohl sie verschlüsselte Dateien nicht umbenennt, wird sie bereits von manchen als der CryptoLocker-Nachfolger bezeichnet, da auch Ransom32 AES-Verschlüsselung benutzt. Ransom32...
Michael Buckbee
2 minute gelesen
Veröffentlicht 29. Januar 2016
Letzte aktualisierung 28. Oktober 2021

Vor kurzem ist eine neue Ransomware-Variante aufgetaucht: Ransom32 RaaS.

Obwohl sie verschlüsselte Dateien nicht umbenennt, wird sie bereits von manchen als der CryptoLocker-Nachfolger bezeichnet, da auch Ransom32 AES-Verschlüsselung benutzt.

Ransom32 spielt jedoch in einer ganz eigenen Liga, denn die neue Variante unterscheidet sich in zwei wichtigen Punkten von anderer Ransomware:

1. Ransom32 ist die erste Ransomware, die in JavaScript geschrieben wurde. Sie basiert auf NW.js, mit dem normale Desktop-Anwendungen für Windows, Linux und Mac mit Hilfe von JavaScript entwickelt werden. Obwohl Ransom32 bisher nur im Windows-Format bekannt ist lässt sie sich mit wenig Aufwand auch für Mac- und Linux-Betriebssysteme einsetzen.

2. Ransom32 wird auch als Ransomware-as-a-Service (RaaS) angeboten. Man findet sie im Tor-Netzwerk. Prinzipiell kann sie also jeder herunterladen und verteilen. Den RaaS-Dienst zu nutzen, ist ausgesprochen simpel– man braucht lediglich eine Bitcoin-Adresse, an die das Lösegeld gezahlt werden soll.

Join

Ist die Bitcoin-Adresse eingegeben, erscheint eine Verwaltungskonsole. Sie enthält Statistiken zu bereits eingegangene Zahlungen und infizierten Systemen. Zusätzlich kann man dort Einstellungen vornehmen, beispielsweise wie viele Bitcoins gefordert werden und welche Meldungen das potenzielle Opfer angezeigt bekommen soll.

Gemäß unten stehendem Screenshot beanspruchen die Entwickler von Ransom32 derzeit 25 Prozent des Lösegelds für sich.

Console

Was passiert bei der Verschlüsselung?

Die Malware dringt auf die übliche Weise in Systeme ein: Phishing, veraltete Software mit bekannten Sicherheitslücken usw. Sobald sie installiert und gestartet wird, verbindet sie sich mit einem Command-and-Control-Server des Tor-Netzwerks und zeigt eine Lösegeldforderung sowie die entsprechende Bitcoin-Adresse zur Zahlung des Lösegelds an.

Es ist auch wichtig zu wissen, dass der Computer des Opfers während der Verschlüsselung der Dateien nicht langsamer wird, denn Ransom32 belegt maximal 25 Prozent der CPU-Ressourcen.

Werden die Dateien nach der Lösegeldzahlung entschlüsselt?

Ja. Ein weiteres interessantes Feature von Ransom32: Der Nachweis, dass die betroffenen Dateien prinzipiell zu entschlüsseln sind (hier finden Sie eine Liste der betroffenen Dateitypen).

Ransom32 „bietet an, auch eine einzelne Datei wieder zu entschlüsseln, um dem Opfer zu beweisen, dass der Malware-Entwickler die Verschlüsselung tatsächlich wieder aufheben kann“, erklärt Malware-Forscher und CTO Fabian Wosar. „Dazu schickt sie den verschlüsselten AES-Schlüssel der gewählten Datei an den C2-Server, der dann den entschlüsselten AES-Schlüssel für die Datei zurücksendet.“

Proof

Schadensbegrenzung

In unserem Complete Ransomware Guide finden Sie Informationen dazu, wie Sie Probleme dieser Art aufdecken und den Schaden begrenzen können.

Betroffene Dateitypen1
.jpg ,.jpeg ,.raw ,.tif ,.gif ,.png ,.bmp ,.3dm ,.max ,.accdb ,.db ,.dbf ,.mdb ,.pdb ,.sql ,.*sav* ,.*spv* ,.*grle* ,.*mlx* ,.*sv5* ,.*game* ,.*slot* ,.dwg ,.dxf ,.c ,.cpp ,.cs ,.h ,.php ,.asp ,.rb ,.java ,.jar ,.class ,.aaf ,.aep ,.aepx ,.plb ,.prel ,.prproj ,.aet ,.ppj ,.psd ,.indd ,.indl ,.indt ,.indb ,.inx ,.idml ,.pmd ,.xqx ,.xqx ,.ai ,.eps ,.ps ,.svg ,.swf ,.fla ,.as3 ,.as ,.txt ,.doc ,.dot ,.docx ,.docm ,.dotx ,.dotm ,.docb ,.rtf ,.wpd ,.wps ,.msg ,.pdf ,.xls ,.xlt ,.xlm ,.xlsx ,.xlsm ,.xltx ,.xltm ,.xlsb ,.xla ,.xlam ,.xll ,.xlw ,.ppt ,.pot ,.pps ,.pptx ,.pptm ,.potx ,.potm ,.ppam ,.ppsx ,.ppsm ,.sldx ,.sldm ,.wav ,.mp3 ,.aif ,.iff ,.m3u ,.m4u ,.mid ,.mpa ,.wma ,.ra ,.avi ,.mov ,.mp4 ,.3gp ,.mpeg ,.3g2 ,.asf ,.asx ,.flv ,.mpg ,.wmv ,.vob ,.m3u8 ,.csv ,.efx ,.sdf ,.vcf ,.xml ,.ses ,.dat

Bisher benennt Ransom32 verschlüsselte Dateien nicht um. Außerdem werden folgende Ordner bei der Verschlüsselung ausgelassen:

  • windows
  • winnt
  • programdata
  • boot
  • temp
  • tmp
  • $recycle.bin

Um herauszufinden, ob ein Computer (oder Server) infiziert ist, suchen Sie nach den folgenden Dateien:
%Temp%\nw3932_17475
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\ChromeService.lnk
%AppData%\Chrome Browser\
%AppData%\Chrome Browser\.chrome\
%AppData%\Chrome Browser\.chrome\cached-certs
%AppData%\Chrome Browser\.chrome\cached-microdesc-consensus
%AppData%\Chrome Browser\.chrome\cached-microdescs
%AppData%\Chrome Browser\.chrome\cached-microdescs.new
%AppData%\Chrome Browser\.chrome\lock
%AppData%\Chrome Browser\.chrome\state
%AppData%\Chrome Browser\chrome
%AppData%\Chrome Browser\chrome.exe
%AppData%\Chrome Browser\ffmpegsumo.dll
%AppData%\Chrome Browser\g
%AppData%\Chrome Browser\icudtl.dat
%AppData%\Chrome Browser\locales\
%AppData%\Chrome Browser\msgbox.vbs
%AppData%\Chrome Browser\n.l
%AppData%\Chrome Browser\n.q
%AppData%\Chrome Browser\nw.pak
%AppData%\Chrome Browser\rundll32.exe
%AppData%\Chrome Browser\s.exe
%AppData%\Chrome Browser\u.vbs

1 http://www.bleepingcomputer.com/news/security/ransom32-is-the-first-ransomware-written-in-javascript/

The post Alles über Ransom32 RaaS appeared first on Varonis Deutsch.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?