Zerolocker: Kaspersky warnt vor neuer Erpresser-Malware für Windows

Zerolocker verschlüsselt im Gegensatz zu Cryptolocker nahezu alle Dateien eines Rechners. Ausgenommen sind nur Daten in den Verzeichnissen „Windows“, „Desktop“ und „Program Files“. Das geforderte Lösegeld liegt zwischen 300 und 1000 Dollar.

Ähnlich wie Cryptolocker ist auch die Zerolocker genannte Erpresser-Malware für Windows, die Kaspersky entdeckt hat, in der Lage, Dateien mit einem starken Algorithmus zu verschlüsseln, um Lösegeld für die Entschlüsselung zu erpressen. Allerdings geht Zerolocker dabei nicht selektiv vor, sondern verschlüsselt unabhängig vom Dateityp nahezu alle Dateien eines betroffenen Systems.

(Bild: Shutterstock/Cousin_Avi)

Kaspersky-Forscher Roel Schouwenberg schreibt in einem Blogeintrag: „Zerolocker fügt zu allen Dateien, die es verschlüsselt, die Endung ‚.encrypt‘ hinzu“. „Im Gegensatz zu anderer Ransomware verschlüsselt Zerolocker praktisch alle Dateien eines Systems, statt nur vordefinierte Dateitypen zu verschlüsseln.“ Ausgenommen seien lediglich Dateien größer 200 MByte sowie in den Verzeichnissen „Windows“, „Program Files“, „Zerolocker“ und „Desktop“. Die Malware selbst werde im Verzeichnis „C:\Zerolocker“ ausgeführt.

Die Hintermänner der neuen Ransomware haben von Cryptolocker auch die Taktik übernommen, einen Nachlass auf das Lösegeld zu gewähren, wenn ein Opfer innerhalb eines Zeitraums von fünf Tagen nach der Infektion einen Schlüssel für die Freigabe seiner Dateien kauft. Nach Ablauf der Frist steigt der Preis für den Schlüssel von 300 Dollar auf 600 Dollar. Ab dem zehnten Tag nach der Infektion verlangen die Cyberkriminellen sogar 1000 Dollar. Die Zahlung kann nur in Bitcoins erfolgen.

Im Fall einer Infektion mit einer Erpresser-Malware raten Sicherheitsexperten und Strafverfolger davon ab, ein Lösegeld zu zahlen. Aufgrund eines Fehlers in Zerolocker seien die Hintermänner wahrscheinlich gar nicht in der Lage, einen korrekten Schlüssel für die Entschlüsselung zu liefern.

Zerolocker verlangt ein Lösegeld zwischen 300 und 1000 Dollar, das nur in Bitcoins gezahlt werden kann (Bild: Kaspersky).

Zerolocker verlangt ein Lösegeld zwischen 300 und 1000 Dollar, das nur in Bitcoins gezahlt werden kann (Bild: Kaspersky).

„Die Malware generiert einen 160-Bit AES-Schlüssel, mit dem alle Dateien verschlüsselt werden. Interessanterweise wir der Schlüssel zusammen mit anderen Daten durch eine GET-Anfrage verschickt, statt einem POST. Das führt zu einem 404-Fehler auf dem Server“, so Schouwenberg weiter. „Das könnte bedeuten, dass der Server die Information gar nicht speichert. Opfer, die bezahlen, werden wahrscheinlich nicht erleben, dass ihre Dateien wiederhergestellt werden.“

Der Fehler sei möglicherweise auch ein Grund für die bisher geringe Verbreitung von Zerolocker. Eine Prüfung der zum Zerolocker-Botnet gehörenden Bitcoin-Wallet-Adressen habe zudem gezeigt, dass bisher keine Transaktionen ausgeführt wurden.

Eine Wiederherstellung verschlüsselter Dateien ohne Schlüssel hält Schouwenberg allerdings auch für unwahrscheinlich. Die Cyberkriminellen hätten zwar die Größe des Schlüssels begrenzt, er sei aber immer noch so groß, dass es nicht möglich sei, den Schlüssel per Brute Force zu ermitteln.

[mit Material von Stefan Beiersmann, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Zerolocker: Kaspersky warnt vor neuer Erpresser-Malware für Windows

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *