Neues: Ransomware Hades Locker & FileiceRansomware

Zum Wochenstart noch ein paar Informationen zu neuer Ransomware mit den geflügelten Namen FileiceRansomware und Ransomware Hades Locker.


Anzeige

FileiceRansomware erzwingt Umfragen

Eine neue Ransomware-Variante mit dem Namen FileiceRansomware wurde von Karsten Hahn (GDATA) entdeckt und per Twitter der Welt zur Kenntnis gebracht.

Die Ransomware blendet nach ihrer Aktivierung einen Sperrbildschirm ein, der den Nutzer zur Teilnahme an Umfragen zwingt.

Umfrage
(Quelle: Twitter)

Der Erpressungs-Trojaner verschlüsselt nichts, sondern die Kriminellen hoffen wohl an den Umfragen zu verdienen. Bei heise.de finden sich ergänzende Informationen.

Ransomware Hades Locker –  ahmt Locky nach

Forscher von Proofpoint haben eine neue Ransomware-Variante namens Hades Locker identifiziert. Diese wird über das gleiche Spam-Botnet wie die jüngsten CryptFile2- und MarsJoke-Kampagnen versendet wird. Bei der Analyse des Schädlings wurde folgendes festgestellt:

  • Hades Locker ähnelt zwar von der Aufmachung her Locky, doch diese spezielle Kampagne wurde über das gleiche Spam-Botnet wie die letzten CryptFile2- und MarsJoke-Kampagnen versendet und nutzt ähnliche Köder und gehostete bösartige Dokumente.
  • Genau wie die MarsJoke-Kampagne, über die Proofpoint kürzlich berichtete, wird die Malware über URLs verbreitet. Diese verweisen auf Dateien, die auf speziell für diese Kampagne eingerichteten Domänen gehostet werden.
  • Wie bei vielen der jüngsten Kampagnen beträgt das Lösegeld ein Bitcoin (600 US-Dollar).
  • Diese Ransomware scheint mit den Ransomware-Varianten Zyklon und Wildfire verwandt zu sein.

Das Nachladen des Schadcodes erfolgt z.B. über Word-Dokumente. Nach der Infektion und Verschlüsselung der Dokumentdateien werden dem Opfer Dateien in den einzelnen Verzeichnissen hinterlassen:

  • README_RECOVER_FILES_[16 Zeichen].txt
  • README_RECOVER_FILES_[16 Zeichen].html
  • README_RECOVER_FILES_[16 Zeichen].png

Anzeige

Verschlüsselte Dateien erhalten eine neue Erweiterung, z. B. „.~HL233XP“, „.~HLJPK1L“ oder „.~HL0XHSF“. Die ersten vier Zeichen der neuen Erweiterung – „.~HL“ – sind immer gleich, während sich die übrigen 5 unterscheiden.


(Quelle: Proofpoint)

Der Blog-Post mit einer vollständigen Beschreibung der Malware kann auf dieser Proofpoint-Webseite abgerufen werden.

Ähnliche Artikel:
Sicherheitslücken in iTunes/iCloud, BSI warnt
Zero-Day-AtomBombing-Sicherheitslücke in Windows
Malware nutzt IE-Sicherheitslücke CVE-2016-3298 aus
Sicherheitsinfos 21.10.2016


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (SEO-Posts/SPAM lösche ich). Kommentare abseits des Themas bitte unter Diskussion.