Noch eine Warnung vor einer Ransomware mit dem Namen Karma, die im Beipack gefälschter Software auf Windows-Systemen verbreitet wurde. Die Schadsoftware gab vor, ein Windows-TuneUp-Programm zu sein und verschlüsselte die Benutzerdateien. Die Server zur Verbreitung der Schadsoftware sind zwar abgeschaltet, der Fall zeigt aber wieder einmal, wie trickreich die Kriminellen vorgehen.
Anzeige
Die Meldung findet sich in diesem Tweet von slipstream/RoL und wurde in einem Artikel auf grahamcluley.com dokumentiert.
#Ransom Karma
– 1/55, signed
– distributed via PUP bundling network
– possible indian origin
– clearnet c&c
hashes: https://t.co/YnSNbittiO pic.twitter.com/5kZr5tIRhp— slipstream/RoL (@TheWack0lian) 14. November 2016
Die Malware kommt als Potentially unwanted program (PUP) im Beipack mit anderer Software und wird mit installiert. Sobald die Ransomware Karma installiert ist, verschlüsselt sie Dateien auf dem System des Benutzers. In der Vergangenheit tauchte Karma im Beipack mit gefälschten Pokémon Go-Apps oder IT-Sicherheitslösungen auf.
(Quelle: grahamcluley.com)
Aktuell wird Ransomware mit einem Programm Windows-TuneUp verbreitet, welche die Optimierung von Windows verspricht. Ich rate ja immer, die Finger von Tuning-Programmen zu lassen. Aber der aktuelle Ansatz hat eine besondere Qualität. Scheinbar haben die Entwickler der Ransomware eine gefälschte Version von Windows-TuneUp mit der Ransomware im Beipack geschnürt und im Web auf einer gefälschten Webseite zum Download bereitgestellt (die Site ist zwischenzeitlich offline und der Command & Control-Server ist zwischenzeitlich offline).
Bei Bleeping Computer hat man die Ransomware ebenfalls in einem Artikel thematisiert und dokumentiert. Im Artikel findet sich der Hinweis:
"If a user downloads and installs a free program that is monetized by this software monetization company, they would possibly be greeted with an offer for a Windows optimization program called Windows-TuneUp. While many people know these types of programs are not ones you want on your computer, there are unfortunately many who do not realize this. These people would then accept the offer thinking they are getting a program that will help optimize their slow computer."
Den Erpressern ist es offenbar gelungen, in ein Adware-Programm hinein zu kommen, so dass Windows-TuneUp bei der Installation anderer Software als "Beipack" vorgeschlagen wurde. Hat ein Nutzer die Option nicht abgewählt, wurde die Ransomware mit installiert.
Dann bekam der Benutzer das obige Fenster der "Tuning-Software" angezeigt, während die Ransomware ihre Arbeit verrichtete. Im Artikel bei Bleeping Computer sind die Details beschrieben. So prüft die Schadsoftware, ob sie in einer virtuellen Maschine ausgeführt wird. In diesem Fall erscheint die Meldung, dass das Programm nicht kompatibel mit dem Computer sei. Auf realen Systemen wird der Schädling aktiv.
Anzeige
Bei Bleeping Computer sind die Dokumenttypen aufgeführt, die von Karma verschlüsselt werden. Die Dateien werden AES-verschlüsselt und erhalten die Dateinamenerweiterung .karma angehängt. Anschließend erhält der Nutzer eine Infoseite angezeigt, dass die Dateien verschlüsselt sind. Details sind bei Bleeping Computer nachzulesen.
Die Gefahr, sich jetzt noch mit Windows-TuneUp zu infizieren, ist recht gering. Der Fall zeigt aber wieder einmal, dass die Kriminellen immer findiger werden und man sehr genau schauen sollte, was mit kostenloser Software auf die Systeme kommt. Von Tuning-Tools sollte man generell die Finger lassen. (via)
Ähnliche Artikel:
Digitales Schlangenöl: Registry-Cleaner, Driver-Updater & PUPs
Firefox-Nutzer aufgepasst: PUPs deaktivieren Safe-Browsing-Mode
Sicherheitslücken bei Dell, Lenovo, Toshiba durch PUPs…
Tuning-Tools, die Plage des 21. Jahrhunderts?
2015
"Den Erpressern ist es offenbar gelungen, in ein Adware-Programm hinein zu kommen"
Is ja nicht wirklich so schwer, sich mit geklautem Geld in sowas einzukaufen und ein kostengünstiges Monatspaket zu bekommen.
Geht bestimmt sogar online und zum Teil ohne großartige Prüfung…