Französische Retis .Crypted-Ransomware

Publiziert am 27. Dezember 2017 von Günter Born

SicherheitNoch eine kurze Sicherheitsinformation 'zwischen den Jahren'. Seit kurzem macht eine französische Ransomware Ärger, die Dateien mit der Erweiterung .Crypted verschlüsselt.

Anzeige

Die Retis-Ransomware setzt auf dem .NET-Framework auf und wurde von dem Sicherheitsforscher SDK am 19. Dezember 2017 erstmals entdeckt und auf pastebin dokumentiert.

Der Name der Ransomware leitet sich von der Zeichenkette ab, der in der Konsole angezeigt wird, sobald Retis läuft. Zudem taucht im Hintergrundbild mit der Lösegeldforderung der Text "Hack Lab by Retis" auf.

Verbreitungsweg unbekannt, das macht die Malware

Es ist derzeit nicht bekannt, wie diese Ransomware verbreitet wird und wie oft Windows-Rechner bereits infiziert sind. Laut Virustotal erkennen viele Antivirus-Produkte die Ransomware aber bereits.

Wird die Ransomware ausgeführt, beginnt sie mit der Verschlüsselung der Ordnerinhalte auf dem Desktop und der Profilordner Documente und Bilder. Im Anschluss nimmt sich die Ransomware die restlichen Laufwerke auf dem System vor.

Die Malware verwendet eine AES-Verschlüsselung, greift aber auf (im Code abgelegte) statische Schlüssel zurück:

  • AES: "m4aP}2a_Jd`H~=k9aML58-ZJwy/j:e5Q"
  • AES IV: von "R<0]W&JCfaD^('FX")

Nach dem Verschlüsseln einer Datei wird die Endung .crypted an den Dateinamen angehängt. Die Ransomware verschlüsselt folgende Dateitypen:

.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .jpg, .jpeg, .png, .one, .pdf

Nach erfolgreicher Verschlüsselung ändert die Schadsoftware das Windows Hintergrundbild in %APPDATA%\RANSOM.png. Dieses zeigt dann den Befall mit Ransomware an.

Anzeige

Retis-Dateien sind aktuell entschlüsselbar

In der aktuellen Fassung können verschlüsselte Dateien der Retis-Ransomware entschlüsselt werden, da ein statischer Schlüssel (abgerufbar aus der ausführbaren Datei) verwendet wird. Bleeping Computer, die den Fall hier dokumentiert haben, bietet Opfern eine Hilfe an. Wenn jemand Opfer dieser Ransomware wird, kann er Bleeping Computer kontaktieren. Dann will man versuchen, ob man ein Entschlüsselungs-Tool erstellen kann. Im verlinkten Artikel finden sich weitere Hinweise, wie man sich vor der Ransomware schützen kann.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.