AnteFrigus: Ransomware verschlüsselt nur D:, E:, F: usw.

Die Welt wird immer verrückter. Jetzt ist eine Ransomware gefunden worden, die statt Dateien auf dem Laufwerk C: die Inhalte der logischen Windows-Laufwerk D:, E:, F: etc. verschlüsselt. Noch ist unklar, was genau dahinter steckt (unfertige Ransomware oder ein gezielter Angriff auf Netzwerkfreigaben).


Anzeige

Der Sicherheitsanbieter Trend Micro weist in nachfolgendem Tweet auf die Schadsoftware, die von Bleeping Computer und anderen analysiert wurde, hin.

Entdeckt wurde die AnteFrigus-Ransomware vom Exploit-Kit-Experten Mol69. Der Schädling wird über eine Hookads-Mal-Spam-Kampagne ausgeliefert. Die betreffenden Spam-Mails versuchen die Opfer auf den RIG-Exploit-Kit-Server locken, wo dann der Angriff stattfindet. Die Ransomware verschlüsselt keine Dateien auf dem Windows-Laufwerk C:. Stattdessen werden mit der Ransomware-Variante von AnteFrigus die Dateien verschlüsselt, die sich in den Laufwerken D:, E:, E:, F:, G:, H: und I: befinden.

BleepingComputer vermutet, dass die Urheber einen komplexeren Angriff planen, der nur auf bestimmte Laufwerke abzielt, auf denen die Benutzer normalerweise für Netzwerkfreigaben in Unternehmensumgebungen verwenden. Der von BleepingComputer kontaktierte Sicherheitsforscher Vitali Kremez glaubt dagegen, dass sich die Ransomware-Variante noch in der Entwicklungsphase befinden könnte.

BleepingComputer führte auch einen eigenen Test von AnteFrigus durch und beobachtete, dass die Cyberkriminellen hinter dieser Ransomware-Variante einen Lösegeldbetrag von 1.995 US-Dollar in Bitcoins fordern. Der Betrag verdoppelt sich, wenn das Opfer nicht innerhalb von vier Tagen und fünf Stunden bezahlt.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu AnteFrigus: Ransomware verschlüsselt nur D:, E:, F: usw.

  1. Ismail sagt:

    Ist ja klar warum. Damit das System intakt bleibt, wenn weiterhin verschlüsselt wird.

  2. masterX244 sagt:

    Wer ala Linux seine partitionen alle unterhalb von C:\ mountet sollte da sicher sein :P geht auch unter windows…

  3. Ismail sagt:

    Appropos D: Laufwerk. Mir fiel gerade ein, die Ransomware würde ja auf meinem Rechner gar keinen Schaden außer sich selbst anrichten. Sobald versucht wird Daten zu verschlüsseln wird die Schadsoftware crashen.
    Weil eben auf dem D: mein DVD/Bluray Laufwerk gemountet ist :-)))

  4. Uwe Bieser sagt:

    Ich habs zwar nicht probiert, aber die Datenträgerverwaltung erlaubt im Grunde auch die Buchstaben A und B.

    Ich bezweifle allerdings, dass dies etwas nützt. Ich denke die Ransomware verschlüsselt alles außer und nicht nur oberhalb C:

  5. Bediener 1 sagt:

    In dem einen verlinkten Artikel ist aufgeführt, welche Dateien von der Verschlüsselung ausgenommen sind. Das heißt im Umkehrschluss, dass die Malware maximalen Schaden anrichten kann, weil sie sich auf die sensiblen Dateien konzentriert. Vielleicht auch gezielt das "Produktiv-Laufwerk" und die Backups verschlüsselt.
    Da wünscht man sich den "Hardwareschreibschutz"´a la Diskette (A:) oder die leider eingestellten MO Laufwerke mit Schiebeschalter wieder zurück!

    • V. Kleipa sagt:

      Ein einziger Datenträger für das Backup und der permanent am PC, ist generell nicht zu empfehlen.

      Zu Hardwareschreibschutz empfehle ich: http://www.vkldata.com
      Die Systemsoftware kann nicht verändert werden.
      Es kann sich nichts einnisten und nach eine Reboot ist die Schadsoftware wieder verschwunden. Es müssen nur noch die Daten aus einem Backup auf die beschreibbaren Festplatten zurückgespielt werden.

Schreibe einen Kommentar zu Uwe Bieser Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.