Es darf wieder vor einer Malware, genauer gesagt einer Ransomware, gewarnt werden. Diese gibt diesmal nicht vor, den Flash-Player zu aktualisieren, sondern hat eine andere Zielgruppe: Raubkopierer. Die Software gibt vor, Adobe Premiere Pro CC 2017 und Office 2016 cracken zu können, um sie illegal nutzen zu können. Aber stattdessen werden alle Daten verschlüsselt und die Originale entsorgt.
Ransomware ist „kein Meisterwerk“
Marc-Etienne M. Léveillé von ESET berichtet über den Fund der neuen Ransomware. Sie verbreitet sich über Bittorrent und verspricht, die Kopierschutzmaßnahmen teurer, kommerzieller Software zu entfernen, via Crack oder Patch. Nach dem Aufruf verschlüsseln die Programme die Benutzerdaten und löschen die Originale. Lediglich eine Readme-Datei und der verschlüsselte Container bleibt übrig.
In der Readme-Datei heißt es dann, dass die eigenen Daten verschlüsselt wurden. Wenn man sie wiederhaben wolle, solle man 0,25 Bitcoins (etwa 270 Euro) an eine bestimmte Adresse überweisen, dann sollen die Daten innerhalb einer Woche wieder freigegeben werden. Ein weiterer Tarif sieht vor, dass man 0,45 Bitcoins bezahlt (ca. 484 Euro), dann geschehe das innerhalb von 10 Minuten.
Pfuscher am Werk
Wie Léveillé von ESET schreibt, ist die Ransomware nicht besonders gut programmiert worden. Sie wurde in Swift geschrieben und hat eine Menge Bugs. Allerdings funktioniert sie gut genug, um die Daten des Nutzers zu vernichten. Denn selbst wenn man die geforderte Überweisung tätigt, wird eine Entschlüsslung wohl nicht stattfinden.
Die Software erstellt einen Container, der mit einer 25-stelligen zufällig generierten Zeichenkombination verschlüsselt wird, kopiert alle gefundenen Daten in den Container und löscht die Originale. Anschließend versucht sie, mit dem Festplattendienstprogramm den freien Speicher auf dem Mac zu löschen, verwendet dafür jedoch den falschen Pfad.
Zu allem Überfluss wird man durch die Zahlung seine Daten auch nicht zurückerhalten, denn es gibt in dem „Patcher“ keine Routine, die die zufällige Kombination, die zum Entschlüsseln benötigt wird, irgendwo hin sendet. Insofern ist davon auszugehen, dass auch der Autor keine Möglichkeit zur Entschlüsselung hat. ESET hat sich zudem mal das Bitcoin-Wallet angesehen. Da jedes Opfer dieselbe Readme-Datei bekommt, kann man ziemlich sicher davon ausgehen, dass noch keiner das Lösegeld gezahlt hat.
ESET empfiehlt, seine wichtigen Daten generell und unabhängig von Ransomware an einem zweiten Ort aufzubewahren. Und nur falls sich das jemand ernsthaft fragt: Den Kopierschutz von Premiere Pro oder Office 2016 kann die Software auch nicht wegpatchen.