Kostenlose Entschlüsselung als Lockmittel

Ransomware fordert Opfer auf, Freunde zu infizieren

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Popcortime will Opfer dazu bringen, weitere Nutzer zu infizeren.
Popcortime will Opfer dazu bringen, weitere Nutzer zu infizeren. (Bild: pixabay / CC0)

Die Erpressersoftware Popcorntime verschlüsselt Daten und erpresst Lösegeld – so weit, so Standard. Doch wer das geforderte Geld nicht zahlen kann, dem bietet die Malware eine Alternative: Man muss sie nur an mindestens zwei weitere Opfer verteilen.

Wenn eine Ransomware in 2016 noch Schlagzeilen machen will, dann muss sie schon besonders durchtrieben sei. In diesem Jahr gab es so viele Erpresserviren, dass selbst das BSI mehrfach davor warnte. Die Popcorntime Ransomware verdient dennoch eine besondere Erwähnung, einfach, weil sie so unverschämt dreist ist. Nach der Infektion bietet sie dem Opfer eine kostenlose Entschlüsselung an – wenn der Anwender zwei andere Nutzer infiziert und diese das Lösegeld zahlen.

Die Malware verschlüsselt Dateien in den Windows-Ordnern Bilder, Desktop, Desktop und Dokumente. Die neuen Daten erhalten die neue Dateiendung .filelock. Auf dem Desktop werden anschließend einige Dateien namens „Save_your_files“ hinterlegt. Diese erklären was passiert ist und wie der Nutzer seine Daten wiederherstellen kann. Sie verlangen einen Bitcoin, aktuell sind das etwas mehr als 760 Euro. Die Kriminellen drücken dabei noch auf die Tränendrüse und geben an, dass sie angeblich in Syrien leben und das Geld für Medikamente und Versorgungsmittel in den Krisengebieten benötigen.

Wie Ransomware Unternehmen angreift

Definition Ransomware

Wie Ransomware Unternehmen angreift

12.04.16 - Viele Unternehmen fürchten, Opfer einer Ransomware-Attacke zu werden. Richtig gefährlich ist die Erpresser-Malware aber nur, wenn Unternehmen sowohl technische als auch organisatorische Sicherheitslücken haben. lesen

Alternativ bietet Popcorntime einen „nasty way“. Damit können die Opfer ihre Dateien retten, indem sie einen Link verteilen, weitere Opfer infizieren und mindestens zwei das Lösegeld zahlen. Experten bei Sophos bestätigen, dass der Link eine einmalige ID enthält, so dass dies wirklich funktionieren könnte. Zumindest theoretisch, denn ob sich die Kriminellen wirklich daranhalten, ist fraglich.

Backups schützen

Aktuell gibt es noch keinen Decryptor für Popcorntime, allerdings ist der notwendige Key laut Sophos in der ausführbaren Datei der Malware zu finden. Entsprechend sollte man die Regeln befolgen, die gegen alle Arten von Ransomware helfen: Systeme absichern, Virenschutz nutzen und vor allem regelmäßig Backups erstellen.

Ransomware finanzieren sich mit relativ geringem Aufwand selbst, gerade weil der Bitcoin-Kurs aktuell wieder am Steigen ist. Kriminelle können fertige Erpresserviren kaufen und müssen diese anschließend nur noch in Umlauf bringen. Neben Endkunden sind auch Unternehmen im Visier der Angreifer, doch gerade hier sollten oben erwähnten wichtigen Gegenmaßnahmen getroffen werden.

Strategien gegen Ransomware

Mangelnde Vorbereitung ist das Problem

Strategien gegen Ransomware

24.11.16 - Ransomware-Attacken gehören in deutschen IT-Abteilungen mittlerweile zum Alltag. Um sie abwehren und im Ernstfall die Folgen eindämmen zu können, müssen sich Unternehmen den neuen Anforderungen stellen, sagt Mark Crosbie von Dropbox. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44438981 / Malware)