Suchen

Erpresserische Software Neue Version der Ransomware PCLock in Umlauf

| Redakteur: Stephan Augsten

Ransomware, die Festplatten und Dateien in erpresserischer Absicht verschlüsselt, gilt mittlerweile als eine der schlimmsten Malware-Arten. Die Ransomware PCLock, die Anfang des Jahres auftauchte, war ein weniger gefährliches Exemplar. Nun aber ist eine verbesserte Version in Umlauf.

Firmen zum Thema

Die Ransomware PCLock2 prüft das Zielsystem auf verschiedene Faktoren, die eine Infektion verhindern könnten.
Die Ransomware PCLock2 prüft das Zielsystem auf verschiedene Faktoren, die eine Infektion verhindern könnten.
(Bild: Palo Alto Networks)

Ransomware stellt in vielen Fällen ein unlösbares Problem dar, denn oft lassen sich die verschlüsselten Dateien nicht wiederherstellen. Selbst wenn ein Opfer das geforderte „Lösegeld“ bezahlt, sollte er nicht damit rechnen, dass die kriminellen Urheber seine Dateien wieder entschlüsseln.

Mit PCLock tauchte Anfang dieses Jahres eine Ransomware auf, die sich einfacher knacken ließ. Der Schadcode nutzte eine einfache XOR-Verschlüsselungsroutine mit einem fest hinterlegten, statischen Schlüssel. Deshalb ließen sich auch die chiffrierten Dateien recht einfach wiederherstellen.

Unit 42, das Forschungszentrum von Palo Alto Networks, hat die Ransomware genauer unter die Lupe genommen. Im August 2015 tauchte nämlich eine verbesserte Version von PCLock auf. Um sie von der alten Version abzugrenzen, bezeichnen die Forscher von Palo Alto Networks die aktuelle Version als PCLock2.

Im Rahmen der Analyse wollte Unit 42 herausfinden, ob sich PCLock2 mittlerweile mit anderer Ransomware messen kann. Bei der erstmaligen Aktivierung führt PClock2 einen sehr einfachen Anti-Analyse-Check durch, um das Opfersystem nach Sandbox-Systemen abzusuchen. Außerdem prüft der Schadcode, ob er mit Administratorrechten ausgeführt wird.

Nach diesen Eingangs-Checks sendet die Malware das Ergebnis über eine HTTP-POST-Anforderung an einen Remote-Server. Alle über HTTP-POST-Anfragen laufenden Daten werden als Klartext gesendet. Zu den Verbesserungen gehört, dass mehrere Dateitypen hinzugefügt wurden, wobei bestimmte Verzeichnisse ignoriert werden, zudem kommt eine bessere Verschlüsselungsroutine zum Einsatz.

Momentan lässt sich die Malware-Familie aber verhältnismäßig einfach aufspüren: PCLock2 benötigt mehr als 20 Minuten Laufzeit, um sich zu vervollständigen und versendet über 1.000 HTTP-POST-Anfragen. Es mangelt also momentan insbesondere an Verbergungstechniken. Außerdem ist der Schadcode auf Benutzereingaben angewiesen, die mithilfe von Dialog-Pop-ups eingefordert werden.

(ID:43665418)