Erpresserische Software

Neue Version der Ransomware PCLock in Umlauf

| Redakteur: Stephan Augsten

Die Ransomware PCLock2 prüft das Zielsystem auf verschiedene Faktoren, die eine Infektion verhindern könnten.
Die Ransomware PCLock2 prüft das Zielsystem auf verschiedene Faktoren, die eine Infektion verhindern könnten. (Bild: Palo Alto Networks)

Ransomware, die Festplatten und Dateien in erpresserischer Absicht verschlüsselt, gilt mittlerweile als eine der schlimmsten Malware-Arten. Die Ransomware PCLock, die Anfang des Jahres auftauchte, war ein weniger gefährliches Exemplar. Nun aber ist eine verbesserte Version in Umlauf.

Ransomware stellt in vielen Fällen ein unlösbares Problem dar, denn oft lassen sich die verschlüsselten Dateien nicht wiederherstellen. Selbst wenn ein Opfer das geforderte „Lösegeld“ bezahlt, sollte er nicht damit rechnen, dass die kriminellen Urheber seine Dateien wieder entschlüsseln.

Mit PCLock tauchte Anfang dieses Jahres eine Ransomware auf, die sich einfacher knacken ließ. Der Schadcode nutzte eine einfache XOR-Verschlüsselungsroutine mit einem fest hinterlegten, statischen Schlüssel. Deshalb ließen sich auch die chiffrierten Dateien recht einfach wiederherstellen.

Unit 42, das Forschungszentrum von Palo Alto Networks, hat die Ransomware genauer unter die Lupe genommen. Im August 2015 tauchte nämlich eine verbesserte Version von PCLock auf. Um sie von der alten Version abzugrenzen, bezeichnen die Forscher von Palo Alto Networks die aktuelle Version als PCLock2.

Im Rahmen der Analyse wollte Unit 42 herausfinden, ob sich PCLock2 mittlerweile mit anderer Ransomware messen kann. Bei der erstmaligen Aktivierung führt PClock2 einen sehr einfachen Anti-Analyse-Check durch, um das Opfersystem nach Sandbox-Systemen abzusuchen. Außerdem prüft der Schadcode, ob er mit Administratorrechten ausgeführt wird.

Nach diesen Eingangs-Checks sendet die Malware das Ergebnis über eine HTTP-POST-Anforderung an einen Remote-Server. Alle über HTTP-POST-Anfragen laufenden Daten werden als Klartext gesendet. Zu den Verbesserungen gehört, dass mehrere Dateitypen hinzugefügt wurden, wobei bestimmte Verzeichnisse ignoriert werden, zudem kommt eine bessere Verschlüsselungsroutine zum Einsatz.

Momentan lässt sich die Malware-Familie aber verhältnismäßig einfach aufspüren: PCLock2 benötigt mehr als 20 Minuten Laufzeit, um sich zu vervollständigen und versendet über 1.000 HTTP-POST-Anfragen. Es mangelt also momentan insbesondere an Verbergungstechniken. Außerdem ist der Schadcode auf Benutzereingaben angewiesen, die mithilfe von Dialog-Pop-ups eingefordert werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43665418 / Malware)