Suchen

Kostenlose Entschlüsselung als Lockmittel Ransomware fordert Opfer auf, Freunde zu infizieren

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Die Erpressersoftware Popcorntime verschlüsselt Daten und erpresst Lösegeld – so weit, so Standard. Doch wer das geforderte Geld nicht zahlen kann, dem bietet die Malware eine Alternative: Man muss sie nur an mindestens zwei weitere Opfer verteilen.

Firmen zum Thema

Popcortime will Opfer dazu bringen, weitere Nutzer zu infizeren.
Popcortime will Opfer dazu bringen, weitere Nutzer zu infizeren.
(Bild: pixabay / CC0 )

Wenn eine Ransomware in 2016 noch Schlagzeilen machen will, dann muss sie schon besonders durchtrieben sei. In diesem Jahr gab es so viele Erpresserviren, dass selbst das BSI mehrfach davor warnte. Die Popcorntime Ransomware verdient dennoch eine besondere Erwähnung, einfach, weil sie so unverschämt dreist ist. Nach der Infektion bietet sie dem Opfer eine kostenlose Entschlüsselung an – wenn der Anwender zwei andere Nutzer infiziert und diese das Lösegeld zahlen.

Die Malware verschlüsselt Dateien in den Windows-Ordnern Bilder, Desktop, Desktop und Dokumente. Die neuen Daten erhalten die neue Dateiendung .filelock. Auf dem Desktop werden anschließend einige Dateien namens „Save_your_files“ hinterlegt. Diese erklären was passiert ist und wie der Nutzer seine Daten wiederherstellen kann. Sie verlangen einen Bitcoin, aktuell sind das etwas mehr als 760 Euro. Die Kriminellen drücken dabei noch auf die Tränendrüse und geben an, dass sie angeblich in Syrien leben und das Geld für Medikamente und Versorgungsmittel in den Krisengebieten benötigen.

Alternativ bietet Popcorntime einen „nasty way“. Damit können die Opfer ihre Dateien retten, indem sie einen Link verteilen, weitere Opfer infizieren und mindestens zwei das Lösegeld zahlen. Experten bei Sophos bestätigen, dass der Link eine einmalige ID enthält, so dass dies wirklich funktionieren könnte. Zumindest theoretisch, denn ob sich die Kriminellen wirklich daranhalten, ist fraglich.

Backups schützen

Aktuell gibt es noch keinen Decryptor für Popcorntime, allerdings ist der notwendige Key laut Sophos in der ausführbaren Datei der Malware zu finden. Entsprechend sollte man die Regeln befolgen, die gegen alle Arten von Ransomware helfen: Systeme absichern, Virenschutz nutzen und vor allem regelmäßig Backups erstellen.

Ransomware finanzieren sich mit relativ geringem Aufwand selbst, gerade weil der Bitcoin-Kurs aktuell wieder am Steigen ist. Kriminelle können fertige Erpresserviren kaufen und müssen diese anschließend nur noch in Umlauf bringen. Neben Endkunden sind auch Unternehmen im Visier der Angreifer, doch gerade hier sollten oben erwähnten wichtigen Gegenmaßnahmen getroffen werden.

(ID:44438981)

Über den Autor

 Moritz Jäger

Moritz Jäger

IT Journalist