Polymorphe Ransomware

Trojaner CTB-Locker täuscht Security-Software

| Redakteur: Stephan Augsten

Der polymorphe Trojaner CTB-Locker macht Dateien mittels Verschlüsselung komplett unbrauchbar.
Der polymorphe Trojaner CTB-Locker macht Dateien mittels Verschlüsselung komplett unbrauchbar. (Bild: Archiv)

Die Ransomware CTB-Locker wird für jedes Opfer neu generiert, damit der Trojaner nicht per Hash-Wert identifiziert werden kann. Die Malware wird laut Palo Alto Networks seit dem 19. Januar verbreitet, seither wurden über 1.000 separate Angriffe erkannt.

CTB-Locker basiert entstammt einem Malware-Baukasten, der jede Instanz der Schadcode-Familie leicht verändert (Polymorphie). Auf diesem Wege wird sichergestellt, dass Antivirus-Lösungen den Trojaner nicht mithilfe einer Prüfsumme erkennen können, was insbesondere auf Signatur-basierte Scan-Engines zutrifft.

In seiner Eigenschaft als Ransomware (erpresserische Software) dient CTB-Locker dazu, Dateien auf einem infizierten Endgerät zu verschlüsseln. Der Anwender soll anschließend ein Lösegeld zahlen, um die Dateien wieder in den Originalzustand zu versetzen. Allerdings bleiben die Dateien in der Regel auch nach Zahlung unbrauchbar, man sollte der Aufforderung also nicht nachkommen.

Der Angriffsvektor ist laut Palo Alto Networks sehr einfach aufgebaut und wiederhole sich immer wieder: Das potenzielle Opfer wird mithilfe einer gezielten Spam-Mail attackiert (Spear Phishing), die Nachricht enthält doppelt gepackte SCR-Anlagen. Öffnet der Anwender das Attachment, dann wird die Malware heruntergeladen und die Ransomware von einer Liste an Servern ausgeführt.

Die erste bekannteAngriffswelle startete im November 2014 mit dem Download der Ransomware von verschiedenen Websites. Dabei wurden teilweise die Server-Hostnamen variiert, aber nicht die Server-IP-Adressen. Die meisten herkömmlichen Sicherheitsprogramme konnten die Malware zum Start der Angriffswelle nicht erkennen. Palo Alto Networks an einem 147 neue Vertreter dieser Malware entdeckt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43186523 / Malware)