Suchen

Polymorphe Ransomware Trojaner CTB-Locker täuscht Security-Software

| Redakteur: Stephan Augsten

Die Ransomware CTB-Locker wird für jedes Opfer neu generiert, damit der Trojaner nicht per Hash-Wert identifiziert werden kann. Die Malware wird laut Palo Alto Networks seit dem 19. Januar verbreitet, seither wurden über 1.000 separate Angriffe erkannt.

Firmen zum Thema

Der polymorphe Trojaner CTB-Locker macht Dateien mittels Verschlüsselung komplett unbrauchbar.
Der polymorphe Trojaner CTB-Locker macht Dateien mittels Verschlüsselung komplett unbrauchbar.
(Bild: Archiv)

CTB-Locker basiert entstammt einem Malware-Baukasten, der jede Instanz der Schadcode-Familie leicht verändert (Polymorphie). Auf diesem Wege wird sichergestellt, dass Antivirus-Lösungen den Trojaner nicht mithilfe einer Prüfsumme erkennen können, was insbesondere auf Signatur-basierte Scan-Engines zutrifft.

In seiner Eigenschaft als Ransomware (erpresserische Software) dient CTB-Locker dazu, Dateien auf einem infizierten Endgerät zu verschlüsseln. Der Anwender soll anschließend ein Lösegeld zahlen, um die Dateien wieder in den Originalzustand zu versetzen. Allerdings bleiben die Dateien in der Regel auch nach Zahlung unbrauchbar, man sollte der Aufforderung also nicht nachkommen.

Der Angriffsvektor ist laut Palo Alto Networks sehr einfach aufgebaut und wiederhole sich immer wieder: Das potenzielle Opfer wird mithilfe einer gezielten Spam-Mail attackiert (Spear Phishing), die Nachricht enthält doppelt gepackte SCR-Anlagen. Öffnet der Anwender das Attachment, dann wird die Malware heruntergeladen und die Ransomware von einer Liste an Servern ausgeführt.

Die erste bekannteAngriffswelle startete im November 2014 mit dem Download der Ransomware von verschiedenen Websites. Dabei wurden teilweise die Server-Hostnamen variiert, aber nicht die Server-IP-Adressen. Die meisten herkömmlichen Sicherheitsprogramme konnten die Malware zum Start der Angriffswelle nicht erkennen. Palo Alto Networks an einem 147 neue Vertreter dieser Malware entdeckt.

(ID:43186523)