Erste Sichtung: Erpressungstrojaner Ransom32 aufgrund JavaScript noch bedrohlicher

INNOVA-IT warnt: Neues Jahr – Neue Gefahren

Sicherheitsforscher warnen vor der Ransomware Ransom32, die sich als JavaScript-Applikation auf Windows-Computer schleicht. Auch Linux und OS X sind potenziell gefährdet. Kriminelle können sich eine individuelle Version des Schädlings generieren lassen.

Verschlüsselungstrojaner gibt es ja bereits in verschiedensten Formen doch alle machen dasselbe – die Daten werden verschlüsselt, somit unbrauchbar und vor allem unrettbar.

Nun gibt es eine neue und vor allem noch bedrohlichere Version dieser Erpressungstrojaner.
Der Verschlüsselungstrojaner Ransom32 ist der erste Schädling seiner Art, der als JavaScript-Applikation daherkommt, warnen Kryptologen von BleepingComputer und Emsisoft. Aktuell seien nur Windows-Computer bedroht.

Ransom32 soll auf dem NW.js-Framework aufbauen, somit könnten Angreifer die Ransomware mit wenigen Handgriffen auch mit Linux und OS X kompatibel machen, erläuterten die Sicherheitsforscher.
Da es sich bei NW.js um ein legitimes Framework handelt, soll aktuell kaum ein Viren-Scanner anschlagen. Denn ein Großteil der Scanner stufen die Signaturen der mit dem Framework erzeugten Anwendungen nicht als bösartig ein.

Der Kryptologe Fabian Wosar von Emsisoft stieß eigenen Angaben zufolge auf ein selbstentpackendes RAR-Archiv, das Ransom32 enthält. Klickt ein Nutzer doppelt auf das Archiv, sollen sich die darin enthaltenen Dateien automatisch in das Temp-Verzeichnis von Windows entpacken. Die Ransomware gibt sich als Webbrowser Chrome aus. Die ausführbare Datei namens chrome.exe startet Ransom32 und somit die Verschlüsselung der Dateien (AES 128 Bit im CTR-Modus) auf dem Computer.

Maßgeschneiderter Krypto-Trojaner
Als Anlaufstelle für Kriminelle soll eine im Tor-Netzwerk versteckte Webseite dienen. Dort kann man den Funktionsumfang von Ransom32 den eigenen Bedürfnissen anpassen, zum Beispiel, dass das Opfer den Sperrbildschirm nicht minimieren kann.

INNOVA-IT empfiehlt
Wir empfehlen keine unbekannten Programme oder Programme aus unbekannten Quellen zu öffnen. Da solche Viren bzw. Trojaner gerne über e-Mails verbreitet werden, ist hier ebenfalls höchste Vorsicht geboten.
Sollten Sie sich nicht sicher sein, ob es sich bei einem Programm oder e-Mail um so einen Verschlüsselungstrojaner oder ein anderes Schadprogramm handelt, stehen wir unter +43 5550 20660 oder office@innova-it.at zur Verfügung.

Des weiteren rückt eine funktionierende und regelmäßige Sicherung immer mehr in den Fokus.
Mit einer funktionierenden Sicherung können im „Worst-Case-Szenario“ verschlüsselte Dateien schnell und unkompliziert wiederhergestellt werden.

Ihr INNOVA-IT Team
http://www.heise.de/newsticker/meldung/Erste-Sichtung-Erpressungstrojaner-Ransom32-aufgrund-JavaScript-noch-bedrohlicher-3060409.html