Ransomware lockt auf die falsche Fährte

Der Kryptor HermeticRansom wurde zur Verschleierung von HermeticWiper-Angriffen eingesetzt.

Unsere Forscher haben kürzlich die Malware HermeticRansom, auch bekannt als Elections GoRansom, analysiert, bei der es sich im Grunde genommen um einen relativ simplen Kryptor handelt. Interessant ist jedoch, für welchen Zweck Angreifer die Malware eingesetzt haben.

Einsatz von HermeticRansom

Computer wurden zeitgleich von HermeticRansom und einer weiteren Malware namens HermeticWiper angegriffen. Öffentlich zugänglichen Informationen der Sicherheitsbranche zufolge, wurde die Malware bei den jüngsten Cyberangriffen in der Ukraine eingesetzt. Laut unseren Experten legen die relativ einfache und fragwürdige Malware-Workflow-Implementierung nahe, dass HermeticWiper-Angriffe unter dem Deckmantel von HermeticRansom ausgeführt wurden.

Dazu ist HermeticRansom fähig

Sobald der Computer des Opfers infiziert ist, identifiziert die Malware zunächst alle verfügbaren Festplatten und sammelt eine Liste von allen Verzeichnissen und Dateien, die sich nicht in den Ordnern „Windows“ und „Programme“ lokalisieren lassen. Anschließend werden bestimmte Dateikategorien verschlüsselt und umbenannt. Im Zuge der Namensänderung werden die Dateien mit der Markierung „encrypted“ (verschlüsselt) und der E-Mail-Adresse der Ransomware-Betreiber versehen. Die Malware erstellt außerdem eine read_me.html-Datei im Desktop-Ordner, die eine Lösegeldforderung mit den Kontaktdetails der Angreifer enthält und folgendermaßen aussieht:

Lösegeldforderung im Rahmen von HermeticRansom

Lösegeldforderung im Rahmen von HermeticRansom

HermeticRansom verschlüsselt Dateien mit den folgenden Erweiterungen: .inf, .acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi und odt.

Besonderheiten von HermeticRansom

HermeticRansom ist in der Programmiersprache Go geschrieben. Die Malware verwendet keine Verschleierungsmechanismen, und die Verschlüsselungsmethode selbst ist ziemlich umständlich und ineffizient. Nach diesen und einigen anderen Anzeichen zu urteilen, glauben unsere Experten, dass diese Malware unter Zeitdruck erstellt wurde.

Eine detailliertere technische Analyse der Malware sowie Hinweise auf Kompromittierung finden Sie auf unserem Securelist-Blog.

So können Sie sich schützen

Die Sicherheitslösungen von Kaspersky erkennen die Malware HermeticRansom und ähnliche Bedrohungen problemlos. Wir bieten eine Reihe von Tools zum Schutz von Heimcomputern und Unternehmensinfrastrukturen, darunter:

Tipps