Ransomware
Unsere Forscher haben kürzlich die Malware HermeticRansom, auch bekannt als Elections GoRansom, analysiert, bei der es sich im Grunde genommen um einen relativ simplen Kryptor handelt. Interessant ist jedoch, für welchen Zweck Angreifer die Malware eingesetzt haben.
Einsatz von HermeticRansom
Computer wurden zeitgleich von HermeticRansom und einer weiteren Malware namens HermeticWiper angegriffen. Öffentlich zugänglichen Informationen der Sicherheitsbranche zufolge, wurde die Malware bei den jüngsten Cyberangriffen in der Ukraine eingesetzt. Laut unseren Experten legen die relativ einfache und fragwürdige Malware-Workflow-Implementierung nahe, dass HermeticWiper-Angriffe unter dem Deckmantel von HermeticRansom ausgeführt wurden.
Dazu ist HermeticRansom fähig
Sobald der Computer des Opfers infiziert ist, identifiziert die Malware zunächst alle verfügbaren Festplatten und sammelt eine Liste von allen Verzeichnissen und Dateien, die sich nicht in den Ordnern „Windows“ und „Programme“ lokalisieren lassen. Anschließend werden bestimmte Dateikategorien verschlüsselt und umbenannt. Im Zuge der Namensänderung werden die Dateien mit der Markierung „encrypted“ (verschlüsselt) und der E-Mail-Adresse der Ransomware-Betreiber versehen. Die Malware erstellt außerdem eine read_me.html-Datei im Desktop-Ordner, die eine Lösegeldforderung mit den Kontaktdetails der Angreifer enthält und folgendermaßen aussieht:
Lösegeldforderung im Rahmen von HermeticRansom
HermeticRansom verschlüsselt Dateien mit den folgenden Erweiterungen: .inf, .acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi und odt.
Besonderheiten von HermeticRansom
HermeticRansom ist in der Programmiersprache Go geschrieben. Die Malware verwendet keine Verschleierungsmechanismen, und die Verschlüsselungsmethode selbst ist ziemlich umständlich und ineffizient. Nach diesen und einigen anderen Anzeichen zu urteilen, glauben unsere Experten, dass diese Malware unter Zeitdruck erstellt wurde.
Eine detailliertere technische Analyse der Malware sowie Hinweise auf Kompromittierung finden Sie auf unserem Securelist-Blog.
So können Sie sich schützen
Die Sicherheitslösungen von Kaspersky erkennen die Malware HermeticRansom und ähnliche Bedrohungen problemlos. Wir bieten eine Reihe von Tools zum Schutz von Heimcomputern und Unternehmensinfrastrukturen, darunter:
- Kaspersky Internet Security: unsere Multi-Plattform-Lösung für Heimanwender;
- Kaspersky Endpoint Security Cloud: unsere Lösung für den Schutz von Unternehmen;
- Kaspersky Anti-Ransomware Tool: unsere kostenlose Unternehmenslösung, die als zusätzliche Schutzebene parallel zu Produkten anderer Anbieter eingesetzt werden kann.
Tipps