Ransomware KeyPass auf dem Vormarsch

16 Aug 2018

Wir haben vor Kurzem einen Blog-Artikel veröffentlicht, in dem wir darüber gesprochen haben, dass Bücher- oder Mod-Downloads von gemeinen und lästigen Anhängseln begleitet werden können. In den letzten Tagen konnten wir ein neues Fallbeispiel in Form der Ransomware KeyPass beobachten, die auf genau diese Art und Weise verteilt wird. Sie laden ein scheinbar harmloses Installationsprogramm herunter, das die Malware dann auf Ihrem Computer installiert.

KeyPass ist eine willkürliche Ransomware, die ohne politische oder rassische Präferenzen Computer weltweit infiziert. Innerhalb von 36 Stunden – vom Abend des 8. August bis zum 10. August – tauchte die Ransomware in mehr als 20 Ländern auf. Momentan gehören Brasilien und Vietnam zu den am stärksten betroffenen Ländern, aber auch in Europa und Afrika fielen ahnungslose Nutzer der Ransomware, die nach und nach den gesamten Globus erobert, zum Opfer.

Breites Angriffsspektrum

Auch bei ihrer Wahl der „Geisel-Dateien“ geht die Malware KeyPass willkürlich vor. Viele Ransomware-Varianten haben es auf Dokumente mit bestimmten Erweiterungen abgesehen; in diesem Fall umgeht KeyPass lediglich einige wenige Ordner. Alle anderen Inhalte, die sich auf dem Computer befinden, werden in Nullkommanichts mit der Erweiterung .keypass versehen. Die Ransomware verschlüsselt allerdings nicht die Dateien in ihrer Gesamtheit, sondern ausschließlich die ersten 5MB jeder Datei; immerhin ein kleiner Trost.

In „bearbeiteten“ Verzeichnissen hinterlässt die Malware eine Anmerkung in TXT-Format, in der die Entwickler (in schlechtem Englisch) verlangen, dass die Opfer ein Programm und einen individuellen Schlüssel für die Dateiwiederherstellung erwerben. Um die Opfer davon zu überzeugen, dass sie ihr Geld an dieser Stelle nicht sinnlos verschwenden, können diese den Kriminellen 1 bis 3 Dateien zukommen lassen, die dann von ihnen entschlüsselt werden.

keypass-ransomware-ransom-note

Die Angreifer fordern für die Wiederherstellung der Dateien 300 US-Dollar; dieser Preis ist allerdings nur die ersten 72 Stunden nach der Infektion gültig. Um detaillierte Anweisungen zum Wiederherstellen Ihrer Dokumente zu erhalten, sollen Sie die Betrüger über eine der zwei zur Verfügung gestellten E-Mail-Adressen kontaktieren und ihnen Ihre persönliche ID, die sich am Ende der Anmerkung finden lässt, zukommen lassen. Wie immer empfehlen wir Ihnen, das Lösegeld nicht zu zahlen.

Ein kurioses Feature der Malware KeyPass ist, dass sie den persönlichen Verschlüsselungskey nicht vom C&C-Server abrufen kann, wenn der Computer bei der Ausführung der Malware aus irgendeinem Grund nicht mit dem Internet verbunden ist. In diesem Fall wird ein fest eingebauter Schlüssel verwendet, was bedeutet, dass die Dateien problemlos entschlüsselt werden können. In anderen Fällen werden Sie leider nicht so leicht davonkommen: Trotz der relativ einfachen Implementierung haben die Cyberkriminellen keine Fehler bei der Verschlüsselung gemacht.

In den Fällen, die uns bekannt sind, handelte die Malware automatisch, obwohl ihre Entwickler auch für eine manuelle Kontrollmöglichkeit gesorgt haben. Sie rechnen also damit, dass KeyPass manuell verteilt wird – das wiederum bedeutet, dass die Kriminellen die Malware für zielgerichtete Angriffe verwenden möchten. Wenn es den Cyberkriminellen gelingt, sich per Remote-Zugriff mit dem Computer des Opfers zu verbinden und die Ransomware auf den Computer zu schleusen, sorgt ein bestimmter Schlüssel dafür, dass ihnen ein Formular angezeigt wird, über das sie die Verschlüsselungseinstellungen ändern können; dazu gehört auch die Liste der Ordner, die KeyPass ignoriert, der Inhalt der Lösegeldforderung sowie der private Schlüssel.

So schützen Sie Ihren Computer vor KeyPass

Ein Tool zum Entschlüsseln der Dateien, die von KeyPass betroffen sind, muss derzeit noch entwickelt werden. Die einzige Möglichkeit, Ihre Daten zu schützen, besteht darin, Infektionen proaktiv zu verhindern. Denn wie immer gilt: Vorsicht ist besser als Nachsicht. Die Folgen von Sorglosigkeit zu beheben erfordert im Endeffekt viel mehr Zeit, Geld und Mühe als sie von vornherein zu vermeiden. Daher empfehlen wir einige simple Maßnahmen, die für KeyPass ebenso effektiv sind, wie für andere Ransomware-Typen:

  • Laden Sie unbekannte Programme niemals von dubiosen Seiten herunter und vermeiden Sie fragwürdige Links. So können Sie bereits einen Großteil der Malware, die im Web kursiert, umgehen.
  • Erstellen Sie ein Back-up aller wichtigen Dateien. In diesem Post finden Sie alles, was Sie dazu wissen müssen.
  • Verwenden Sie eine zuverlässige Sicherheitslösung, die verdächtige Programme identifiziert und blockiert, bevor sie Ihrem Computer schaden können. Unsere Kaspersky-Lab-Sicherheitslösungen verfügen beispielsweise über ein Antitransomware-Modul.