Ransoc: eine überzeugende Bedrohung

Die Ransomware Ransoc sammelt Daten aus sozialen Netzwerken und Festplatten der Opfer, und verwendet sie, um die Opfer zu erpressen.

Stellen Sie sich vor, dass Ihr Computer plötzlich eine beunruhigende Meldung anzeigt: „Hier ist das FBI. Auf Ihrem Gerät wurde illegaler Inhalt gefunden. Es droht eine Haftstrafe von 20 Jahren und eine Geldstrafe von 200.000 $, es sei denn, Sie zahlen 100 $ in Bitcoins.“

„Ha!“, werden Sie sagen. „Nicht so schnell, Ransomware! Du bekommst keinen Cent – stattdessen werde ich ein spezielles Tool verwenden, um dich von meinem PC zu entfernen.“

ransoc-ransomware-featured-2

Solche Locker waren zwischen 2012 und 2014 weit verbreitet, aber nun sind sie primär auf Smartphones zu finden, auf denen sie schwerer zu bekämpfen sind, während auf PCs Cryptoransomware ihren Platz eingenommen hat.

Dennoch haben Locker die Computer nicht komplett verlassen – sie verwenden die effizientesten Überzeugungsmethoden. Der kürzlich entdeckte Locker Ransoc dient als interessantes Beispiel für den Entwicklungsprozess.

Der Hauptunterschied zwischen Ransoc und herkömmlichen Lockern ist seine hohe Überzeugungskraft. Die Ransomware blockiert den Browser und zeigt persönliche Daten des Opfers und Fotos aus sozialen Netzwerken an. Außerdem stellt die Ransomware Forderungen, die recht rational wirken. Wie ist das möglich?

Sobald Ransoc den PC eines Opfers infiziert hat (normalerweise stammt er von Seiten für „Erwachsene“), durchsucht er die Festplatte nach illegalem Inhalt, wie Kinderpornografie und raubkopierte Musik und Filme. Ransoc überprüft auch die Skype-, Facebook- und LinkedIn-Accounts der Opfer. Der Trojaner verwendet diese Informationen, damit Erpresserschreiben persönlicher klingen.

Dadurch erhalten Opfer furchteinflößende Nachrichten, die sehr überzeugend wirken: hier sind ihre persönlichen Daten und hier ist eine Liste ihrer illegalen Aktionen. Ransoc droht damit, die dreckige Wäsche der User, wohlmöglich auf den Social-Network-Accounts der Opfer, zu veröffentlichen. Wenn der Trojaner nichts findet, wird kein Erpresserschreiben an das Opfer verschickt. Viele könnten dies als eine Art Gerechtigkeit empfinden – im Stil „Ordnungshüter“.

Zusätzlich überprüft Ransoc alle 100 Millisekunden, ob der User versucht, die Hilfsprogramme  regedit, msconfig oder taskmgr auszuführen und bricht diese Prozesse ab, wodurch die Opfer nicht in der Lage sind, die Ransomware vom System zu entfernen.

Was an Ransoc ebenfalls interessant ist, ist, dass die Kriminellen Lösegeldzahlungen per Banküberweisung akzeptieren. Zum einen wird es dadurch einfacher, nachzuvollziehen, wer die Verantwortlichen für diesen Betrug sind. Zum anderen geben Kriminelle vor, Beauftragte vom FBI zu sein und in diesem Fall wirkt eine Banküberweisung überzeugender als Bitcoins.

Insgesamt ist Ransoc eine Art Locker 2.0, eine verbesserte und aktualisierte Malware-Version, die vor drei Jahren verbreitet war.

ransomware_en-1

Es gibt zwei effektive Methoden, um Locker zu stoppen.

  1. Bewahren Sie die Ruhe und glauben Sie nicht all diese Social-Engeneering-Tricks. Sie stammen nicht vom Strafvollzug, egal, was sie behaupten: es handelt sich nur um Cyberkriminelle, die ihre Malware etwas weiterentwickelt haben.
  2. Verwenden Sie eine verlässliche Sicherheitslösung auf Ihrem Gerät. Kaspersky Internet Security erfasst Ransoc und stoppt ihn, bevor er Daten sammelt und versucht, Sie zu erpressen. Wenn Ihr Gerät mit diesem Trojaner infiziert wurde, können Sie ihn auch mithilfe von Kaspersky Internet Security entfernen.

Wenn Sie mehr über verschiedene Ransomware-Arten und Ihren Schutz erfahren möchten, lesen Sie diesen Post.

Tipps