Ransomware Syrk lauert im Fortnite Cheat Pack

29 Aug 2019

Cyberkriminelle versuchen, möglichst viele Dinge zu kapitalisieren, die öffentliche Beliebtheit genießen: dazu gehören auch populäre Spiele. Malware gibt oft vor, die Raubkopie oder mobile Version eines Spiels zu sein, insbesondere dann, wenn dieses nicht offiziell veröffentlicht wurde.

Vor kurzer Zeit wurde eine Kryptoransomware namens Syrk aus dem Boden gestampft. Unter dem Deckmantel eines angeblichen Cheat Packs für Fortnite – ein Spiel, für das sich in weniger als 2 Jahren mehr als 250 Millionen Nutzer begeistern konnten – verspricht Syrk den Spielern zwei Cheats in einem Paket: Aimbot (ein Autoaiming-Tool) und WH (auch bekannt als ESP, ein Cheat mit dem die Standorte anderer Spieler aufgedeckt werden können). In Wirklichkeit verschlüsselt das Cheat Pack jedoch die Dateien des Opfers und verlangt daraufhin ein saftiges Lösegeld.

Ransomware gibt sich als Fortnite Aim und WH Cheat Pack aus

So funktioniert die Ransomware Syrk

Forschern von Cyren zufolge handelt es sich bei Syrk im Wesentlichen um eine intakte Kopie einer Open-Source-Ransomware. Sobald diese ausgeführt wurde, stellt die Software eine Verbindung zu einem Command-and-Control-Server her und deaktiviert die folgenden Programme:

  • Windows Defender,
  • UAC (System, das Benutzerrechte für Administratoraktionen anfordert),
  • Process-Monitoring-Apps mit denen eine Infektion erkannt werden kann, z. B. Task-Manager, Prozessmonitor und Prozess-Hacker.

Darüber hinaus fügt sich der Verschlüsseler völlig eigenständig der Autoload-Liste hinzu, sodass der Benutzer ihn nicht einfach durch einen Neustart des Computers entfernen kann. Wenn USB-Laufwerke mit dem Rechner verbunden sind, versucht Syrk auch diese zu infizieren.

Die Malware beginnt dann mit der Suche nach Mediendateien, Textdokumenten, Tabellen und Präsentationen, ZIP- und RAR-Archiven sowie Photoshop- und Microsoft Visual-Studio-Dateien und verschlüsselt diese mit der Erweiterung .SYRK.

Anschließend wird dem Nutzer eine nicht schließbare Lösegeldforderung angezeigt.

Dem Text mit Guy Fawkes-Maske im Hintergrund zufolge können die Dateien nur wiederhergestellt werden, indem die Kriminellen per E-Mail kontaktiert und bezahlt werden. Dafür hat das Opfer jedoch nur eine begrenzte Zeit: Denn Syrk löscht alle zwei Stunden verschlüsselte Dateien – zunächst aus dem Fotoordner, dann vom Desktop und schließlich aus den persönlichen Dokumenten des Nutzers.

Daten völlig kostenlos entschlüsseln

Die gute Nachricht ist: Obwohl Syrk bereits in Ihren Computer eingedrungen ist und Ihre Dateien verschlüsselt hat, muss das Lösegeld nicht bezahlt werden. Denn die aktuelle Version der Kryptoransomware speichert den Schlüssel zur Entschlüsselung der Dateien direkt auf dem infizierten Computer. Der Schlüssel befindet sich im Ordner C:\Users\Default\AppData\Local\Microsoft\, in a file called -pw+.txt or +dp-.txt.

Um Ihre Dateien wiederherzustellen:

  • Kopieren Sie den Schlüssel,
  • Klicken Sie im Lösegeldfenster auf Show My ID und dann auf Enter the krey to Decrypt your Files.
  • Kopieren Sie den Schlüssel in das entsprechende Feld und klicken Sie Decrypt my Files.

Das Programm stellt die verschlüsselten Fotos und Dokumente wieder her und erstellt und führt dann zwei EXE-Dateien aus, mit denen die verbleibende Malware beseitigt wird.

Schützen Sie sich vor Ransomware

Den Forschern zufolge sind vermutlich auch die von Syrk gelöschten Daten wiederherstellbar, obwohl professionelle Hilfe erforderlich sein könnte. Das Wiederherstellen der Dateien mit einem lokal gespeicherten Schlüssel funktioniert vorerst, doch möglicherweise überarbeiten die Malware-Entwickler ihr Tool in naher Zukunft, um zu verhindern, dass Nutzer ihre Dateien entschlüsseln, ohne das geforderte Lösegeld zu zahlen. Wie immer ist die beste Taktik: Vorsorge ist besser als Nachsorge!

  • Laden Sie keine Programme aus nicht vertrauenswürdigen Quellen herunter; besonders dann nicht, wenn Ihnen besonders tolle Gameplay-Vorteile versprochen werden.
  • Erstellen Sie Backups Ihrer Dateien und speichern Sie diese so, dass nicht direkt über Ihren Computer darauf zugegriffen werden kann. Sollten Sie externe HDDs oder USB-Sticks verwenden, verbinden Sie diese nur während des Backups mit dem Rechner.
  • Installieren Sie eine zuverlässige Sicherheitslösung. Kaspersky Internet Securityentdeckt Syrk als schädliches Objekt und kann deshalb niemals auf Ihre Dateien zugreifen; auch dann nicht, wenn Sie versuchen sollten, den Ransomware-Verschlüsseler herunterzuladen oder auszuführen.