{"id":17474,"date":"2018-08-16T16:05:42","date_gmt":"2018-08-16T14:05:42","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=17474"},"modified":"2018-08-19T16:07:22","modified_gmt":"2018-08-19T14:07:22","slug":"keypass-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/keypass-ransomware\/17474\/","title":{"rendered":"Ransomware KeyPass auf dem Vormarsch"},"content":{"rendered":"

Wir haben vor Kurzem einen Blog-Artikel ver\u00f6ffentlicht, in dem wir dar\u00fcber gesprochen haben, dass B\u00fccher- oder Mod-Downloads von gemeinen und l\u00e4stigen Anh\u00e4ngseln begleitet werden k\u00f6nnen<\/a>. In den letzten Tagen konnten wir ein neues Fallbeispiel in Form der Ransomware<\/a> KeyPass beobachten, die auf genau diese Art und Weise verteilt wird. Sie laden ein scheinbar harmloses Installationsprogramm herunter, das die Malware dann auf Ihrem Computer installiert.<\/p>\n

\"\"<\/a><\/p>\n

KeyPass<\/a> ist eine willk\u00fcrliche Ransomware, die ohne politische oder rassische Pr\u00e4ferenzen Computer weltweit infiziert. Innerhalb von 36 Stunden \u2013 vom Abend des 8. August bis zum 10. August \u2013 tauchte die Ransomware in mehr als 20 L\u00e4ndern auf. Momentan geh\u00f6ren Brasilien und Vietnam zu den am st\u00e4rksten betroffenen L\u00e4ndern, aber auch in Europa und Afrika fielen ahnungslose Nutzer der Ransomware, die nach und nach den gesamten Globus erobert, zum Opfer.<\/p>\n

Breites Angriffsspektrum<\/h2>\n

Auch bei ihrer Wahl der \u201eGeisel-Dateien\u201c geht die Malware KeyPass willk\u00fcrlich vor. Viele Ransomware-Varianten haben es auf Dokumente mit bestimmten Erweiterungen abgesehen; in diesem Fall umgeht KeyPass lediglich einige wenige Ordner. Alle anderen Inhalte, die sich auf dem Computer befinden, werden in Nullkommanichts mit der Erweiterung .keypass versehen. Die Ransomware verschl\u00fcsselt allerdings nicht die Dateien in ihrer Gesamtheit, sondern ausschlie\u00dflich die ersten 5MB jeder Datei; immerhin ein kleiner Trost.<\/p>\n

In \u201ebearbeiteten\u201c Verzeichnissen hinterl\u00e4sst die Malware eine Anmerkung in TXT-Format, in der die Entwickler (in schlechtem Englisch) verlangen, dass die Opfer ein Programm und einen individuellen Schl\u00fcssel f\u00fcr die Dateiwiederherstellung erwerben. Um die Opfer davon zu \u00fcberzeugen, dass sie ihr Geld an dieser Stelle nicht sinnlos verschwenden, k\u00f6nnen diese den Kriminellen 1 bis 3 Dateien zukommen lassen, die dann von ihnen entschl\u00fcsselt werden.<\/p>\n

\"keypass-ransomware-ransom-note\"<\/a><\/p>\n

Die Angreifer fordern f\u00fcr die Wiederherstellung der Dateien 300 US-Dollar; dieser Preis ist allerdings nur die ersten 72 Stunden nach der Infektion g\u00fcltig. Um detaillierte Anweisungen zum Wiederherstellen Ihrer Dokumente zu erhalten, sollen Sie die Betr\u00fcger \u00fcber eine der zwei zur Verf\u00fcgung gestellten E-Mail-Adressen kontaktieren und ihnen Ihre pers\u00f6nliche ID, die sich am Ende der Anmerkung finden l\u00e4sst, zukommen lassen. Wie immer empfehlen wir Ihnen,\u00a0das L\u00f6segeld nicht zu zahlen<\/a>.<\/p>\n

Ein kurioses Feature der Malware KeyPass ist, dass sie den pers\u00f6nlichen Verschl\u00fcsselungskey nicht vom C&C-Server abrufen kann, wenn der Computer bei der Ausf\u00fchrung der Malware aus irgendeinem Grund nicht mit dem Internet verbunden ist. In diesem Fall wird ein fest eingebauter Schl\u00fcssel verwendet, was bedeutet, dass die Dateien problemlos entschl\u00fcsselt werden k\u00f6nnen. In anderen F\u00e4llen werden Sie leider nicht so leicht davonkommen: Trotz der relativ einfachen Implementierung haben die Cyberkriminellen keine Fehler bei der Verschl\u00fcsselung gemacht.<\/p>\n

In den F\u00e4llen, die uns bekannt sind, handelte die Malware automatisch, obwohl ihre Entwickler auch f\u00fcr eine manuelle Kontrollm\u00f6glichkeit gesorgt haben. Sie rechnen also damit, dass KeyPass manuell verteilt wird \u2013 das wiederum bedeutet, dass die Kriminellen die Malware f\u00fcr zielgerichtete Angriffe verwenden m\u00f6chten. Wenn es den Cyberkriminellen gelingt, sich per Remote-Zugriff mit dem Computer des Opfers zu verbinden und die Ransomware auf den Computer zu schleusen, sorgt ein bestimmter Schl\u00fcssel daf\u00fcr, dass ihnen ein Formular angezeigt wird, \u00fcber das sie die Verschl\u00fcsselungseinstellungen \u00e4ndern k\u00f6nnen; dazu geh\u00f6rt auch die Liste der Ordner, die KeyPass ignoriert, der Inhalt der L\u00f6segeldforderung sowie der private Schl\u00fcssel.<\/p>\n

So sch\u00fctzen Sie Ihren Computer vor KeyPass<\/h3>\n

Ein Tool zum Entschl\u00fcsseln der Dateien, die von KeyPass betroffen sind, muss derzeit noch entwickelt werden. Die einzige M\u00f6glichkeit, Ihre Daten zu sch\u00fctzen, besteht darin, Infektionen proaktiv zu verhindern. Denn wie immer gilt: Vorsicht ist besser als Nachsicht. Die Folgen von Sorglosigkeit zu beheben erfordert im Endeffekt viel mehr Zeit, Geld und M\u00fche als sie von vornherein zu vermeiden. Daher empfehlen wir einige simple Ma\u00dfnahmen, die f\u00fcr KeyPass ebenso effektiv sind, wie f\u00fcr andere Ransomware-Typen:<\/p>\n