{"id":29580,"date":"2022-12-09T08:29:00","date_gmt":"2022-12-09T06:29:00","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29580"},"modified":"2022-12-09T08:29:00","modified_gmt":"2022-12-09T06:29:00","slug":"crywiper-pseudo-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/crywiper-pseudo-ransomware\/29580\/","title":{"rendered":"CryWiper gibt sich als Ransomware aus"},"content":{"rendered":"

Unsere Experten haben den Angriff eines neuen Trojaners entdeckt, den sie auf den Namen CryWiper getauft haben. Auf den ersten Blick sieht diese Malware wie Ransomware aus: Sie ver\u00e4ndert Dateien, f\u00fcgt ihnen eine zus\u00e4tzliche Erweiterung hinzu und speichert eine README.txt-Datei mit einer L\u00f6segeldforderung, die die Bitcoin-Wallet-Adresse, die E-Mail-Adresse der Malware-Ersteller sowie die Infektions-ID enth\u00e4lt. Tats\u00e4chlich ist diese Malware jedoch ein Wiper<\/a>: Das Original einer durch CryWiper ver\u00e4nderten Datei kann nicht wiederhergestellt werden \u2013 niemals! Wenn Sie also eine L\u00f6segeldforderung erhalten und Ihre Dateien pl\u00f6tzlich mit der Erweiterung .CRY versehen sind, ist eine L\u00f6segeldzahlung vollkommen sinnlos.<\/p>\n

In der Vergangenheit haben wir einige Malware-St\u00e4mme gesehen, die versehentlich zu Wipern mutiert sind \u2013 beispielsweise aufgrund der schlechten Implementierung von Verschl\u00fcsselungsalgorithmen seitens ihrer Entwickler. Diesmal ist das jedoch nicht der Fall: Unsere Experten sind sich sicher, dass die Angreifer mit diesem Wiper nicht auf finanzielle Gewinne aus sind, sondern vielmehr die Zerst\u00f6rung von Daten im Sinn haben. Denn die Dateien werden nicht wirklich verschl\u00fcsselt, sondern mit pseudo-zuf\u00e4llig generierten Daten \u00fcberschrieben.<\/p>\n

Danach sucht CryWiper<\/h2>\n

Der Trojaner besch\u00e4digt jegliche Daten, die f\u00fcr die Funktionsweise des Betriebssystems nicht essenziell sind. Dateien mit den Erweiterungen .exe, .dll. .lnk, .sys, und .msi sind nicht betroffen und mehrere Systemordner im Verzeichnis C:\\Windows werden ebenfalls gekonnt ignoriert. Die Malware konzentriert sich auf Datenbanken, Archive und Benutzerdokumente.<\/p>\n

Bislang haben unsere Experten nur punktuelle Angriffe auf Zielobjekte innerhalb der Russischen F\u00f6deration beobachten k\u00f6nnen. Wie in anderen F\u00e4llen auch, kann jedoch niemand garantieren, dass derselbe Code nicht auch gegen andere Zielobjekte eingesetzt wird.<\/p>\n

So funktioniert der Trojaner CryWiper<\/h2>\n

Abgesehen davon, dass der Trojaner Dateien mit v\u00f6lligem Unsinn \u00fcberschreibt, tut CryWiper zudem Folgendes:<\/p>\n