News 06.10.2016, 08:38 Uhr

Ransomware: Mamba chiffriert ganze Festplatten

Die IT-Security-Firma Sophos warnt vor der neuen Mamba-Ransomware. Diese verschlüsselt nicht nur Dateien, sondern ganze Festplatten.
In der Research-Abteilung von Sophos, den SophosLabs, ist man auf eine neue Ransomware gestossen, die besonders perfid ist, weil sie ganze Festplatten verschlüsselt, statt nur einzelne Dateien. Und es kommt noch schlimmer: Zeigen sich Betroffene sogar zahlungswillig, ist es dennoch unwahrscheinlich, dass die Festplatte jemals wieder entschlüsselt werden kann.
Doch immerhin gibt es auch eine gute Nachricht: Die Mamba genannte Ransomware ist bislang noch nicht in freier Wildbahn gesichtet worden.
Dennoch ist Mamba interessant, denn ihre Schöpfer sind offenbar noch in der Testphase und auf der Suche nach etwas Neuem. Das Geschäftsmodell der Cyberkriminellen kann zum heutigen Zeitpunkt noch nicht genau erklärt werden.

Anlehnung an Petya

Es gibt bereits eine Ransomware, die ähnlich arbeitet, genannt Petya. Sie verschlüsselt den Master-Index der Festplatte (auch Master File Table oder MFT genannt) und informiert die Verbraucher über einen Boot-Bildschirm im 1990er-Jahre-Look darüber, wie sie sich aus ihrer misslichen Lage herauskaufen können. Rebooting? Fehlanzeige. Petya belässt zwar den Grossteil der Rohdaten unverschlüsselt auf Sektorebene – allerdings ausser Reichweite.
Mamba geht einen Schritt weiter: Sie kriecht in jeden Sektor der Festplatte inklusive MFT, Betriebssystem, Anwendungen sowie freigegebenen und persönlichen Daten. Dabei kommt Mamba mit sehr geringem Programmieraufwand aus: Die Malware installiert und aktiviert eine Kopie der Open-Source-Software DiskCryptor.
Nächste Seite: Wie Mamba infiziert

Wie Mamba infiziert

Wie Mamba infiziert

Mamba gelangt über Mails mit Dateianhängen auf den Rechner. Wird eine infizierte Datei versehentlich geöffnet, passiert zuerst nicht viel: Mamba fragt, ob eine App eines unbekannten Entwicklers installiert werden darf. Nach einer Weile rebootet der Rechner. Vor dem Neustart installiert sich Mamba heimlich als Windows-Dienst mit dem Namen «Defragmentation Service», ausgestattet mit lokalen Systemprivilegien.
Malware, die als LocalSystem-Dienst ausgeführt wird, ist auch ohne Anmeldung aktiv, läuft unsichtbar vom Windows-Desktop und hat eine nahezu vollständige Kontrolle über den lokalen Computer. Nach dem Neustart installiert sich DiskCryptor im Hintergrund, zu finden im Verzeichnis C unter dem Namen «C:\DC22».
Der nächste Reboot des Computers erfolgt nicht automatisch, sodass alle Dateien noch verfügbar sind, das DiskCryptor-Protokoll enthält sogar das Passwort im Klartext. Anwender könnten die Option Decrypt im DCRYPT-Dienstprogramm nutzen, um die Verschlüsselung mithilfe des Passworts rückgängig zu machen. Dies gelingt natürlich nur, wenn die Hintergrundverschlüsselung überhaupt bemerkt wurde.
Wenn nicht, kommt die böse Überraschung samt Zahlungsaufforderung nach dem nächsten Neustart. Es könne aber auch sein, dass keine Zahlungsaufforderung erscheine und das System sich einfach verabschiede. Sascha Pfeiffer von Sophos hat deshalb derzeit keine ermutigende Nachricht für potenzielle Opfer: «Womöglich müssen sich Betroffene mit dem Verlust der Daten abfinden und eine Neuinstallation vornehmen. Es gibt noch keine gesicherten Erkenntnisse dazu, wie die Gauner mit dem Erpressungsvorgang umgehen und ob die Daten wieder freigegeben werden.»



Kommentare
Es sind keine Kommentare vorhanden.