Ranscam kryptografische Ransomware löscht einfach Dateien, verschlüsselt nichts

Crypto Ransomware ist überall. Programme, die Benutzerdateien verschlüsseln und dann ein Lösegeld zum Entschlüsseln von Daten benötigen, bringen ihren Erstellern viel Geld ein. Unter dieser Art von Software gibt es wirklich brillante Programme. In vielen Fällen erfüllen die Entwickler solcher Malware ihr Versprechen: Wenn der Benutzer bezahlt, erhält er einen Schlüssel zum Entschlüsseln der Dateien. Dies ist jedoch nicht immer der Fall - manchmal kommt der Schlüssel nicht nach Zahlungseingang.

Es kommt auch vor, dass es nicht nur einen Schlüssel gibt, sondern auch Dateien. Ranscam ist eine Malware, die nur vorgibt, eine Krypto-Ransomware zu sein. Die Software gibt vor, dass die Dateien verschlüsselt sind, obwohl der Benutzer lediglich eine Befehlszeile mit einer Liste gelöschter Dateien auf dem Bildschirm sieht. Sobald die Dateien gelöscht sind, zeigt das Programm ein Popup-Fenster an, in dem Sie aufgefordert werden, Geld für den Erhalt des Verschlüsselungsschlüssels zu zahlen.



Im angezeigten Informationsfenster wird dem Benutzer eine Meldung angezeigt, dass alle Dateien in einen versteckten Bereich der Festplatte übertragen und verschlüsselt wurden. Alle wichtigen Programme sind gesperrt. Der Computer kann nicht normal funktionieren. Es wird auch darauf hingewiesen, dass bei einer Zahlung in Bitcoins alles an seinen Platz zurückkehrt - der Benutzer erhält seine Dateien zurück.

Etwas weiter unten im Fenster befindet sich ein Feld, in das Sie Ihre Daten eingeben müssen, nachdem Sie eine Zahlung getätigt haben. Die Malware muss angeblich die Zahlungsdaten des Opfers "verifizieren". Es wird auch gesagt, dass das Drücken einer Taste ohne Zahlung mit dem vollständigen Löschen aller Dateien behaftet ist. Diese Software führt lediglich eine HTTP-GET-Anforderung aus, um PNG-Bilder zu empfangen, die dem Benutzer den Überprüfungsprozess demonstrieren. Tatsächlich überprüft das Programm nichts.

Außerdem hilft die Zahlung nicht - alle Dateien werden mit einer Krypto-Ransomware gelöscht, wenn der PC infiziert ist. Der Autor der Malware versucht, das Opfer dazu zu bringen, Geld zu bezahlen. Die Software selbst ist recht einfach - nicht allzu erfahrene Angreifer haben offensichtlich daran gearbeitet.

Der Virus gelangt in Form einer ausführbaren .NET-Datei auf den Computer des Benutzers. Die Datei ist mit einem von reca [.] Net ausgestellten digitalen Zertifikat signiert. Das Ausstellungsdatum des Zertifikats ist der 6. Juli 2016.



Wenn das Opfer die Datei öffnet, führt die Software mehrere Aktionen aus. Zunächst kopiert sich das Programm nach% APPDATA% \ und registriert sich auch beim Start. Außerdem wird es in% TEMP% \ entpackt.





Das Programm erstellt und führt eine ausführbare Datei aus, die eine Reihe von Ordnern im System des Opfers findet und vorgibt, diese Dateien zu "verschlüsseln". Tatsächlich wird alles dauerhaft gelöscht.



Die Malware rechtfertigt in diesem Fall ihren Namen vollständig, da sie eine Reihe anderer Aktionen ausführt, die das System des Benutzers töten:

• Löschen Sie alle Windows-Dateien, die für die Datensicherung verantwortlich sind (Systemwiederherstellung).
• Löscht Schattenkopien.
• Löscht eine Reihe von Registrierungsschlüsseln, die für das Starten des Systems im abgesicherten Modus verantwortlich sind.

Nach all dem fordert das System eine JPEG-Datei an, um eine Meldung über die Notwendigkeit der Bezahlung für das Entschlüsseln von Dateien anzuzeigen.



Sobald dies alles erledigt ist, fährt das Skript den Computer herunter. Alle oben beschriebenen Schritte werden bei jedem Einschalten des PCs ausgeführt. Und jedes Mal, wenn die Malware mehr und mehr neue Dateien löscht und eine Meldung über die Zahlungspflicht anzeigt.



Hier ist eine Liste der Dateien, die heruntergeladen werden, wenn Ranscam vom Server des Angreifers ausgeführt wird. Er machte sich nicht einmal die Mühe, die Daten zu verschleiern.

Experten für Informationssicherheit, die Malware untersuchen, haben eine E-Mail-Adresse an den in der Nachricht angegebenen Virus gesendet. Das „Opfer“ bat den Ersteller des Virus um Hilfe und sagte, dass sie die Transaktion mit Bitcoin nicht korrekt abschließen könne. Fast unmittelbar nach der Anfrage kam eine Antwort.



Es gab eine weitere Bitte um Hilfe: „Ich verstehe nichts über diese Dinge. Ich verstehe nicht, was das alles bedeutet oder wie viel es kostet, aber ich möchte meinen Computer zurückbekommen. Ich habe viele Fotos von meiner Familie und kann nicht einmal stöbern. Gibt es einen Ort, an dem ich meine Daten senden kann, oder gibt es eine Telefonnummer, unter der ich Ihnen helfen kann? Ich weiß nicht, was ich getan habe, aber der Computer meiner Tochter zeigt diese böse Nachricht nicht an. Was soll ich tun? Bitte helfen Sie mir, meine Fotos zurückzugeben, sie sind wichtig! “

Ein paar Stunden nach der Anfrage schickte der Angreifer eine Antwort, in der er detaillierte Anweisungen zur Zahlung gab. Danach kommunizierte der Autor des Virus nicht mehr weiter. Er gab jedoch dieselbe Bitcoin-Brieftaschenadresse an, die im vom Virus angezeigten Informationsfenster aufgeführt war. Diese Adresse lautet 1G6tQeWrwp6TU1qunLjdNmLTPQu7PnsMYd. Experten, die das Problem untersuchten, überprüften die Transaktionen für diese Brieftasche und stellten fest, dass der Gesamtbetrag der überwiesenen Mittel bereits 277,61 USD erreicht hatte. Es stimmt, dieses Geld kam früher bis zum 20. Juni in die Brieftasche. Nach diesem Datum findet keine Transaktion mehr statt.

Bisher hat sich diese Malware nicht zu stark verbreitet. Ranscam ist möglicherweise eine der ersten Malware, deren Entwickler keine zusätzliche Arbeit leisten möchten, sondern nur Geld. Warum eine komplexe Krypto-Ransomware erstellen, Zeit und Geld für deren Erstellung aufwenden, wenn Sie sie als normalen Virus tarnen können, der Dateien löscht und Geld benötigt? Die Frage ist rhetorisch.

Source: https://habr.com/ru/post/de396123/