Filmreife Erpresser-Masche: Ransomware Popcorn Time

Keine Kommentare
 

Von Erpresser-Software wie Locky oder Golden Eye sind momentan viele Privatpersonen und Firmen betroffen. Viele von ihnen zahlen für die Wiederherstellung ihrer Dateien hohe Geldbeträge. Die Entwickler der neuen Ransomware Popcorn Time verfügen sowohl über Geschäftssinn als auch über perfiden Ideenreichtum. Ihre Opfer können sich angeblich auch ohne die Zahlung eines Geldbetrags “freikaufen” – und zwar indem sie selbst weitere Rechner infizieren.


Es ist Zeit für Popcorn

Filmreife Erpresser-Masche: Ransomware Popcorn Time (Pixabay.com / Alexas_Fotos)

Was wie ein makabrer Scherz klingt, haben IT-Sicherheitsexperten des MalwareHunterTeams unter Veröffentlichung von Screenshots auf Twitter dokumentiert. Die Abbildungen zeigen die Oberfläche der sich noch in der Entwicklung befindlichen Popcorn Time Ransomware. Betroffenen Anwendern werden dort zwei Möglichkeiten zur Wahl gestellt: Sie können sich für einen Bitcoin (umgerechnet etwa 730 Euro) freikaufen oder alternativ einen Malware-Link per E-Mail an mehrere andere Personen verschicken.

Freikauf per Weiterleitung: zweifelhafte Erfolgschancen

Wie im Malwarebytes-Blog zu lesen ist, führt besagter Link zu einem TOR-Server, der zum Zeitpunkt der Experten-Analyse jedoch offline war. Dementsprechend konnte nicht nachvollzogen werden, auf welche Weise potenzielle Opfer zum Herunterladen und Ausführen der dort befindlichen Datei gebracht werden sollten. Laut Erpresser-Text müssen als Gegenleistung für eine kostenlose Datei-Entschlüsselung zwei Lösegeld-Zahlungen für auf diese Weise infizierte Rechner stattfinden.

Ein von der Ransomware eingeblendeter siebentägiger Countdown, versehen mit dem Schriftzug “When countdown ends your files will be lost forever”, erzeugt zusätzlichen Handlungsdruck. Zudem enthält der Programmcode des Trojaners eine momentan noch unvollständige Funktion, die das Löschen einiger oder auch aller Dateien nach mehreren Eingaben des falschen Entschlüsselungscodes veranlasst.

Selbstständige Entschlüsselung nicht möglich

Die Ransomware hängt verschlüsselten Dateien die Endung “.filock” an. Die aktuelle Popcorn-Time-Version verschlüsselt Dateien, die sich auf dem Desktop oder in einem der Ordner Dokumente, Bilder oder Musik befinden. Mehrere hundert verschiedene Dateiformate sind Ziel des Angriffs. Während des Verschlüsselungsvorgangs wird ein blauer Installations-Bildschirm angezeigt, der an reguläre Windows-Updates erinnert. Erst im Anschluss erfolgt das Einblenden der Erpresser-Botschaft.

Angesichts des zum Einsatz kommenden Verschlüsselungsalgorithmus AES-256 ist die Wiederherstellung der Dateien auf eigene Faust ausgeschlossen. Wem angesichts fehlender Backups wichtiger Daten keine Wahl bleibt, sollte sich auf keinen Fall für die Infektion weiterer Systeme entscheiden. Zum einen macht er sich damit strafbar, und zum anderen ist fraglich, ob die Popcorn-Time-Entwickler ihr Versprechen überhaupt halten. Eine vollständige Neuinstallation des betroffenen Systems ist angesichts der erfolgten Kompromittierung dringend zu empfehlen.

 

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen