Ransomware Virlock infiziert Dateien in der Cloud

Keine Kommentare
 

Klassische Viren, die sich per Datei-Infektion verbreiten, schienen bis vor ein paar Jahren fast in Vergessenheit geraten zu sein. Doch Ende 2014 tauchte Virlock auf – ein Multitalent im negativsten Sinne. Die momentan wieder besonders aktive Malware besitzt nicht nur umfassende Verschlüsselungsfunktionen zur Lösegeld-Erpressung, sondern beinhaltet auch eine Datei-Infektions-Routine. Besonders gefährlich ist letztere für Unternehmen, die Cloud Storage zur zentralen Verwaltung ihrer Dateien verwenden.


Binär Code Welt

Ransomware Virlock infiziert Dateien in der Cloud (pixabay.com/geralt)

Der Ansatz, Ransomware mit einer Datei-Infektion zu verbinden, birgt für die Cyberkriminellen den Vorteil, dass die Verbreitung wesentlich schneller und sozusagen in Eigeninitiative vonstatten geht. Wie Sicherheitsexperten der Firma Netskope in einem Blogpost beschreiben, gelangt die aktuelle Virlock-Variante meist per USB-Stick oder mittels externer Laufwerke auf einen Rechner. Von dort aus beginnt Virlock sowohl mit der Verschlüsselung als auch mit der Datei-Infektion.

Die Virlock-Schadfunktionen im Detail

Laut Beschreibung der Netskope-Experten extrahiert Virlock im Anschluss an die initiale Ausführung drei Dateien aus seinem Inneren, die zufällig generierte Namen tragen. Ebenso generisch, oder besser: polymorph ist auch ihre Code-Struktur. Dadurch hat jede Datei trotz gleicher Funktionalität einen anderen Hash, was die Erkennung durch Anti-Viren-Programme zusätzlich erschwert.

Zwei der Dateien beginnen mit der Infektion weiterer Dateien auf dem Rechner, während sich die dritte als Service registriert, um unbemerkt im Hintergrund laufen zu können. Neben der Verschlüsselung von Dateien mit mehr als 20 verschiedenen Endungen werden neue Registry-Schlüssel angelegt, die unter anderem die User Account Control Funktion (UAC) deaktivieren und dafür sorgen, dass Virlock beim Systemstart mitgestartet wird. Anschließend wird dem Nutzer des infizierten PCs ein Bildschirm mit den Emblemen verschiedener US-Behörden angezeigt. Unter dem Vorwand von Copyright-Verstößen wird eine Geldsumme in Höhe von 250 US-Dollar gefordert, die per BitCoin bezahlt werden soll.

Infektion nach Synchronisation: die Cloud als Verbreitungsweg

Wie im Netskope-Blog deutlich wird, ist die Gefahr, dass Virlock sich im gesamten Firmennetzwerk ausbreitet, besonders groß, wenn Mitarbeiter gemeinsame Dateien und Ordner in der Cloud nutzen. Legt der Mitarbeiter am infizierten PC eine oder mehrere Dateien in einem gemeinsamen Ordner ab, so gelangen diese per Ordner-Synchronisation über die Cloud auf die Rechner weiterer ahnungsloser Mitarbeiter. Dort beginnt der Infektionsprozess von neuem und greift möglicherweise auch auf weitere Cloud-Ordner und -Inhalte über.

Firmen-Administratoren sollten regelmäßige Backups wichtiger Dateien im Cloud-Speicher durchführen. Ebenso wichtig ist die regelmäßige Aktualisierung der lokal installierten Antiviren-Programme. Von der Zahlung des Lösegelds ist abzuraten, da der Erfolg ungewiss ist und sich die Datei-Entschlüsselung (im besten Falle) auf jeweils einen Rechner beschränkt.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen