OphionLocker, Eine Neue Ransomware nutzt elliptische Kurven für die Verschlüsselung, Tor für die Kommunikation und Malvertising für die Verbreitung

Table Of Contents

• OphionLocker Ransomware nutzt elliptische Kurven für die Verschlüsselung, Tor für die Kommunikation und Malvertising für die Verbreitung
• Elliptische Kurven-Kryptographie
• Funktionsweise
• Ransomware wird immer hartnäckiger

OphionLocker Ransomware nutzt elliptische Kurven für die Verschlüsselung, Tor für die Kommunikation und Malvertising für die Verbreitung

Eine neue Variante von Ransomware wurde von den Forschern von Trojan7Malware entdeckt. Diese Ransomware, die als OphionLocker bezeichnet wird, ist insofern einzigartig, als sie elliptische Kurven-Kryptographie zur Datei-Verschlüsselung und Tor zur Kommunikation verwendet. Ein weiteres einzigartiges Merkmal von OphionLocker ist, dass es Malvertising-Kampagnen zur Verbreitung nutzt, anstatt traditioneller Spear-Phishing-Methoden.

Elliptische Kurven-Kryptographie

Elliptische Kurven-Kryptographie (ECC) ist eine Public-Key-Kryptographie, die auf der algebraischen Struktur elliptischer Kurven über endlichen Körpern basiert. Einer der Hauptvorteile der ECC-Kryptographie ist, dass sie das gleiche Maß an Verschlüsselung mit kleineren Schlüsseln bietet.

Diese algebraische Form der Verschlüsselung basiert auf der Lösung des diskreten Logarithmus eines zufälligen Elements der elliptischen Kurve. Dies bietet, ähnlich wie die vertrautere Idee, das Produkt von zwei sehr großen Primzahlen zu faktorisieren, eine Einwegfunktion, um die Sicherheit von Public-Key-Kryptographiesystemen zu untermauern. ECC bietet äquivalente Sicherheitsniveaus mit kleineren Schlüsseln, was einen besonderen Vorteil bei Systemen mit begrenzter Rechenleistung, wie Smartphones, darstellt.

Funktionsweise

Sobald ein potenzielles Opfer die Malware heruntergeladen hat, indem es eine Website besucht, die den Malvertising-Code bereitstellt, verschlüsselt sie die verfügbaren Dateien und verwendet dann eine Tor2web-URL, um zu einer Instruktionsseite zu navigieren, wie man für das Entschlüsselungstool bezahlt. Die Angreifer verlangen eine Zahlung von einem Bitcoin für das Entschlüsselungstool, was heute 350 $ entspricht. Der Preis für das Entschlüsselungstool kann jedoch je nach Geolocation des Opfers variieren. Trojan7Malware hat das folgende Datei-Verschlüsselungsmuster dieser Ransomware bereitgestellt, das den von CryptoLocker und TorLocker verschlüsselten Dateitypen ähnlich ist.

Erweiterungen verschlüsselt;
“accdb”,0,”.ai”,0,”.arw”,0,”.bay”,0,”.blend”,0,”.cdr”,0,”.cer”,0,”.cr2”,0,”.crt”,0,”.crw”,0,”.dbf”,0,”.dcr”,0,”.der”,0,

“.dng”,0,”.doc”,0,”.docm”,0,”.docx”,0,”.dwg”,0,”.dxf”,0,”.dxg”,0,”.eps”,0,”.erf”,0,”.indd”,0,”.jpe”,0,”.jpg”,0,”.jpeg”,0,

“.kdc”,0,”.mdb”,0,”.mdf”,0,”.mef”,0,”.mrw”,0,”.nef”,0,”.nrw”,0,”.odb”,0,”.odm”,0,”.odp”,0,”.ods”,0,”.odt”,0,”.orf”,0,

“.p12”,0,”.p7b”,0,”.p7c”,0,”.pdd”,0,”.pdf”,0,”.pef”,0,”.pem”,0,”.pfx”,0,”.ppt”,0,”.pptm”,0,”.pptx”,0,”.psd”,0,”.pst”,0,

“.ptx”,0,”.r3d”,0,”.raf”,0,”.raw”,0,”.rtf”,0,”.rw2”,0,”.rwl”,0,”.srf”,0,”.srw”,0,”.wb2”,0,”.wpd”,0,”.wps”,0,”.xlk”,0,

“.xls”,0,”.xlsb”,0,”.xlsm”,0,”.xlsx”,0,0

Ein interessanter Aspekt dieser Ransomware ist, dass sie versucht, sich ihrer Umgebung bewusst zu sein. Wenn die Malware eine virtuelle Umgebung erkennt, wird sie keine Zahlung verlangen. Virtuelle Umgebungen werden allgemein von Sicherheitsforschern gegen Malware wie diese verwendet.

Ein weiteres einzigartiges Merkmal dieser Malware ist, dass sie eine HWID (Hardware-Identifikationsnummer) generiert, um sicherzustellen, dass nur ein Exemplar pro PC generiert werden kann.

Die Autoren/Handler dieser Malware scheinen diese Techniken zu verwenden, um die Ransomware so lange wie möglich vor den Sicherheitsforschern zu verbergen und auch jeden PC auf die schwarze Liste zu setzen, den sie als von den Sicherheitsforschern kompromittiert erachten.

OphionLocker ist tödlicher als frühere Ransomware-Avatare, da sie keine Internetverbindung oder Benutzerinteraktion benötigt, um mit der Verschlüsselung zu beginnen. Dies liegt daran, dass ein öffentlicher Schlüssel bereits im Payload vorhanden ist, das vom Opfer heruntergeladen wurde. Dies macht es schwieriger, die Infektion zu erkennen oder zu verhindern.

Ransomware wird immer hartnäckiger

Die Verbreitung und Bösartigkeit dieser Ransomware und der Handler/Angreifer/Autoren scheinen besser und mutiger zu werden, indem sie immer kompliziertere Verschlüsselungstechniken verwenden. Trotz des hochkarätigen CryptoLocker-Abbaus bleibt Ransomware eine tödliche Bedrohung für die Benutzer. Der Fortschritt in den Techniken, die von den Autoren solcher Malware angewendet werden, ist in OphionLocker zu erkennen, das eine kleinere Schlüsselverschlüsselung mit elliptischer Kurven-Kryptographie und das Anonymitätsnetzwerk Tor für die Kommunikation mit seinem Command-and-Control-Server verwendet.

Resource : Trojan7Malware