TorrentLocker Ransomware-Variante zielt auf japanische Benutzer ab

Table Of Contents

• TorrentLocker Ransomware-Variante, die speziell auf japanische Benutzer abzielt
• Über TorrentLocker
• Der Angriff

TorrentLocker Ransomware-Variante, die speziell auf japanische Benutzer abzielt

Eine neue Variante der TorrentLocker-Ransomware wurde von Sicherheitsexperten bei Symantec entdeckt, die in freier Wildbahn ausgenutzt wird. Dies ist der erste gemeldete Fall einer Ransomware, die speziell Benutzer in Japan angreift. Obwohl Japan nicht neu in Bezug auf Ransomware ist, hat noch nie ein Cyberkrimineller einen so spezifischen Versuch unternommen, japanische Benutzer anzugreifen. Die Forscher von Symantec sagen, dass diese Ransomware eine lokalisierte Variante von TorLocker ist. Die Malware verschlüsselt Dateien mit bestimmten Dateierweiterungen auf dem kompromittierten Computer und fordert den Benutzer auf, zu zahlen, um die Dateien zu entschlüsseln. Die Forscher von Symantec haben auch bestätigt, dass es mehrere Varianten dieser speziellen japanischen Ransomware gibt.

Über TorrentLocker

Diese neue Art von Ransomware ist ein Geschwister von CryptoLocker und CrptoWall-Ransomware und kommuniziert mit ihrem Command-and-Control-Server über das Tor-Anonymisierungsnetzwerk. TorrentLocker verwendet Themen und Namen von CryptoLocker und CryptoWall-Ransomware, ist jedoch auf Codeebene sehr unterschiedlich und wird als neue Ransomware-Stamm angesehen. Die Malware verbindet sich zunächst über sichere Kommunikation mit einem Command-and-Control (C&C)-Server und tauscht ein Zertifikat aus, bevor sie die Malware verschlüsselt. Die Malware verwendet den Rijndael-Algorithmus zur Dateiverschlüsselung. Dies ist ein symmetrisches Verschlüsselungsverfahren und verwendet ein Passwort, das entweder lokal gespeichert oder vom Server der entfernten Angreifer abgerufen wird, um die Verschlüsselung durchzuführen.

Der Angriff

Ransomware verbreitet sich im Allgemeinen über so viele Medien wie möglich, um ahnungslose Benutzer zu infizieren. Das bevorzugte Medium der Cyberkriminellen ist jedoch Spear-Phishing. Die Malware ist in einer harmlosen E-Mail als Anhang enthalten, die das Opfer herunterlädt, in der Annahme, es handele sich um eine echte Datei. Sobald eine Ransomware auf einen Computer heruntergeladen wurde, beginnt sie, alle Dateien zu verschlüsseln, die sie über das Programm beauftragt wurde, und fordert eine Zahlung – normalerweise in Bitcoins – zur Entschlüsselung der Dateien, wodurch die Benutzerdaten zur Geisel werden. Diese spezielle Ransomware funktioniert ebenfalls auf die gleiche Weise, mit dem Zusatz, dass alle Anweisungen auf Japanisch verfasst sind.

TorLocker wurde in Ransomware-Angriffen auf der ganzen Welt verwendet. Die Bedrohung ist Teil eines Partnerprogramms, bei dem der Betreiber des Programms den Teilnehmern den Builder zur Erstellung benutzerdefinierter Ransomware, den Zugang zum TorLocker-Kontrollpanel zur Verfolgung von Infektionen und verschiedene Dateien zur Verwendung in Verbindung mit der Malware zur Verfügung stellt. Im Gegenzug geben die Teilnehmer einen Teil des Gewinns aus dem Angriff an den Betreiber des Partnerprogramms ab.

Die Malware wird über die Phishing-Seite verbreitet, die im obigen Bild angezeigt wird und eine gefälschte Adobe Flash Player-Installationsseite darstellt. Wenn ein Benutzer auf den gelben Link klickt, um diesen gefälschten Flash Player herunterzuladen, wird er aufgefordert, eine Setup-Datei herunterzuladen und auszuführen, um das Plugin zu installieren. Die Datei ist jedoch nicht digital signiert, noch enthält sie das typische Symbol, das in Flash Player-Installationsprogrammen verwendet wird. Diese beiden Fakten deuten darauf hin, dass es sich um eine gefälschte, mit Malware beladene Anwendung handelt, die nur von aufmerksamen Benutzern erkannt werden kann. Sobald die Datei heruntergeladen und installiert ist, beginnt die Ransomware mit der Verschlüsselung der Benutzerdaten.

Sobald die Malware ihre Arbeit beendet hat, wird dieser Bildschirm dem Benutzer angezeigt. Die Nachricht fordert den Benutzer dann auf, zu zahlen, um seine Dateien zu entsperren. Das geforderte Lösegeld reicht von 40.000 Yen bis 300.000 Yen (ungefähr 500 bis 3.600 US-Dollar). Japan nähert sich schnell seinem Neujahrsurlaub, was eine günstige Zeit für die Cyberkriminellen ist, um zuzuschlagen. Der Angreifer möchte wahrscheinlich die ahnungslosen Benutzer nutzen, die im Internet surfen.

Symantec hat die folgenden Empfehlungen, um Ransomware-Infektionen zu vermeiden oder zu mindern:

• Aktualisieren Sie die Software, das Betriebssystem und die Browser-Plugins auf Ihrem Computer, um zu verhindern, dass Angreifer bekannte Schwachstellen ausnutzen.

• Verwenden Sie umfassende Sicherheitssoftware wie Norton Security, um sich vor Cyberkriminellen zu schützen.

• Sichern Sie regelmäßig alle Dateien, die auf Ihrem Computer gespeichert sind. Wenn Ihr Computer mit Ransomware kompromittiert wurde, können diese Dateien wiederhergestellt werden, sobald die Malware vom Computer entfernt wurde.

• Zahlen Sie niemals das Lösegeld. Es gibt keine Garantie, dass der Angreifer die Dateien wie versprochen entschlüsselt, sobald er die Zahlung erhalten hat.