TorrentLocker ist ein neues Ransomware Down Under. Und es ist böse.
Cryptolocker ist möglicherweise tot und begraben CryptoLocker ist tot: So können Sie Ihre Dateien zurückholen! CryptoLocker ist tot: So können Sie Ihre Dateien zurückholen! Lesen Sie mehr, aber es gibt eine neue Malware, die die Ransomware-Krone übernimmt. Es heißt TorrentLocker und ist absolut böse.
Von TorrentLocker sollen sich sowohl Funktionen der berüchtigten CryptoLocker-Ransomware als auch der CryptoWall leihen. Obwohl es sich um ein Derivat dieser Malware-Programme handelt, bezeichnen die Sicherheitsforscher, die es entdeckt und analysiert haben - iSIGHT-Partner -, dies als eine völlig neue Sorte.
iSIGHT Partners sind ein renommiertes Sicherheitsforschungsunternehmen mit Sitz in Dallas, Texas, Büros und Mitarbeitern in 16 Ländern weltweit.
Verbraucher, die von TorrentLocker betroffen sind, werden ihre Dateien mit einer starken, nahezu unzerbrechlichen Verschlüsselung verschlüsselt finden und können ihre Dateien nur zurückholen, wenn sie ein Lösegeld zahlen, das in australischen Dollar aufgeführt ist.
Neugierig, was TorrentLocker so besonders böse macht? Lesen Sie weiter für mehr.
Eine vertraute Bedrohung
Was an TorrentLocker besonders fasziniert, ist die Art und Weise der Namensgebung und der Ästhetik von CryptoLocker und CryptoWall, obwohl es ein völlig anderes Tier ist. Nach der Infektion identifiziert sich die Malware als "CryptoLocker" (was ich einmal als die "bösartigste Malware aller Zeiten" bezeichnet habe). CryptoLocker ist die bösartigste Malware aller Zeiten und das, was Sie tun können CryptoLocker ist die bösartigste Malware, die Sie jemals tun können CryptoLocker ist eine Art bösartiger Software, die Ihren Computer durch die Verschlüsselung aller Ihrer Dateien völlig unbrauchbar macht und dann eine Geldzahlung verlangt, bevor der Zugriff auf Ihren Computer zurückgegeben wird. Lesen Sie weiter) und enthält ein kurzes Q & A, das anscheinend in seiner Gesamtheit abgeschottet wurde CryptoWall.
Die Etymologie von TorrentLocker beruht auf einer Änderung der Windows-Registrierung. Was ist der Windows-Registrierungseditor und wie verwende ich ihn? [MakeUseOf erklärt] Was ist der Windows-Registrierungs-Editor und wie verwende ich ihn? [MakeUseOf erklärt] Die Windows-Registry kann auf den ersten Blick unheimlich sein. Hier können Power-User eine Vielzahl von Einstellungen ändern, die an anderer Stelle nicht verfügbar sind. Wenn Sie nach Änderungen in… suchen, lesen Sie mehr unter 'HKCU \ Software \ Bit Torrent Application \'. Es gibt jedoch keine echten Beweise dafür, dass TorrentLocker über Dateifreigabeprotokolle und Netzwerke infiziert. Die meisten Installationen des Virus stammen scheinbar von Personen, die Anhänge von Spam-E-Mails öffnen.
Ähnlich wie bei CryptoLocker fordert TorrentWall ein Lösegeld. Lassen Sie sich nicht von den Betrügern verderben: Ein Leitfaden für Ransomware und andere Bedrohungen Lassen Sie sich nicht von den Betrügern verderben: Ein Leitfaden für Ransomware und andere Bedrohungen Lesen Sie weiter. Damit Benutzer ihre Dateien zurückerhalten können, müssen sie 500AUD ($ 464 USD, zum Zeitpunkt des Schreibens) herausgreifen. Ähnlich wie bei CryptoLocker müssen Benutzer das Lösegeld in Bitcoin bezahlen. TorrentLocker schlägt eine Reihe von Bitcoin-Börsen vor BitCoin - Kaufen, Verkaufen und Handel mit anonymer Peer-to-Peer-Währung BitCoin - Kauf, Verkauf und Handel mit anonymer Peer-To-Peer-Währung Anfang dieses Monats haben zwei prominente US-Politiker an den US-Justizminister Eric geschrieben Inhaber, der Bedenken hinsichtlich des Aufstiegs einer neuen Online-Währung zum Ausdruck bringt - BitCoin. Die anonyme Peer-to-Peer-Währung ist in Australien sehr beliebt. Zusammen mit der gewählten Währung des Lösegelds deutet dies darauf hin, dass sich diese Malware an australische Internetbenutzer richtet.
Malware, die auf ein bestimmtes Land abzielt, ist nicht besonders neu. Stuxnet richtete sich an SCADA-Systeme im Iran, während andere Ransomware-Software die Namen und Logos der britischen Serious Organized Crime Agency (SOCA) sowie des Federal Bureau of Investigations verwendete.
Was ist neu und wie funktioniert es??
TorrentLocker sieht aus wie Cryptolocker. Es quackt wie Cryptolocker. Es ist jedoch kein CryptoLocker. In der Tat ist dies auf der Codeebene sehr unterschiedlich und sollte als eine völlig eigene Malware-Sorte betrachtet werden, anstatt als Cryptolocker-Rebranding.
Sobald die ausführbare TorrentLocker-Datei ausgeführt wurde, nimmt sie eine Änderung an explorer.exe vor. Diese enthält die meisten Funktionen von TorrentLocker, einschließlich des Codes, der zur Kommunikation mit dem Befehls- und Steuerungsserver sowie zum Verschlüsseln der Dateien auf dem System verwendet wird.
Die Malware dupliziert sich im Ordner '% WINDOWS% /% WOW64%'. Diese Kopie wird nach dem Zufallsprinzip benannt, um möglicherweise Antivirenprogrammen, die zu diesem Zeitpunkt auf dem System ausgeführt werden, Schwierigkeiten zu machen. Es führt auch mehrere Installationen gleichzeitig aus, um möglicherweise sein Verhalten zu verschleiern.
Eine weitere Kopie der Malware wird neben einem Autorun-Schlüssel in der Windows-Registrierung abgelegt. Wie zu erwarten, wird die Malware beim Start gestartet.
Damit die Malware mit dem Verschlüsseln von Dateien beginnen kann, muss sie zunächst mit dem Befehls- und Kontrollserver (C & C) kommunizieren können. Es versucht, eine Verbindung zu einer IP-Adresse herzustellen, die in der Malware fest codiert ist, und die Authentifizierung erfolgt dann. Wenn die Authentifizierung erfolgreich ist, beginnt die Malware mit der Verschlüsselung von Dateien. Sobald er seine Aufgabe erfüllt hat, informiert er den Benutzer.
Benutzer können die Entschlüsselung überprüfen, indem sie eine einzelne Datei ihrer Wahl kostenlos wiederherstellen. Im Gegensatz zu CryptoLocker müssen die Opfer nicht innerhalb eines bestimmten Zeitraums bezahlen, damit die Entschlüsselungsschlüssel nicht gelöscht werden. Die Kosten für die Entschlüsselung verdoppeln sich jedoch nach Ablauf einer bestimmten Zeit auf $ 1.000 AUD.
Interessanterweise beschreibt die Ransomware nicht wirklich das Lösegeld in solchen Ausdrücken. Vielmehr kaufen die Opfer die Software, die zur Entschlüsselung ihrer Dateien erforderlich ist. Die Lösegeldseiten sind in grobem, gebrochenem Englisch verfasst, was darauf hindeutet, dass die Person (oder Personen) hinter TorrentWall keine englischen Muttersprachler sind.
Die Lösegeldseite enthält auch ein Formular für die Kontaktaufnahme mit dem Angreifer. Neben der Auflistung von Bitcoin, Dogecoin Dogecoin: Wie aus einem Meme der 3. größte digitale Münze-Dogecoin wurde: Wie aus einem Meme der 3. größte Digitalmünze wurde, lesen Sie mehr und Litecoin verpasst das Bitcoin Goldrausch? Steigen Sie in den Litecoin Silver Rush ein, stattdessen den Bitcoin-Goldrausch verpasst? Steigen Sie ein in den Litecoin Silver Rush Statt Wenn Sie die Bitcoin-Mining-Begeisterung verpasst haben und trotzdem eine virtuelle Währung abhaken möchten, haben Sie Glück. Im Jahr 2011 hat sich Litecoin als einer der wichtigsten Akteure in der Welt der elektronischen… Read More Adressen etabliert, an denen dankbare Opfer spenden können. Dies ist freiwillig, auch wenn man jemandem, der einen beträchtlichen Betrag von Bargeld von Ihnen erpresst hat, ein Geschenk machen würde, liegt etwas außerhalb meines Verständnisses.
Was kann ich tun, wenn ich infiziert bin??
Das ist ein bisschen knifflig. Im Moment gibt es keine andere Möglichkeit, Ihre Dateien zurückzubekommen, als das Lösegeld zu zahlen. Wie wir jedoch mit CryptoLocker gesehen haben, ist CryptoLocker tot: So können Sie Ihre Dateien zurückbekommen! CryptoLocker ist tot: So können Sie Ihre Dateien zurückholen! Lesen Sie mehr. Es ist möglich, dass die Benutzer ihre Dateien zurückerhalten, wenn die Command- und Control-Server übernommen werden und die Liste der Entschlüsselungsschlüssel wiederhergestellt wird.
Stellen Sie in der Zwischenzeit sicher, dass Sie eine Sicherungskopie Ihrer Dateien haben, die nicht dauerhaft über USB oder eine Netzwerkfreigabe mit Ihrem Computer verbunden ist. Darüber hinaus sollten Sie in einige solide Antivirenprogramme investieren (nicht Microsoft Security Essentials, warum Sie Microsoft Security Essentials durch ein ordnungsgemäßes Antivirenprogramm ersetzen sollten. Warum sollten Sie Microsoft Security Essentials durch ein ordnungsgemäßes Antivirenprogramm ersetzen?), Und vermeiden Sie das Öffnen von Anhängen von unerwünschten oder verdächtigen E-Mails.
Wenn Sie infiziert werden, sollten Sie eine billige externe Festplatte (oder einen ausreichend großen USB-Stick) kaufen und Ihre verschlüsselten Dateien kopieren. Dadurch haben Sie die Möglichkeit, Ihre Dateien zu einem späteren Zeitpunkt und ohne Lösegeld wiederherzustellen. Sie werden dann aufgefordert, Windows neu zu installieren (oder geben Sie vielleicht Linux ein - ein viel sichereres Betriebssystem.) Linux-Betriebssysteme für The Paranoid: Was sind die sichersten Optionen? Linux-Betriebssysteme für The Paranoid: Was sind die sichersten Optionen? Switching Linux bietet viele Vorteile für Benutzer: Von einem stabileren System bis hin zu einer großen Auswahl an Open-Source-Software erwarten Sie einen Gewinner. Und es kostet Sie keinen Pfennig! Lesen Sie mehr - ein Versuch), um die Malware zu entfernen für immer.
Es ist verlockend, das Lösegeld zu zahlen, obwohl Sie daran denken sollten, dass Sie diese Arten von Lösegeld erst dann für den Angreifer finanziell wertvoll machen würden.
Wurden Sie getroffen??
Alle deine Dateien verloren? Wurden Sie gezwungen, ein Lösegeld zu zahlen? Kennen Sie jemanden, der hat? Ich würde gerne deine Geschichte hören. Das Kommentarfeld befindet sich unten.
Erfahren Sie mehr über: Anti-Malware.