Verschlüsselung & Datensicherheit

Achtung! Ransomware statt Netflix-App

Es war keine Netflix-App sondern eine böse Überraschung, die Nutzer erlebten. Der angeblich kostenlose Zugang zum Streaming-Anbieter Netflix über eine App endete mit der Verschlüsselung der Nutzerdaten. Die kriminellen Hintermänner forderten Lösegeld in Höhe von 100 Dollar.

Die Verlockung illegaler Angebote

Es sind immer wieder verlockenden Angebote, die dazu führen, dass sich Nutzer „auf’s Glatteis“ begeben und illegale Wege nutzen, um sich angebliche Vorteile zu verschaffen. Im konkreten Fall wurde das gefälschte Programm “Netflix Login Generator” von Anwendern heruntergeladen. Sicherheitsbedenken werden dabei komplett außer acht gelassen, wie blog.botfrei.de dazu schreibt.

Der G DATA Sicherheitsexperte Karsten Hahn entdeckte die Ransomware-Variante Netix (RANSOM_NETIX.A), die sich als „Netflix Login Generator v1.1.exe“ verbreitet. Im Visier befinden sich dabei die Windows Systeme 7 und 10. Laut Anwendung soll der Nutzer freien Zugriff auf die Streaming-Plattform von Netflix über gefälschte Nutzer Zugangs-Daten haben.

Das funktioniert aber überhaupt nicht. Stattdessen werden die Rechner-Daten verschlüsselt. Im Anschluss wird eine weitere Datei namens „netprotocol.exe“ extrahiert, welche den Verschlüsselungsprozess ausführt. Anders als andere Ransomware-Versionen hat es Netix „nur“ auf 39 Dateiformate und „nur“ auf die Daten im Benutzer-Ordner („C: \ Users“) abgesehen.

Dateiformate, die Netix verschlüsselt

Laut blog.botfrei sind folgende Formate betroffen:

.ai, .asp, .aspx, .avi, .bmp, .csv, .doc, .docx, .epub, .flp, .flv, .gif, .html, .itdb, .itl, .jpg, .m4a, .mdb, .mkv, .mp3, .mp4, .mpeg, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .py, .rar, .sql, .txt, .wma, .wmv, .xls, .xlsx, .xml, .zip

Die verschlüsselten Dateien sind an der Erweiterung „.se“ erkennbar.

Das Ziel der Verschlüsselung sind insbesondere Windows 7 und 10. Wie verlautet kontaktiert die Ransomware nach Beendigung des Verschlüsselungsvorgangs seinen C&C Server. Gegen die Aussendung der Infektions-ID und weiteren Details des infizierten Systems erfolgt die Rücksendung von Löschinformationen.

Die Lösegeldforderung

Mit der im Anschluss angezeigten Lösegeldforderung wird mitgeteilt, dass die Angreifer 100 Dollar für die Freigabe, zahlbar in Form der digitalen Währung Bitcoin fordern. Dazu soll das Opfer Kontakt mit den Kriminellen über eine Webseite aufnehmen, wo er dann den entsprechenden Entschlüsselungscode erhält.

Der Rat an Betroffene lautet:

Es gibt noch keine kostenfreie Wiederherstellung der Daten – Angst und Einschüchterung ist die Motivation der Kriminellen: 

"Wir von Botfrei schließen uns der Meinung des BSI, dem BKA und Polizeibehörden an und raten dringend davon ab, hier das Lösegeld an die Cyberkriminellen zu bezahlen!"

Das Bezahlen des Lösegeldes, um verschlüsselte Dateien wiederherzustellen, ist keine Garantie dafür wirklich Zugriff auf die Dateien zu erhalten. Viele Ransomwarefamilien sind mit Fehlern behaftet, die eine Wiederherstellung in einigen Fällen unmöglich machen.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben