Captain Kirk und Mister Spock lassen grüßen
Genauere Untersuchungen der Ransomware hat, einem Bericht von winfuture.de zu Folge, der Avast-Sicherheitsforschers Jakub Kroustek durchgeführt. Danach tarnt sich die Ransomware als spezielle Variante des Tools "Low Orbit Ion Cannon". Möchte ein Nutzer einen Angriff mit diesem Programm starten, so wird lediglich die Verschlüsselung der eigenen Festplatte eingeleitet. Zudem wird eine ASCII-Grafik von den Star Trek-Protagonisten Captain Kirk und Mister Spock eingeblendet.
Nach Erkenntnissen von Bleeping Computer wurde die Ransomware in der Programmiersprache Python entwickelt. Anders als von bisherigen Erpressertrojanern gewohnt, werden von den Opfern nicht Bitcoins verlangt. Die Zahlung von Lösegeld soll in der Kryptowährung Monero geleistet werden. Dabei sollten die Opfer schnell sein, denn je später die Zahlung erfolgt, desto mehr verlangen die kriminellen Erpresser für die Entschlüsselung der Dateien. Aus anfänglich zu zahlenden 50 Monero, das sind etwa 1000 Euro, können dann schnell Unsummen werden.
Mister Spock entschlüsselt
Erst nach der Zahlung von Lösegeld soll das Tool mit dem schönen Namen Spock von den Cyberkriminellen herausgegeben werden. Der gute Rat an alle Betroffenen lautet in diesem Zusammenhang, auf keinen Fall zu zahlen. Wie winfuture.de dazu anmerkt bleibt es äußerst fragwürdig, ob der Erpresser seinem Versprechen auch nachkommt und tatsächlich ein Tool mit einem zum Entschlüsseln der Dateien notwendigen Schlüssel ausliefert.
Wie verlautet gibt es noch keine andere Möglichkeit der Datenentschlüsselung, da die Ransomware noch nicht geknackt wurde. Infizierte Rechner sollten zur Schadensbegrenzung möglichst umgehend heruntergefahren werden. Von besonderer Bedeutung ist in jedem Fall eine regelmäßige Datensicherung durch ein Backup. Damit kann man sich wirksam vor einer ungewollten Verschlüsselung schützen.
Weiterführende Links:
bleepingcomputer.com: Star Trek Themed Kirk Ransomware Brings us Monero and a Spock Decryptor!
winfuture.de: Star-Trek-Ransomware: Verbreitung erfolgt über beliebtes DDoS-Tool
