Varianten und Funktionsweise von DetoxCrypto
Für DetoxCrypto gibt es zwei Varianten. Die eine, Calipso.exe, nimmt einen Screenshot direkt nach der Installation auf und schickt es an die kriminellen Entwickler. Die andere nutzt ein Pokémon-Motiv, scheinbar, um die Betroffenen schneller dazu zu bewegen, Lösegeld in Form von Bitcoins zu zahlen.
Wie sich diese Malware verbreitet ist noch unbekannt. Doch alle Varianten funktionieren als einzelne ausführbare Datei für Windows-Rechner. Wiederum darin eingebettet sind weitere ausführbare Dateien und Programme. Dabei werden eine Datei mit dem Namen MicrosoftHost.exe, eine Audiodatei und ein Bildschirmhintergrund extrahiert. Hinzu kommt ein der Variante entsprechend benanntes Tool.
Die Dateien auf dem Rechner werden mit dem AES-Standart verschlüsselt und Datenbankdienste gestoppt. Dann wird eine Lösegeldforderung eingeblendet, die durch die Audiodatei begleitet wird. Wie üblich bei Ransomware gibt es ein Eingabefeld für den Dechiffrierschlüssel, den man nur bei Zahlung des Lösegeldbetrags in Bitcoin erhält.
Fazit
Experten zufolge ist zu befürchten, dass dies der erste Schritt in Richtung eines neuen Affiliate-Programms mit Ransomware-as-a-Service ist. Da verschiedene Varianten mit unterschiedlichen Motiven, Features und E-Mail-Adressen existieren, lässt den Schluss zu, dass diese Ransomware entweder zu einem Afiliate-System gehört oder sie im Dark Web verkauft wird.