Matrix mit neuen Qualitäten
Der Forscher Brand Duncan von Palo Alto stieß auf einen Fall von Verbreitung über das Exploit-Pack RIG, obgleich Matrix früher weder bezüglich des Ausbreitungstempos noch des Verbreitungsausmaßes mit Erpressern wie Cerber und Spora vergleichbar war, wie securelist.com unter Berufung auf Threatpost informierte. Im Rahmen der Analyse wurde Folgendes ermittelt:
Eigenschaften
- Die neue Matrix-Version ist in der Lage andere Computer zu infizieren, indem sie sich mit Hilfe schädlicher Shortcuts ihren Weg von Maschine zu Maschine bahnt.
- Sie ist in der Lage auf den Angriffsserver Informationen über den Typ der von ihr verschlüsselten Dateien zu laden.
Verbreitungsweg
- Die Verbreitung erfolgt über kompromittierte Websites, die mit dem EITest-Script infiziert sind. Auf dem PC angekommen, lädt ein iframe das Exploit-Pack RIG, das daraufhin versucht, angreifbare Programme auszunutzen und Matrix zu installieren.
Netzwerk-Infektion
- Zur Ausbreitung im Netzwerk versteckt Matrix während des Verschlüsselns der Dateien ein Verzeichnis und erstellt einen Shortcut mit demselben Namen. Dann kopiert der Schädling die ausführbare Datei des Erpresserprogramms und speichert sie als desktop.ini in dem ursprünglichen, bereits verborgenen Verzeichnis.
- Im konkreten Fall könnte sich der Schädling in einem Ordner verbergen und einen Shortcut erstellen. Der Nutzer speichert völlig ahnungslos irgendwelche Dateien in diesem normalen Ordner. Währenddessen kopiert Matrix die Datei desktop.ini, bei der es sich aber tatsächlich um die ausführbare Datei der Ransomware handelt, in %Temp%\OSw4Ptym.exe und führt sie daraufhin aus. So gelingt dann das Eindringen des Schädlings über Netzwerkspeicher und mobile Speichermedien in andere Computer.
Merkmale von Matrix
Laut den Forschern ist davon auszugehen, dass sich Matrix laufend ändert.
- Das bedeutet, Matrix wird regelmäßig aktualisiert. Das betrifft die Erweiterungen der zu verschlüsselnden Dateien, die Kontakt-E-Mail-Adressen oder der Text der Lösegeldforderung.
- Matrix kommuniziert sehr häufig mit dem Steuerungsserver und informiert ihn über den Verlauf des Verschlüsselungsprozesses. Der Schädling lädt Statistiken zu den Typen der zu verschlüsselnden Dateien auf den Server, wie es auch Spora tut und er erhebt je nach Typ der verschlüsselten Dateien unterschiedlich hohe Lösegeldforderungen.
- Außerdem löscht Matrix die Shadow Volume Copies, um die Möglichkeit des Zurücksetzens und der Wiederherstellung des Systems in den Zustand vor der Infektion unmöglich zu machen.
Lösegeld oder Datenlöschung
Nach erfolgter Verschlüsselung drohen die Erpresser damit, dass alle 12 Stunde, die ohne Zahlung des Lösegeldes verstreichen, sich dieses um 100 Dollar erhöht. Dem Opfer bleiben insgesamt 96 Stunden, bevor die Dateien, so die Drohung der Cybergangster, für immer gelöscht werden.
Weiterführende Links:
Ransomware Cerber: Erste deutsche Anleitung zur Entschlüsselung
Spora G DATA analysiert neuartige Ransomware
threatpost.ru: Threatpost
securelist.com: Ransomware Matrix verbreitet sich über bösartige Shortcuts