Was ist die RAA-Schadsoftware und wie wird Sie verbreitet?
Laut Bleepingcomputers berichten Experten über eine neue Ransomware, welche in Javascript geschrieben ist und über Mailanhänge (.js-Anhang) verbreitet wird. Wichtige Hinweise zum Phishing finden Sie hier. Zusätzlich wird bei der Installation, ausgeführt von dem Benutzer, ein Trojaner namens Pony installiert, der Passwörter kopiert.
Die RAA-Schadsoftware benutzt die CryptoJS-Bibliothek. Diese verwendet AES zur Verschlüsselung der Daten, denen dann die Endung .locked angehängt wird. Eine Besonderheit dieser Schadsoftware ist auch, dass alle Schattenkopien der Dateien restlos vernichtet werden. Somit ist eine Wiederherstellung der Dateien ohne Zahlung der Erpressungsgelder nicht möglich.
Wie arbeitet die RAA-Schadsoftware?
Wird die angehängte Word-Datei durch einen User ausgeführt, öffnet sich eine Fehlermeldung in Russisch. Zu dem Zeitpunkt beginnt der Rechner mit der Verschlüsselung der Dateien und Pony wird installiert. Programm- und Systemordner werden nicht verschlüsselt.
Dann wird auf dem Desktop eine Datei abgelegt, !!!README!!![id].rtf. Darin sind Anweisungen zur Wiederherstellung von Dateien zu finden. Auch diese sind zurzeit nur in russischer Sprache verfasst.
Nutzer werden aufgefordert, 0,39 Bitcoin zu zahlen, ca. 250 US Dollar. Der Bitcoin-Kurs ist sprunghaft angestiegen. Ende Mai lag der Wert eines Bitcoin bei 400,00€, nun sind es schon ca. 670,00€.
