PrincessLocker
Die Ransomware Princess, oder auch PrincessLocker, ist bereits seit letztem Jahr bekannt, wie pc-magazin unter Berufung auf Malwarebytes berichtete. Demnach wird der Erpressungs-Trojaner mit dem RIG Exploit Kit über infizierte Webseiten ausgeliefert.
Die Infektion mit dem Schädling läuft dabei völlig unbemerkt ab. Das RIG Exploit Kit durchsucht den Internet Explorer und den Flash Player nach bekannten Schwachstellen. Ist ein Sicherheitsleck gefunden beginnt der Download der Princess Malware.
Angreifer wollen Bitcoins
Es erfolgt die Verschlüsselung aller Dateien, wobei jeder Datei eine zufällig gewählte Erweiterung des Dateityps zugewiesen wird. Der Betroffene bekommt nun eine Meldung über den Browser mit der URL "_USE_TO_REPAIR_[a-zA-Z0-9].html".
Hier wird ihm eine Identifikationsnummer zugewiesen und die Dateierweiterung angezeigt. Links führen dann zu einer Webseite, die die Zahlungsmodalitäten erläutert. Wie es heißt verlangen die Angreifer 0,0770 Bitcoins, was aktuell 298 Euro entspricht, um eine Entschlüsselungs-Software herunter laden zu können. Zahlt man nach Ablauf einer bestimmten Zeitspanne nicht, erhöht sich der Preis auf umgerechnet 596 Euro.
Weiterführende Links:
malwarebytes.com: RIG exploit kit distributes Princess ransomware
pc-magazin.de: Princess: Ransomware verteilt sich über infizierte Webseiten
