Wie File Spider funktioniert
Wie File Spider im Einzelnen funktioniert hat openpr.de beschrieben und beruft sich dabei auf die Erkenntnisse des Malware-Forschers Lawrence Abrams, der File Spider entdeckte.
Unmittelbar nach der Infiltration verschlüsselt File Spider die meisten gespeicherten Dateien und hängt Dateinamen mit der Erweiterung ".spider" an (z. B. wird "sample.jpg" zu "sample.jpg.spider"). Von diesem Punkt werden Dateien unbrauchbar. Sobald die Dateien verschlüsselt sind, führt File Spider die Datei "dec.exe" aus (wird vom Anhang heruntergeladen und im Ordner "% AppData% Spider" gespeichert). Darüber hinaus erstellt es zwei Verknüpfungen: "WIE ENTSTEHEN FILES.url" (in jedem vorhandenen Ordner platziert und führt zu einem "wie Entschlüsseln" Online-Video-Tutorial) und "DECRYPTER.url" (auf dem Desktop platziert, und das öffnet die Datei "dec.exe").
Die Nachricht an die Opfer
Das Popup-Fenster enthält eine Nachricht, die die Opfer über die Verschlüsselung informiert und sie anweist, was als nächstes zu tun ist. Um Dateien wiederherzustellen, müssen Benutzer zuerst die Website von File Spider besuchen und ein Lösegeld bezahlen.
Die Nachricht besagt, dass für die Entschlüsselung ein eindeutiger Schlüssel erforderlich ist. Leider sind diese Informationen korrekt. File Spider verwendet die AES-128-Kryptographie und somit ist es unmöglich, Dateien wiederherzustellen, ohne dass ein Schlüssel für jedes Opfer eindeutig generiert wird. Zusätzlich wird der Primärschlüssel mit dem RSA-Algorithmus (der einen zweiten Schlüssel erzeugt) verschlüsselt, wodurch die Dinge noch komplizierter werden.
Die Lösegeldforderung
Cyber-Kriminelle speichern diese Schlüssel auf einem Remote-Server, und Benutzer werden aufgefordert, 0,00725 Bitcoin (im Gegenwert von etwa 120 Euro) dafür zu bezahlen. Die Botschaft besagt auch, dass die Opfer vier Tage (genau 96 Stunden) Zeit haben, die Zahlung zu leisten. Nach diesem Zeitraum werden die Schlüssel dauerhaft blockiert / gelöscht und das Wiederherstellen von Dateien wird unmöglich.
Experten hingegen raten dringend von einer Lösegeldzahlung ab, da die Wahrscheinlichkeit eines Betrugs sehr groß ist und es keine Gewähr für die Wiederherstellung der Daten gibt. Wie weiter dazu verlautet gibt es aktuell keine Tools, mit denen Dateien wiederhergestellt werden können, die mit dieser Ransomware verschlüsselt wurden. Die einzige Lösung besteht darin, die Dateien aus einem Backup wiederherzustellen.
Weiterführende Links:
openpr.de: Spider PC Dateien Virus - Ransomware erpresst Europa
