Was kennzeichnet Ransom 32?
Wie bereits auf Trojaner-Info beschrieben, ist die Ransomware erstmals als JavaScript-Applikation unterwegs. Es ist also eine Ransomware, die in JavaScript geschrieben wurde. Die Grundlage sind NW.js, die auch bei Windows, Linux und Mac Verwendung finden.
Daneben wird die Ransomware auch als Ransomware-as-a-Service (RaaS) angeboten. Im Tor-Netzwerk versteckt können sich Interessenten beliebig bedienen. Voraussetzung ist das Vorhandensein einer Bitcoin-Adresse. Die Autoren fordern jedoch 25 Prozent des Lösegeldes.
Wie kann sich die Malware installieren?
Es sind immer wieder die gleichen Sünden der Nutzer, die zum Befall führen. Allen voran geht es dabei um veraltete Software mit diversen Sicherheitslücken, die es dem Schädling leicht machen einzudringen. Ist dieser auf dem System installiert, wird eine Verbindung zum Command-and-Control-Server des Tor-Netzwerks aufgebaut und die Lösegeldforderung wird angezeigt.
Können die gesperrten Dateien entschlüsselt werden?
Die Antwort darauf hat Fabian Wosar, Sicherheitsexperte von Emsisoft:
Die Malware bietet auch an, eine einzelne Datei wieder zu entschlüsseln, um dem Opfer zu beweisen, dass der Malware-Entwickler die Verschlüsselung auch tatsächlich wieder aufheben kann. Dazu schickt sie den verschlüsselten AES-Schlüssel der gewählten Datei an den C2-Server, der dann den entschlüsselten AES-Schlüssel für die Datei zurücksendet.
