Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.682.387 Produkten

Olivia von Westernhagen 107

SyncCrypt: Neue Ransomware lauert in JPG-Dateien

SyncCrypt: Neue Ransomware versteckt sich in JPG-Datei

Bild: pixabay.com

Um AV-Software auszutricksen, verbirgt sich die Ransomware SyncCrypt in Bilddateien. Einmal auf dem System, wird sie per Skript extrahiert und ausgeführt. Kostenlose Entschlüsselungs-Tools gibt es bislang nicht.

Ein Sicherheitsforscher von Emsisoft hat eine neue Ransomware namens "SyncCrypt" entdeckt. Wie bleepingcomputer.com berichtet, verbreitet sie sich via Spam-Mails, deren Anhang als Gerichtsbeschluss getarnt ist. Hinter Namen wie "CourtOrder_845493809.wsf" verbirgt sich ein Windows Script File (WSF), das, einmal ausgeführt, als Downloader für SyncCrypt dient.

Anzeige

Die Ransomware verschlüsselt eine Vielzahl von Dateitypen und versieht sie mit der Zusatzendung ".kk". Anschließend erpresst sie ein Lösegeld in Bitcoin, dessen Höhe laut bleepingcomputer umgerechnet etwa 429 US-Dollar beträgt. Kostenlose Entschlüsselungs-Tools gibt es bislang nicht.

Ungewöhnlich ist die Strategie, die SyncCrypt nutzt, um sich während des Downloads vor AV-Software zu verstecken. Bleepingcomputer-Betreiber Lawrence Abrams unterzog das Windows Script File einer näheren Analyse und stellte fest, dass es die Ransomware nicht einfach als .exe-Datei herunterlädt. Stattdessen nimmt es den Umweg über eine .jpg-Datei, in der sich ein Zip-Archiv verbirgt. Aus dieser extrahiert das Skript nach erfolgreichem Download die Ransomware, um sie anschließend auszuführen.

Um zu überprüfen, ob SyncCrypts Tarnung funktioniert, lud Abrams sowohl die .jpg- als auch die daraus extrahierte .exe-Datei beim Online-Scandienst VirusTotal hoch. Unmittelbar nach dem Upload erkannte nur einer von 58 Scannern die .jpg-Datei, während immerhin 28 von 63 Engines bei der .exe-Datei Alarm schlugen.

Abrams betont, dass die Bilddatei für sich genommen keinen Schaden anrichten könne. Rufe man sie direkt über eine von drei im Skript enthaltenen URLs auf, so sehe man einfach nur ein Album-Cover des isländischen Musikers Ólafur Arnalds. Erst in Kombination mit dem Windows Script File komme der enthaltene Schadcode zur Ausführung. (ovw)

107 Kommentare

Themen:

Anzeige
  1. Aufgepasst: Neuer Verschlüsselungstrojaner Goldeneye verbreitet sich rasant

    Aufgepasst: Neuer Verschlüsselungstrojaner Goldeneye verbreitet sich rasant

    Ein bisher unbekannter Verschlüsselungstrojaner tarnt sich als Bewerbungs-E-Mail und versucht, Systeme in ganz Deutschland zu verschlüsseln. Momentan wird er von vielen Virenscannern noch nicht erkannt.

  2. Achtung: Aktuelle Spam-Mails fälschen Absender von Mitarbeitern

    Achtung: Aktuelle Spam-Mails fälschen Absender von Mitarbeitern

    Akute Gefahr geht von einer Schädlingswelle aus, die per E-Mail anrollt. Durch eine clevere Wahl der Absender könnten auch versierte Anwender verleitet werden, dem darin enthaltenen Link zu folgen. Er führt zu bislang weitgehend unerkannter Malware.

  3. Googlemail will JavaScript als Datei-Anhang verbieten

    Googlemail will JavaScript als Datei-Anhang verbieten

    Aus Sicherheitsgründen können Nutzer von Googlemail ab Februar keine .js-Dateien mehr als E-Mail-Anhang versenden. Über derartige Skripte gelangen derzeit vor allem Erpressungs-Trojaner auf Computer.

  4. Ransomware-as-a-Service: Mit Satan den eigenen Erpressungstrojaner bauen

    Mit Satan den eigenen Erpressungstrojaner bauen

    Die Drahtzieher hinter der Ransomware Satan stellen ihren Trojaner kostenlos bereit, verlangen aber 30 Prozent Kommission auf die Erpressungserlöse.

  1. Analysiert: Ransomware meets Info-Stealer - RAA und das diebische Pony, Teil II

    Analysiert: Ransomware meets Info-Stealer - RAA und das diebische Pony

    Wie diese Analysiert:-Folge enthüllt, weist die scheinbar perfekte Verschlüsselung des RAA-Trojaners doch Lücken auf. Auch der von RAA gestartete Passwort-Dieb kann sich mit seinen Anti-Debugging-Tricks der Analyse nicht entziehen.

  2. Analysiert: Ransomware meets Info-Stealer - RAA und das diebische Pony

    Analysiert: Ransomware meets Info-Stealer - RAA und das diebische Pony

    Im Rahmen unserer Analysiert:-Serie geht es diesmal einem Erpressungs-Trojaner an den Code: Olivia von Westernhagen untersucht den in JavaScript realisierten RAA-Trojaner, der gleich auch noch eine Passwort-Klau-Malware im Gepäck hat.

  3. Ransomware: So entfernst du Verschlüsselungs-Trojaner

    Wenn deine Daten von einem Verschlüsselungs-Trojaner gekapert wurden, heißt es: Ruhe bewahren. Wir zeigen, was du gegen Ransomware tun kannst.

  1. 50er-Roller im Test: Markenroller gegen Billigangebote

    Der ADAC hat sieben Motorroller mit 50 ccm getestet. Dabei traten fünf bekannte Marken gegen zwei besonders günstige Angebote an. Welcher Roller hat am besten abgeschnitten?

  2. PC-Anforderungen von Final Fantasy XV: Über 155 GByte Speicher, 16 GByte RAM, GTX 1080 Ti für 4K

    PC-Anforderungen von Final Fantasy XV: Über 155 GByte Speicher, 16 GByte RAM, GTX 1080 Ti für 4K, Benchmark-Tool am 1. Februar

    Für die PC-Version des Action-Rollenspiels Final Fantasy XV müssen wohl einige Spieler ihre SSDs oder Festplatten von unnötigem Ballast befreien: Das Spiel belegt in der 4K-Fassung über 155 GByte.

Anzeige