Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Erpressungstrojaner Ransom32 aufgrund JavaScript noch bedrohlicher

04.01.2016

 zur Newsdatenbank home

Kryptologen von Emsisoft und BleepingComputer warnen, dass der Verschlüsselungstrojaner Ransom32 der erste Schädling seiner Art ist, der als JavaScript-Applikation daherkommt. Nur Systeme mit Windows sollen aktuell bedroht sein.

Auf dem NW.js-Framework, über das Entwickler Desktop-Applikationen basierend auf JavaScript mit Cross-Plattform-Ausrichtung erstellen können, soll Ransom32 aufbauen. Die Sicherheitsforscher erläutern, dass Angreifer so die Ransomware mit geringem Aufwand auch mit Linux und OS X kompatibel machen könnten.

Im Gegensatz zu einer JavaScript-Anwendung, die in einer Sandbox abgeschottet in einem Webbrowser läuft, sollen Desktop-Applikationen, die mit dem NW.js-Framework erstellt wurden, wesentlich tiefer in das Betriebssystem eingreifen können.

Viele Viren-Scanner sollen dabei kaum anschlagen, da es sich bei NW.js um ein legitimes Framework handelt. Ein Großteil der Scanner stufen die Signaturen der mit dem Framework erzeugten Anwendungen nicht als bösartig ein.

Der Emsisoft-Kryptologe Fabian Wosar ist nach eigenen Angaben auf ein selbstentpackendes RAR-Archiv, das Ransom32 enthält, gestoßen. Wird auf das Archiv ein Doppelklick durchgeführt, sollen sich die darin enthaltenen Dateien automatisch in das Temp-Verzeichnis von Windows entpacken.

Als Webbrowser Chrome gibt sich die Ransomware aus und die ausführbare Datei namens chrome.exe startet dann Ransom32. Somit wird die Verschlüsselung der Dateien (AES 128 Bit im CTR-Modus) auf dem Computer ausgelöst.

Eine Webseite, die im Tor-Netzwerk versteckt ist, soll als Anlaufstelle für Kriminelle dienen. Der Funktionsumfang von Ransom32 kann dort nach den eigenen Bedürfnissen angepasst werden, zum Beispiel, dass das Opfer den Sperrbildschirm nicht mehr minimieren kann. Die Sicherheitsforscher erläutern, dass anschließend eine individuelle Installationsdatei zum Download bereit steht. Kriminelle sollen auch die Kampagne von der Webseite ausgehend steuern können.

Damit das Angebot von Angreifern genutzt werden kann, benötigen sie lediglich eine Bitcoin-Adresse. Für die Nutzung des Services fordern die Entwickler von Ransom32 25 Prozent der Lösegelder ein.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89