Die Sicherheitsforscher mit den Pseudonymen JAMESWT_MHT und benkow_ von Bleepingcomputer.com warnen vor einen Verschlüsselungs-Trojaner RAA, den sie entdeckt haben. Sie haben herausgefunden, dass der Schädling zusätzlich einen Trojaner zum Stehlen von Passwörtern auf infizierte Rechner installiert.

Zudem soll RAA der erste Erpressungs-Trojaner sein, der komplett auf JavaScript basiert. Die Kryptologen berichten, dass der Schädling sich dabei als Word-Datei tarnt, die die unbekannten Angreifer per E-Mail-Anhang verbreiten. Wird diese Datei dann geöffnet, taucht auf den ersten Blick nur ein Word-Dokument auf dem Bildschirm auf, welches beschädigt aussieht.

Im Hintergrund beginnt RAA mithilfe der CryptoJS-Bibliothek dann mit dem Verschlüsseln von Dateien, die die Namenserweiterung .locked aufweisen. Der Schädling löscht zudem die Schattenkopien von Windows. Opfer haben dann keine Möglichkeit mehr, unverschlüsselte Versionen von Dateien wiederherzustellen. Die Kriminellen fordern ein Lösegeld von 0.39 Bitcoin (rund 260 Euro) ein, damit Opfer wieder Zugriff auf ihre Daten erhalten.

Den Sicherheitsforschern zufolge bringt der Erpressungs-Trojaner auch noch die Malware Pony mit, die Passwörter abgreifen kann und soll sich als Base64-String in der JavaScript-Datei verstecken. Die Kryptologen erläutern, dass bei einer Ausführung eine Konvertierung in eine ausführbare Datei stattfindet, die sich anschließend im Auto-Start von Windows einnistet.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE