Sicherheitsforscher von Talos berichten, dass der Verschlüsselungs-Trojaner Ranscam nach einer Infektion alle Daten löscht, anstatt diese zu verschlüsseln. Trotzdem gaukelt Ranscam seinen Opfern vor, dass nach einer Lösegeldzahlung alle Daten wieder entschlüsselt werden. Auf Windows-Computer hat es der Trojaner abgesehen. Den Verbreitungsweg beschreiben sie nicht näher.

Ranscam zeigt auf infizierten Computern eine Erpresser-Botschaft an und gibt vor, dass er persönliche Daten auf eine verschlüsselte und versteckte Partition verschoben hat. Die Erpresser warnen außerdem, dass der betroffene Computer nicht mehr richtig funktionieren könnte. Damit Opfer wieder Zugriff auf ihre Daten erhalten, fordern sie 0,2 Bitcoin (rund 118 Euro) Lösegeld ein.

Ranscam nistet sich, zufolge der Analyse von Talos, tief im System ein und überprüft nach jedem Neustart unter anderem, ob neue persönliche Daten dazugekommen sind, die dann vom Schädling umgehend gelöscht werden.

Opfer sollen über einen Button innerhalb des Erpresser-Bildschirms einen Überprüfungs-Prozess in Gang setzen können, ob die Lösegeldzahlung bereits eingegangen ist. Allerdings handelt es sich laut den Sicherheitsforschern dabei nicht um eine Überprüfung, sondern um Angstmacherei. Wird auf den Butten geklickt, wird das Bild vom Schädling mit einer neuen Botschaft ausgetauscht. Diese gibt an, dass die Bezahl-Überprüfung fehlgeschlagen sei und nun eine Datei gelöscht werde.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE