Laut den Ransomware-Forschern von Bleepingcomputer.com und dem MalwareHunter Team verschlüsselt der neu entdeckte Erpressungs-Trojaner FireCrypt zufolge nicht nur Daten, sondern startet auch von infizierten Windows-Computern DDoS-Angriffe.

Die Drahtzieher müssen, um einen Computer in Beschlag zu nehmen, das Opfer dazu bringen, eine .exe-Datei auszuführen, die aktuell laut der Sicherheitsforscher ein Icon eines Word- beziehungsweise PDF-Dokumentes besitzt. Wird die Datei ausgeführt, wird der Task Manager beendet und mit der Verschlüsselung begonnen.

Die verschlüsselten Dateien weisen nun die Namenserweiterungen .firecrypt auf. Für die Freigabe der Daten verlangen die Erpresser in der Botschaft auf dem System ein Lösegeld von 0,6 Bitcoin (circa 510 Euro). FireCrypt sendet nach der Verschlüsselung durchgehend Anfragen an eine URL, um von dort auf den infizierten Computer Inhalte herunterzuladen. Diese Funktion wird von den Malware-Entwicklern "DDoSer" genannt.

Bisher kann nicht von einer ernstzunehmenden DDoS-Attacke gesprochen werden, da mindestens Tausende Computer gleichzeitig Online sein müssten, um die Webseite lahmzulegen die hinter der URL steckt.

Laut den Sicherheitsforschern wurde der Schädling mit dem Ransomware-Baukasten BleedGreen erstellt. Auch wenn die DDoS-Komponente bei dieser Schädlingsart neu ist, soll der Funktionsumfang im Vergleich zu anderen Ransomware-Erstellern rudimentärer ausfallen.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE