Eine neue Ransomware namens "SyncCrypt" hat ein Sicherheitsforscher von Emsisoft entdeckt. Sie soll sich laut bleepingcomputer.com per Spam-E-Mails verbreiten, deren Anhang als Gerichtsbeschluss getarnt ist. Darin verbirgt sich ein Windows Script File (WSF), das als Downloader für SyncCrypt dient, wenn es ausgeführt wird.

Viele verschiedene Dateitypen verschlüsselt die Ransomware und versieht sie mit der Zusatzendung ".kk". Anschließend erscheint eine Lösegeld-Forderung in Bitcoin. Noch gibt es keine kostenlose Entschlüsselungs-Tools.

Damit sich SyncCrypt während des Downloads vor AV-Software versteckt, nutzt sie eine ungewöhnliche Strategie. Das Windows Script File wurde von Bleepingcomputer-Betreiber Lawrence Abrams analysiert und er stellte dabei fest, dass es die Ransomware nicht als .exe-Datei, sondern als .jpg-Datei, welche sich in einem Zip-Archiv befindet, herunterlädt. Nach erfolgreichem Download extrahiert das Skript dann die Ransomware, um sie anschließend auszuführen.

Abrams lud sowohl die .jpg- als auch die daraus extrahierte .exe-Datei beim Online-Scandienst VirusTotal hoch. Nur einer von 58 Scannern erkannte die .jpg-Datei und 28 von 63 Engines schlugen bei der .exe-Datei Alarm.

Die Bilddatei könne für sich genommen keinen Schaden anrichten, betont Abrams. Der enthaltene Schadcode komme erst in Kombination mit dem Windows Script File zur Ausführung.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE