2189927

RAR-Verschlüsselung von CryptoHost ist knackbar

12.04.2016 | 16:49 Uhr |

Die Ransomware CryptoHost verschlüsselt Dateien, indem es sie in ein Passwort-geschütztes RAR-Archiv steckt. Doch die aktuelle Version ist nachlässig programmiert und lässt sich austricksen.

Erpresserische Malware (Ransomware) ist zurzeit groß in Mode. Neue Ausprägungen dieser Schädlingskategorie tauchen beinahe je Woche auf. Jüngstes Beispiel ist Manamecrypt, besser bekannt als CryptoHost. Diese Ransomware unterscheidet sich in einigen Aspekten von den bislang bekannten Erpresserschädlingen. Dies betrifft die Art und Weise, wie es Dateien verschlüsselt sowie auch den Verbreitungsweg. Außerdem blockiert es die Ausführung bestimmter Programme.

Wie der Bochumer Antivirushersteller G Data in seinem Blog meldet, wird CryptoHost nicht per Mail-Anhang oder Flash-Exploit verbreitet, sondern als Dreingabe zu legitimer Software. Es wird über die Adware OpenCandy verteilt, etwa im Bundle mit der Torrent-Software uTorrent. Durch einen Fehler im Code landet die legitime und funktionsfähige Software als „uTorrent.exeuTorrent.exe“ auf der Platte. OpenCandy manipuliert zudem den Browser, indem es die Startseite und Suchmaschineneinstellungen verändert.

CryptoHost versucht sich offenbar vor der Entdeckung durch Antivirus-Software und andere Analyseprogramme zu schützen, indem es Programmprozesse blockiert, die bestimmte Zeichenketten im Prozessnamen enthalten. Dazu gehören etwa Namen bekannter Antivirushersteller, aber auch soziale Medien wie Youtube, Facebook oder Instagram, wo Betroffene womöglich nach Hilfe suchen könnten. Auch Spiele werden blockiert, etwa durch Begriffe wie „game“ oder „steam“.

Die Verschlüsselung lokaler Dateien zur Erpressung eines Lösegelds folgt ebenfalls einem unüblichen Pfad. Der Programmierer hat sich die Implementierung einer eigenen Verschlüsselungsroutine erspart und steckt Dateien in ein verschlüsseltes RAR-Archiv. Er entführt dabei Dateitypen wie Office-Dokumente, Video-, Audio- und Bilddateien sowie ZIP- und 7zip-Archive. Die Originaldateien werden gelöscht.

Doch der Programmierer hat es sich in der aktuellen Version der Ransomware zu einfach gemacht. Er generiert aus mehreren Eigenschaften des Rechners einen SHA1-Hash, den er als Dateinamen für das RAR-Archiv benutzt. Dieser Dateiname bildet zusammen mit dem Benutzernamen des angemeldeten Anwenders zugleich das Passwort, mit dem das RAR-Archiv wieder entschlüsselt werden kann. Das Passwort folgt also stets dem Schema „DateinameBenutzername“, also zum Beispiel „91c5b924ccdb5fdead2f66adb4ba56a6af637e9fSigrid“.

Da nicht davon auszugehen ist, dass künftige Versionen dieser Ransomware ebenfalls so leicht ausgehebelt werden können, bleiben regelmäßige Backups der beste Schutz vor Erpresserschädlingen. Wenn Sie Opfer einer Ransomware geworden sind, welcher auch immer, bewahren Sie in jedem Fall die verschlüsselten Dateien auf, denn es werden hin und wieder Lösungen gefunden, mit denen sich die in Geiselhaft genommenen Dateien wieder herstellen lassen, ohne dass Sie das geforderte Lösegeld zahlen müssten. Ein weiteres Beispiel dafür ist der Schädling Petya .

0 Kommentare zu diesem Artikel
2189927