Kriminelle haben Porno-Webseiten ins Web gestellt, die Ihre Daten gefährden. Denn gut getarnt durch viel nackte Haut verseuchen diese verbrecherischen Webseiten die Rechner der Nutzer mit gefährlicher Malware: Die Schadsoftware benennt alle Dateien um und versucht die Festplatten zu löschen! Das berichtet die US-IT-Nachrichtenwebseite Bleepingcomputer.
Die gefährlichen Webseiten tragen aussagekräftige Namen wie nude-girlss.mywire.org, sexyphotos.kozow.com und sexy-photo.online. Sobald jemand eine dieser Seiten im Browser öffnet, wird eine ausführbare Datei namens SexyPhotos.JPG.exe zum Download angeboten. Diese gibt vor, ein Foto im JPG-Format anzuzeigen. Klickt der Benutzer oder die Benutzerin die heruntergeladene Datei dann an, so öffnet sich aber nicht etwa einfach nur ein Bild, sondern die ausführbare EXE-Datei legt vier ausführbare Dateien (del.exe, open.exe, windll.exe und windowss.exe) und eine Batch-Datei (avtstart.bat) im %temp%-Verzeichnis des Benutzers ab und führt sie aus.
Die vier ausführbaren Dateien kopiert die Batch-Datei außerdem in den Windows-Startordner. Anschließend wird “windowss.exe” ausgeführt, um drei weitere Dateien abzulegen, darunter “windows.bat”, die Dateien samt deren Endung auf dem Rechner umbenennt. Das passiert mit nahezu allen gängigen Dateitypen wie jpg, bat, css, gif, jar, bin, iso, html, docx, avi, mp4 und so weiter. Die neuen Dateinamen lauten dann beispielsweise “Lock_6.fille”, “Lock_5.fille”, “Lock_4.fille”, “Lock_3.fille” und so weiter. Obwohl der Inhalt der umbenannten Dateien nicht verändert oder verschlüsselt wird, haben die Opfer keine Möglichkeit, ihre ursprünglichen Namen herauszufinden, schreibt Bleepingcomputer.
windll.exe legt zudem an unterschiedlichen Stellen im Windowssystem eine Readme.txt ab, in der sich ein mehrsprachiger Erpresserbrief (unter anderem auch auf Deutsch) befindet. Darin fordern die oder der Cybergangster die Zahlung von 300 US-Dollar in Bitcoin innerhalb von drei Tagen. Dauert es mit der Bezahlung des Lösegeldes bis zu sieben Tage, dann würde der geforderte Betrag auf 600 Dollar steigen. Verstreicht auch diese Frist ohne Bezahlung, sollen alle Dateien gelöscht werden.
In dem Erpresserbrief wird zwar behauptet, alle Dateien seien verschlüsselt worden, das soll laut Bleepingcomputer aber nicht der Fall sein. Zudem wird in dem Erpresserschreiben auch behauptet, dass alle Dateien auf dem Rechner gelöscht und auf die Server der Angreifer hochgeladen wurden. Doch das stimmt nicht und dient nur zur Einschüchterung.
Da die ursprünglichen Namen und Dateiendungen aber nirgends gespeichert werden, hat das Opfer keine Chance zu erkennen, was in den einzelnen umbenannten Dateien steckt. Anscheinend ist der ursprüngliche Sinn der Malware aber ohnehin nicht die Erpressung, sondern das Löschen aller Dateien. Das scheitert aber an einem Programmierfehler in der Malware. Ohne diesen Programmierfehler würde die Malware tatsächlich alle Dateien inklusive des Betriebssystems auf allen Datenträgern löschen.
Eine ausführliche Analyse finden Sie hier bei Cyble.
So schützen Sie sich
- Erstellen Sie immer Backups Ihrer Dateien
- Nutzen Sie einen aktuellen Virenscanner
- Öffnen Sie keine Dateien von unseriösen Webseiten.
Autor: Hans-Christian Dirscherl, Redakteur
Hans-Christian Dirscherl schreibt seit über 20 Jahren zu fast allen IT-Themen. Sein Fokus liegt auf der Koordination und Produktion von Nachrichten mit hohem Nutzwert sowie auf ausführlichen Tests und Ratgebern für die Bereiche Smart Home, Smart Garden und Automotive.