Jeden Tag erscheinen neue Versionen und Variationen von Ransomware. Ersteller von Malware sind sich noch immer sicher, dass Ransomware ihr Ticket zum Glück ist, trotz der Tatsache, dass Strafverfolgungsbehörden diesem Problem immer mehr Aufmerksamkeit schenken.
Tatsächlich gibt es immer mehr unterschiedliche Versionen da draußen, da Ersteller von Ransomware damit begonnen haben, sich zu wiederholen oder die Arbeit anderer zu kopieren. So ist z. B. der vor kurzem entdeckte Crypto-Trojaner Polyglot, alias MarsJoke, eine Fälschung der berüchtigten (und sehr unangenehmen) CTB-Locker-Ransomware.
Man findet Spuren von CTB-Locker im ganzen Polyglot. Sein Interface erinnert extrem an den älteren Trojaner. Es ändert den Bildschirmhintergrund des Opfers genauso wie CTB-Locker und es werden fünf Dateien kostenlos entschlüsselt, um zu beweisen, dass sie entschlüsselt werden können.
Die Anweisungen von Polyglot an das Opfer sind auch mit denen von CTB-Locker identisch — der Text scheint so, als wäre er kopiert und eingefügt worden. Selbst das „Anfrage gescheitert“-Fenster, das angezeigt wird, fall es kein Internet gibt, sieht genauso aus.
Die Verschlüsselungsalgorithmen von Polyglot sind ebenfalls die gleichen — und sie sind recht stark.
Polyglot wird überwiegend über Spam übertragen – die E-Mail enthält schädliche Links, die angeblich zu wichtigen Dokumenten führen. Natürlich gibt es keine Dokumente – nur ein Archiv mit schädlichen ausführbaren Dateien. Nach der Installation stellt Polyglot eine Verbindung mit einem Command-and-Control-Server her, um Informationen zum infizierten PC zu verschicken und das Lösegeld festzulegen. In unserem Fall verlangte es 0,7 Bitcoins, was ungefähr 285 € beträgt.
Vielleicht ist der einzige sichtbare Unterschied zwischen CTB-Locker und seinem neuen Klon, dass MarsJoke/Polyglot die verschlüsselten Dateien mit ihren originalen Erweiterungen beibehält, wobei CTB-Locker die Erweiterung ändert – normalerweise zu .ctbl oder .ctb2.
Trotz der scheinbaren Ähnlichkeiten zwischen Polyglot und CTB-Locker, handelt es sich um zwei komplett unterschiedliche Malware-Arten. Sie teilen beinahe keinen Code. Unsere Experten denken, dass durch die Imitation des Aussehens von CTB-Locker die Ersteller von Polyglot versuchten, Forscher auf den falschen Pfad zu lenken.
Wie Sie vielleicht wissen, gibt es keinen Weg, um durch CTB-Locker verschlüsselte Dateien ohne eine Lösegeldzahlung zu entschlüsseln. Und nochmal: Polyglot und CTB-Locker sind im Grunde nicht gleich. Und glücklicherweise ist den Erstellern von Polyglot beim Schlüsselgenerator ein Fehler unterlaufen, und dadurch konnten Forscher von Kaspersky Lab eine Lösung entwickeln – ein kostenloses Programm, das alle beschädigten Dateien entschlüsseln kann.
Wie Sie von der #Ransomware #Polyglot/#MarsJoke verschlüsselte Dateien entschlüsseln
Tweet
Um die von Polyglot/MarsJoke verschlüsselten Dateien zu entschlüsseln, downloaden und installieren Sie das kostenlose Programm RannohDecryptor (Version 1.9.3.0 oder neuer) von noransom.kaspersky.com. Es wird Ihre Dateien wieder herstellen.
Ehrlich gesagt, hatten wir mit Polyglot/MarsJoke Glück. Ersteller von Malware passen sich konstant an und verbessern ihre Werke. Nachdem wir z. B. CryptXXX dreimal gelöst hatten, verbesserten seine Erfinder den Verschlüsselungsalgorithmus so sehr, dass er unser Programmen überstieg. Vielleicht wird den Erfinden von Polyglot das Gleiche gelingen. Fazit: Sie können sich nicht darauf verlassen, dass es ein Entschlüsselungsprogramm mit allen Ransomware-Arten auf sich nehmen kann, auf die Sie stoßen können.
Um vor Ransomware geschützt zu sein, ist es am besten, sie zu entdecken, bevor sie mit ihrem Werk beginnen kann. Und genau das ist die Aufgabe einer guten Antiviruslösung — wie Kaspersky Internet Security.
Um auf der sicheren Seite zu sein, empfehlen wir, eine regelmäßige Sicherungskopie Ihrer Daten zu erstellen und keine verdächtigen Anhänge zu öffnen oder auf verdächtige Links zu klicken.