Der Erpressungstrojaner CryptoHitman ist ein alter Bekannter – es handelt sich um eine modifizierte Jigsaw-Variante. Und ein Entschlüsselungstool ist auch verfügbar.
Anzeige
Über die Ransomware Jigsaw hatte ich Mitte April im Beitrag Sicherheitsinfos zum 19.4.2016 berichtet. Der Erpressungs-Trojaner verschlüsselt nicht nur Dateien, sondern löscht diese stündlich, Schritt-für-Schritt, um Druck auf die Opfer auszuüben.
Die Site bleepingcomputer.com berichtet hier, dass der Erpressungstrojaner Jigsaw nun von den Entwicklern in CryptoHitman umbenannt wurde. Die verschlüsselten Dateien erhalten nun die Dateinamenerweiterung .porno angehängt. Der Sperrbildschirm, der bei der Infektion angezeigt wird, zeigt zudem pornographische Bilder an.
Für Opfer gibt es offenbar Abhilfe. Ein Benutzer DemonSlay335 konnte den Jigsaw Decryptor so modifizieren, dass diese auch die von CryptoHitman verschlüsselten Dateien entschlüsselt. Die Download-Adresse sowie Hinweise finden sich bei bleepingcomputer.com – wer es lieber in deutsch nachlesen möchte, kann bei heise.de die entsprechenden Informationen nachlesen.
Ähnliche Artikel:
Sicherheitsinfos zum 19.4.2016
Sicherheitsinfo–Pfingsten 2016
Ransomware-Alarm: Petya kommt mit Mischa im Beipack
Gesundheitsdaten ziehen Kriminelle besonders an
Runkeeper-App sammelt heimlich Daten, Anbieter verkauft diese an Werbenetzwerk
Hacker-Forum Nulled.IO gehackt – Daten geleaked
Verschlüsselungstrojaner CryptXXX 2.0 aufgetaucht
Anzeige
Anzeige
Schön und gut. Aber langfristig brauchen die Betriebsysteme ein besseres Rechtekonzept. Anwendungen (und Skripte) sollten ohne Zustimmung des Benutzers nicht mehr in der Lage sein, die komplette Platte zu durchwühlen und beliebig viele Dateien zu verändern. Im Extremfall sollte eine Anwendung nur die eigenen (von dieser Anwendung erzeugten oder mitinstallierten) Dateien lesen/schreiben können. Alles andere geht die Anwendung nichts an. Das was z.B. ein Origin oder Steam Client macht, die komplette Platte bei der Installation zu durchwühlen, ist eigentlich eine Unverschämtheit. Aber speziell die Windows-Nutzer sind es gar nicht anders gewohnt.
Mit den heutigen Windows-/Android-/Apple-Stores wird sowas wie ein Staatstrojaner nicht mehr benötigt, der jeweilige Store kann die Platte beliebig durchsuchen und auch verändern, wenn der Storebetreiber es z.B. aus Sicherheitsgründen für nötig hält, und das Beste, der Nutzer hat dem zugestimmt, wenn er den Store benutzt.
Die Ausführungen – und vor allem "speziell die Windows-Nutzer sind es gar nicht anders gewohnt" lasse ich so nicht stehen. Windows kennt seit den Tagen von Windows NT ein ausgefeiltes Rechtekonzept auf NTFS-Ebene und seit Windows Vista kennt das Betriebssystem die Benutzerkontensteuerung. Wer unter lokalen Benutzerkonten arbeitet und kein Admin-Kennwort kennt, dem kann auch ein Script oder eine lokale Programmdatei auch nur die lokalen Dateien durchsuchen. Und die PowerShell ist auch per Default deaktiviert.
Wenn Anwender aber auf alles, was bei Drei nicht vom Bildschirm verschwindet, anklicken und sich selbst Adminrechte geben, geht das schief. Die Origin- und Steam Clients greifen imho auf Dienste zu, die beim Setup eingerichtet werden. Dienste bekommen natürlich andere Rechte – brauchen die aber auch. Da liegt es imho aber nicht am OS, sondern an der Software.
Und das Thema Store: Da ist es m.W. so, dass nur Apps gelöscht werden können.
War es nicht so, dass diese Schadsoftware ein PC so weit verschlüßelt hat, dass man nichts hatte, nicht mal Windows?
Wenn das so ist, wie soll ich Dienste stoppen? Über Eingabefenster?
Und am Ende steht, mal soll die chifrierten Daten von Hand löschen – na dann wozu das Ganze?