Die Welt wird immer verrückter. Jetzt ist eine Ransomware gefunden worden, die statt Dateien auf dem Laufwerk C: die Inhalte der logischen Windows-Laufwerk D:, E:, F: etc. verschlüsselt. Noch ist unklar, was genau dahinter steckt (unfertige Ransomware oder ein gezielter Angriff auf Netzwerkfreigaben).
Anzeige
Der Sicherheitsanbieter Trend Micro weist in nachfolgendem Tweet auf die Schadsoftware, die von Bleeping Computer und anderen analysiert wurde, hin.
Eine neue, untypische Ransomware, AnteFrigus, verschlüsselt statt der üblichen Dateien im C:-Laufwerk die Dateien des D:-, E:-, F:- und anderer Laufwerke. Über die Gründe wird noch spekuliert https://t.co/rQUH1nWP6c ^RW
— Trend Micro Deutschland (@TrendMicroDE) November 19, 2019
Entdeckt wurde die AnteFrigus-Ransomware vom Exploit-Kit-Experten Mol69. Der Schädling wird über eine Hookads-Mal-Spam-Kampagne ausgeliefert. Die betreffenden Spam-Mails versuchen die Opfer auf den RIG-Exploit-Kit-Server locken, wo dann der Angriff stattfindet. Die Ransomware verschlüsselt keine Dateien auf dem Windows-Laufwerk C:. Stattdessen werden mit der Ransomware-Variante von AnteFrigus die Dateien verschlüsselt, die sich in den Laufwerken D:, E:, E:, F:, G:, H: und I: befinden.
BleepingComputer vermutet, dass die Urheber einen komplexeren Angriff planen, der nur auf bestimmte Laufwerke abzielt, auf denen die Benutzer normalerweise für Netzwerkfreigaben in Unternehmensumgebungen verwenden. Der von BleepingComputer kontaktierte Sicherheitsforscher Vitali Kremez glaubt dagegen, dass sich die Ransomware-Variante noch in der Entwicklungsphase befinden könnte.
Anzeige
BleepingComputer führte auch einen eigenen Test von AnteFrigus durch und beobachtete, dass die Cyberkriminellen hinter dieser Ransomware-Variante einen Lösegeldbetrag von 1.995 US-Dollar in Bitcoins fordern. Der Betrag verdoppelt sich, wenn das Opfer nicht innerhalb von vier Tagen und fünf Stunden bezahlt.
Anzeige
Ist ja klar warum. Damit das System intakt bleibt, wenn weiterhin verschlüsselt wird.
Tchja, so ist es wenn man mit der Zeit geht. Wer noch aus alter Windows XP Schule stammt, der weiß, dass das System auf C und die Programme auf D kommen 🤣
3D – DDD – Daten auf Deh Doppelpunkt!
Sind denn die IP-Adressen/Urls der Exploit-Server bekannt?
… oder dass zumindest der Ordner EIGENE DATEIEN auf Laufwerk D: liegt.
Wer ala Linux seine partitionen alle unterhalb von C:\ mountet sollte da sicher sein :P geht auch unter windows…
Wie geht das genau?
Ich habe meine Daten auf einem externen Laufwerk mit externer Stromversorgung auf F.
Datenträgerverwaltung, statt nem laufwerksbuchstaben kann man Partitionen auch in ein Unterverzeichnis mounten.
Appropos D: Laufwerk. Mir fiel gerade ein, die Ransomware würde ja auf meinem Rechner gar keinen Schaden außer sich selbst anrichten. Sobald versucht wird Daten zu verschlüsseln wird die Schadsoftware crashen.
Weil eben auf dem D: mein DVD/Bluray Laufwerk gemountet ist :-)))
Ich habs zwar nicht probiert, aber die Datenträgerverwaltung erlaubt im Grunde auch die Buchstaben A und B.
Ich bezweifle allerdings, dass dies etwas nützt. Ich denke die Ransomware verschlüsselt alles außer und nicht nur oberhalb C:
In dem einen verlinkten Artikel ist aufgeführt, welche Dateien von der Verschlüsselung ausgenommen sind. Das heißt im Umkehrschluss, dass die Malware maximalen Schaden anrichten kann, weil sie sich auf die sensiblen Dateien konzentriert. Vielleicht auch gezielt das "Produktiv-Laufwerk" und die Backups verschlüsselt.
Da wünscht man sich den "Hardwareschreibschutz"´a la Diskette (A:) oder die leider eingestellten MO Laufwerke mit Schiebeschalter wieder zurück!
Ein einziger Datenträger für das Backup und der permanent am PC, ist generell nicht zu empfehlen.
Zu Hardwareschreibschutz empfehle ich: http://www.vkldata.com
Die Systemsoftware kann nicht verändert werden.
Es kann sich nichts einnisten und nach eine Reboot ist die Schadsoftware wieder verschwunden. Es müssen nur noch die Daten aus einem Backup auf die beschreibbaren Festplatten zurückgespielt werden.