{"id":183862,"date":"2016-11-17T09:26:13","date_gmt":"2016-11-17T08:26:13","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=183862"},"modified":"2017-08-27T00:45:48","modified_gmt":"2017-08-26T22:45:48","slug":"karma-ransomware-kommt-als-pup-im-beipack-mit-software","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/11\/17\/karma-ransomware-kommt-als-pup-im-beipack-mit-software\/","title":{"rendered":"Karma-Ransomware kommt als PUP im Beipack mit Software"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Noch eine Warnung vor einer Ransomware mit dem Namen Karma, die im Beipack gef\u00e4lschter Software auf Windows-Systemen verbreitet wurde. Die Schadsoftware gab vor, ein Windows-TuneUp-Programm zu sein und verschl\u00fcsselte die Benutzerdateien. Die Server zur Verbreitung der Schadsoftware sind zwar abgeschaltet, der Fall zeigt aber wieder einmal, wie trickreich die Kriminellen vorgehen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/3262aea6e1c4a70a0026f2b159624ec\" width=\"1\" height=\"1\"\/>Die Meldung findet sich in <a href=\"https:\/\/twitter.com\/TheWack0lian\/status\/798147260240408577\" target=\"_blank\">diesem Tweet<\/a> von slipstream\/RoL und wurde in einem Artikel auf grahamcluley.com dokumentiert.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Ransom?src=hash\">#Ransom<\/a> Karma<br \/>&#8211; 1\/55, signed<br \/>&#8211; distributed via PUP bundling network<br \/>&#8211; possible indian origin<br \/>&#8211; clearnet c&amp;c<br \/>hashes: <a href=\"https:\/\/t.co\/YnSNbittiO\">https:\/\/t.co\/YnSNbittiO<\/a> <a href=\"https:\/\/t.co\/5kZr5tIRhp\">pic.twitter.com\/5kZr5tIRhp<\/a><\/p>\n<p>\u2014 slipstream\/RoL (@TheWack0lian) <a href=\"https:\/\/twitter.com\/TheWack0lian\/status\/798147260240408577\">14. November 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Die Malware kommt als Potentially unwanted program (PUP) im Beipack mit anderer Software und wird mit installiert. Sobald die Ransomware Karma installiert ist, verschl\u00fcsselt sie Dateien auf dem System des Benutzers. In der Vergangenheit tauchte Karma im Beipack mit gef\u00e4lschten Pok\u00e9mon Go-Apps oder IT-Sicherheitsl\u00f6sungen auf. <\/p>\n<p>(Quelle: grahamcluley.com)<\/p>\n<p>Aktuell wird Ransomware mit einem Programm Windows-TuneUp verbreitet, welche die Optimierung von Windows verspricht. Ich rate ja immer, die Finger von Tuning-Programmen zu lassen. Aber der aktuelle Ansatz hat eine besondere Qualit\u00e4t. Scheinbar haben die Entwickler der Ransomware eine gef\u00e4lschte Version von Windows-TuneUp mit der Ransomware im Beipack geschn\u00fcrt und im Web auf einer gef\u00e4lschten Webseite zum Download bereitgestellt (die Site ist zwischenzeitlich offline und der Command &amp; Control-Server ist zwischenzeitlich offline). <\/p>\n<p>Bei <a href=\"http:\/\/www.bleepingcomputer.com\/news\/security\/researcher-finds-the-karma-ransomware-being-distributed-via-pay-per-install-network\/\" target=\"_blank\">Bleeping Computer<\/a> hat man die Ransomware ebenfalls in einem Artikel thematisiert und dokumentiert. Im Artikel findet sich der Hinweis:<\/p>\n<blockquote>\n<p>\"If a user downloads and installs a free program that is monetized by this software monetization company, they would possibly be greeted with an offer for a Windows optimization program called Windows-TuneUp. While many people know these types of programs are not ones you want on your computer, there are unfortunately many who do not realize this. These people would then accept the offer thinking they are getting a program that will help optimize their slow computer.\"<\/p>\n<\/blockquote>\n<p>Den Erpressern ist es offenbar gelungen, in ein Adware-Programm hinein zu kommen, so dass Windows-TuneUp bei der Installation anderer Software als \"Beipack\" vorgeschlagen wurde. Hat ein Nutzer die Option nicht abgew\u00e4hlt, wurde die Ransomware mit installiert. <\/p>\n<p>Dann bekam der Benutzer das obige Fenster der \"Tuning-Software\" angezeigt, w\u00e4hrend die Ransomware ihre Arbeit verrichtete. Im Artikel bei <a href=\"http:\/\/www.bleepingcomputer.com\/news\/security\/researcher-finds-the-karma-ransomware-being-distributed-via-pay-per-install-network\/\" target=\"_blank\">Bleeping Computer<\/a> sind die Details beschrieben. So pr\u00fcft die Schadsoftware, ob sie in einer virtuellen Maschine ausgef\u00fchrt wird. In diesem Fall erscheint die Meldung, dass das Programm nicht kompatibel mit dem Computer sei. Auf realen Systemen wird der Sch\u00e4dling aktiv. <\/p>\n<p>Bei Bleeping Computer sind die Dokumenttypen aufgef\u00fchrt, die von Karma verschl\u00fcsselt werden. Die Dateien werden AES-verschl\u00fcsselt und erhalten die Dateinamenerweiterung .karma angeh\u00e4ngt. Anschlie\u00dfend erh\u00e4lt der Nutzer eine Infoseite angezeigt, dass die Dateien verschl\u00fcsselt sind. Details sind bei <a href=\"http:\/\/www.bleepingcomputer.com\/news\/security\/researcher-finds-the-karma-ransomware-being-distributed-via-pay-per-install-network\/\" target=\"_blank\">Bleeping Computer<\/a> nachzulesen.<\/p>\n<p>Die Gefahr, sich jetzt noch mit Windows-TuneUp zu infizieren, ist recht gering. Der Fall zeigt aber wieder einmal, dass die Kriminellen immer findiger werden und man sehr genau schauen sollte, was mit kostenloser Software auf die Systeme kommt. Von Tuning-Tools sollte man generell die Finger lassen. (<a href=\"https:\/\/www.neowin.net\/news\/karma-ransomware-bundles-itself-with-free-software-downloads\" target=\"_blank\">via<\/a>)<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/><a href=\"https:\/\/borncity.com\/blog\/2015\/11\/08\/digitales-schlangenl-registry-cleaner-driver-updater-pups\/\">Digitales Schlangen\u00f6l: Registry-Cleaner, Driver-Updater &amp; PUPs<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2015\/12\/29\/firfox-nutzer-aufgepasst-pups-deaktivieren-safe-mode\/\">Firefox-Nutzer aufgepasst: PUPs deaktivieren Safe-Browsing-Mode<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2015\/12\/07\/sicherheitslcken-bei-dell-lenovo-toshiba-durch-pups\/\">Sicherheitsl\u00fccken bei Dell, Lenovo, Toshiba durch PUPs\u2026<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2011\/03\/19\/tuning-tools-die-plage-des-21-jahrhunderts\/\">Tuning-Tools, die Plage des 21. Jahrhunderts?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Noch eine Warnung vor einer Ransomware mit dem Namen Karma, die im Beipack gef\u00e4lschter Software auf Windows-Systemen verbreitet wurde. Die Schadsoftware gab vor, ein Windows-TuneUp-Programm zu sein und verschl\u00fcsselte die Benutzerdateien. Die Server zur Verbreitung der Schadsoftware sind zwar abgeschaltet, &hellip; <a href=\"https:\/\/borncity.com\/blog\/2016\/11\/17\/karma-ransomware-kommt-als-pup-im-beipack-mit-software\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161,301],"tags":[4715,4325],"class_list":["post-183862","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","category-windows","tag-ransomware","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/183862","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=183862"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/183862\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=183862"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=183862"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=183862"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}