{"id":224890,"date":"2019-11-15T11:39:38","date_gmt":"2019-11-15T10:39:38","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=224890"},"modified":"2024-08-23T22:31:16","modified_gmt":"2024-08-23T20:31:16","slug":"purelocker-ransomware-zielt-auf-linux-macos-windows","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/11\/15\/purelocker-ransomware-zielt-auf-linux-macos-windows\/","title":{"rendered":"PureLocker Ransomware zielt auf Linux, macOS, Windows"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Cyber-Kriminelle haben eine neue Ransomware mit dem Namen PureLocker entwickelt, die gleich mehrere Betriebssysteme (Linux, macOS und Windows) infizieren kann.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg07.met.vgwort.de\/na\/e051cb1a3fa347e59e41efdf251519c0\" width=\"1\" height=\"1\"\/>Sicherheitsforscher von Intezer und IBM X-Force konnten Exemplare der neuen Ransomware f\u00fcr Windows analysieren. Aktuell wird aber auch eine Linux-Variante bei gezielten Angriffen gegen Produktionsserver eingesetzt \u2013 und damit ist auch macOS angreifbar.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">PureLocker <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\">#ransomware<\/a> has been spotted being used in targeted attacks against Windows and Linux-based production servers at enterprises. It shows unusual characteristics that underscore the innovation that <a href=\"https:\/\/twitter.com\/hashtag\/malware?src=hash&amp;ref_src=twsrc%5Etfw\">#malware<\/a> developers are putting into their wares. <a href=\"https:\/\/t.co\/JARjrPQnMU\">https:\/\/t.co\/JARjrPQnMU<\/a><\/p>\n<p>\u2014 Hornetsecurity (@Hornetsecurity) <a href=\"https:\/\/twitter.com\/Hornetsecurity\/status\/1195279540530110464?ref_src=twsrc%5Etfw\">November 15, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>In einer Mittwoch <a href=\"https:\/\/www.intezer.com\/blog-purelocker-ransomware-being-used-in-targeted-attacks-against-servers\/\" target=\"_blank\" rel=\"noopener noreferrer\">erschienenen Analyse<\/a> gehen die Sicherheitsforscher auf die Details ein. Die Benennung als PureLocker erfolgte beispielsweise, weil die Ransomware in der Programmiersprache PureBasic geschrieben ist.<\/p>\n<p>Das von den Sicherheitsforschern analysierte Windows-Beispiel ist eine 32-Bit-DLL, die sich als C++-Kryptobibliothek namens Crypto++ ausgibt. Aber die Sicherheitsforscher erkannten schnell, dass es sich nicht um die offizielle C++-Kryptobibliothek handelt. Denn bei der Analyse der Exports der DLL fiel auf, das die Bibliothek angeblich Funktionen zur Musikwiedergabe enth\u00e4lt.<\/p>\n<p><a href=\"https:\/\/www.intezer.com\/wp-content\/uploads\/2019\/11\/pasted-image-0-4.png\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"VirusTotal\" alt=\"VirusTotal\" src=\"https:\/\/www.intezer.com\/wp-content\/uploads\/2019\/11\/pasted-image-0-4.png\" width=\"615\" height=\"225\"\/><\/a><br \/>(VirusTotal-Analysen, Quelle: interzer.com, <a href=\"https:\/\/www.intezer.com\/wp-content\/uploads\/2019\/11\/pasted-image-0-4.png\" target=\"_blank\" rel=\"noopener noreferrer\">Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n<p>Als die Datei dann auf Virustotal zur Analyse hochgeladen wurde, stellten die Sicherheitsforscher fest, dass die Datei seit mehr als drei Wochen im Wesentlichen von Antivirus-Software unentdeckt geblieben ist \u2013 etwas, das bei einer b\u00f6sartigen Datei recht selten ist. Bei der Ausf\u00fchrung in mehreren Sandbox-Umgebungen zeigte die Ransomware kein b\u00f6sartiges oder verd\u00e4chtiges Verhalten.<\/p>\n<p>Erst nach einer genetischen Analyse der Datei durch Intezer wurden drei wichtige Beobachtungen gemacht:<\/p>\n<ul>\n<li>Es gibt hier keine Crypto++ Codeverbindung, d.h. das Malware-Beispiel ist keine Crypto++ Bibliothek.  <\/li>\n<li>Die analysierte Datei enth\u00e4lt wiederverwendeten Code aus mehreren Malware-Familien, haupts\u00e4chlich aus Cobalt Gang Bin\u00e4rdateien. Das bedeutet, dass die Datei b\u00f6sartig ist und m\u00f6glicherweise Verbindungen zur Cobalt Gang hat. <\/li>\n<li>Die gr\u00f6\u00dfte Teil des relevanten Codes in dieser Datei deutet darauf hin, dass es sich wahrscheinlich um eine neue oder stark modifizierte Malware handelt.<\/li>\n<\/ul>\n<p>Die Malware ist in der Windows-Variante so konzipiert, dass sie von <em>regsrv32.exe<\/em> als COM-Server-DLL registriert werden kann, Dadurch wird der DllRegisterServer-Export aufgerufen, in dem sich der Code der Malware befindet. Alle anderen Exports, die mit Musik zu tun haben, besitzen keine Funktionalit\u00e4t und sind nur zur T\u00e4uschung enthalten.<\/p>\n<p>Falls alle von der Malware durchgef\u00fchrten Antianalyse- und Integrit\u00e4ts-Bedingungen erf\u00fcllt sind, startet die Schadfunktion. Dann werden die Dateien auf dem Computer des Opfers mit der Standard-AES+RSA-Kombination mit einem fest kodierten RSA-Schl\u00fcssel verschl\u00fcsselt. Die Ransomware f\u00fcgt die Erweiterung \".CR1\" f\u00fcr jede verschl\u00fcsselte Datei hinzu. Es verschl\u00fcsselt haupts\u00e4chlich Datendateien und \u00fcberspringt die Verschl\u00fcsselung f\u00fcr ausf\u00fchrbare Dateien entsprechend der Erweiterung der jeweiligen Datei. <\/p>\n<p>Die Ransomware l\u00f6scht dann die Originaldateien (z.B. durch \u00dcberschreiben und l\u00f6schen), um eine Wiederherstellung zu verhindern. Sobald die Malware die Verschl\u00fcsselung abgeschlossen hat, hinterl\u00e4sst sie eine L\u00f6segeldnotizdatei auf dem Desktop des Benutzers namens YOUR_FILES.txt.<\/p>\n<p><a href=\"https:\/\/www.intezer.com\/wp-content\/uploads\/2019\/11\/pasted-image-0-7.png\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/www.intezer.com\/wp-content\/uploads\/2019\/11\/pasted-image-0-7.png\" width=\"611\" height=\"255\"\/><\/a><br \/>(Ransomware-Meldung, Quelle: interzer.com, <a href=\"https:\/\/www.intezer.com\/wp-content\/uploads\/2019\/11\/pasted-image-0-7.png\" target=\"_blank\" rel=\"noopener noreferrer\">Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n<p>In der Benachrichtigung wird keine L\u00f6segeldforderung gestellt und keine Zahlungsart oder Geldbetrag genannt. Vielmehr wird das Opfer angewiesen, den Angreifer per E-Mail zu kontaktieren. Die Angreifer nutzen den anonymen und verschl\u00fcsselten E-Mail-Dienst von Proton. Jedes analysierte Beispiel enthielt eine andere E-Mail-Adresse, so dass die Angreifer zwischen verschiedenen Opfern unterscheiden und die individuellen Entschl\u00fcsselungsschl\u00fcsseln festlegen k\u00f6nnen (jede E-Mail entspricht einem bestimmten RSA-Schl\u00fcsselpaar). Dies ist ein weiterer Beweis daf\u00fcr, dass sich diese Bedrohung von typischen Formen der Ransomware unterscheidet. Weitere Details zur Analyse der Ransomware findet sich im Artikel von <a href=\"https:\/\/www.intezer.com\/blog-purelocker-ransomware-being-used-in-targeted-attacks-against-servers\/\" target=\"_blank\" rel=\"noopener noreferrer\">intezer.com<\/a>. (via <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/purelocker-ransomware-can-lock-files-on-windows-linux-and-macos\/\" target=\"_blank\" rel=\"noopener noreferrer\">Bleeping Computer<\/a>) <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cyber-Kriminelle haben eine neue Ransomware mit dem Namen PureLocker entwickelt, die gleich mehrere Betriebssysteme (Linux, macOS und Windows) infizieren kann.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[95,1063,426,301],"tags":[4305,6234,4328,4325],"class_list":["post-224890","post","type-post","status-publish","format-standard","hentry","category-linux","category-mac-os-x","category-sicherheit","category-windows","tag-linux","tag-macos","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224890","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=224890"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224890\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=224890"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=224890"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=224890"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}