SyncCrypt: Neue Ransomware lauert in JPG-Dateien

Um Antiviren Software auszutricksen, verbirgt sich die Ransomware SyncCrypt in Bilddateien. Einmal auf dem System, wird sie per Skript extrahiert und ausgeführt.

Ein Sicherheitsforscher von Emsisoft hat eine neue Ransomware namens „SyncCrypt“ entdeckt. Diese verbreitet sich via Spam-Mails, deren Anhang als Gerichtsbeschluss getarnt ist. Hinter Namen wie „CourtOrder_845493809.wsf“ verbirgt sich ein Windows Script File (WSF), das, einmal ausgeführt, als Downloader für SyncCrypt dient.

Die Ransomware verschlüsselt eine Vielzahl von Dateitypen und versieht sie mit der Zusatzendung „.kk“. Anschließend erpresst sie ein Lösegeld in Bitcoin, dessen Höhe umgerechnet etwa 429 US-Dollar beträgt. Kostenlose Entschlüsselungs-Tools gibt es bislang nicht.

Ungewöhnlich ist die Strategie, um sich während des Downloads vor AV-Software zu verstecken. Bleepingcomputer-Betreiber Lawrence Abrams unterzog das Windows Script File einer näheren Analyse und stellte fest, dass es die Ransomware nicht einfach als .exe-Datei herunterlädt. Stattdessen nimmt es den Umweg über eine .jpg-Datei, in der sich ein Zip-Archiv verbirgt. Aus dieser extrahiert das Skript nach erfolgreichem Download die Ransomware, um sie anschließend auszuführen.

Um zu überprüfen, ob SyncCrypts Tarnung funktioniert, lud Abrams sowohl die .jpg- als auch die daraus extrahierte .exe-Datei beim Online-Scandienst VirusTotal hoch. Unmittelbar nach dem Upload erkannte nur einer von 58 Scannern die .jpg-Datei, während immerhin 28 von 63 Engines bei der .exe-Datei Alarm schlugen.

2017-08-22T13:47:07+00:00