Noch mehr RaaS!

Vielleicht erinnert ihr euch noch an meinen Beitrag vor einigen Monaten, indem ich euch davon berichtet habe, dass es mittlerweile im Tor Netzwerk Schadsoftware zum Kauf angeboten wird. Das bedeutet, dass ein Hacker Schadware mittlerweile nicht mehr selbst produzieren, sondern nur für Geld einkaufen muss, um seine kriminellen Machenschaften zu vollführen. Es gehört also absolut kein Skill oder Programmiertalent mehr zum Einsatz von Viren. Das sieht man erneut einer jetzt aufgetauchten Schadware Ransom32. Diese läuft auf JavaScript. Aber keine Sorge, dass die auf Javascript läuft, bedeutet nicht, dass man schon beim Klicken auf eine falsche Webseite infiziert sein kann. Der Browser sperrt JavaScript nämlich zur Genüge ein so, dass Javascript schlecht den Browser verlassen und auf dem System auf dem der Browser installiert ist Schaden anrichten kann. Deswegen wird bei dieser Schadware JavaScript Laufzeitumgebung einfach mitgeliefert. Mit Hilfe einer Bibliothek namens NW.js , die zum Beispiel auch beim Export von HTML5 Anwendungen für Windows Desktops benutzt wird, wird hier das Javascript auf das eigene System losgelassen. Im Prinzip arbeitet dieser Trojaner wie alle Ransomware. Startet man den Trojaner, so beginnt dieser, alle Daten auf der Festplatte zu verschlüsseln. Um die Daten wieder zu entschlüsseln, soll man dann einen festgelegten Betrag per Bitcoin an eine Adresse zahlen.  die Entwickler der schart werden hierbei mit 25% am Gewinn beteiligt. Perfide ist hierbei, wie beiläufig und genau man die einzelnen Parameter für den Bezug festlegen kann.

image

So steht unter dem Feld, in das man den zu zahlenden Betrag eingeben soll, man soll nicht zu viel verlangen weil die Menschen sonst nicht zahlen. Hat man alle Parameter, inklusive des Textes für die falsche Messagebox, die ultra legit wirkt,  und vor dem Start der eigentlichen Software angezeigt wird, so lädt man eine SCR Datei herunter, die nichts weiter ist als ein Archiv. Hier befinden sich alle nötigen Dateien, die größtenteils eigentlich nur die Laufzeitumgebung für NW.js sind. Dann findet sich aber auch noch eine Datei mit dem Namen „g“ ohne Dateiendung in dem Archiv. Diese Datei ist die einzige, die beim Klick auf den Download-Button wirklich individuell generiert wird. Sie enthält alle Daten, die für den individuellen Betrug wichtig sind.

image

Wir sehen, es ist heute einfacher denn je, Schadware zu generieren, und diese an den Mann zu bringen. Wie immer ist die einzige Möglichkeit zum Schutz davor keine Dateien aus nicht-offiziellen Quellen herunterzuladen.

Das könnte interessant sein Powered by AdWol Online Werbung

WhatsApp: Nachrichten nach dem Absenden löschen 

Oha, ich sehe eine ähnliche Hysterie wie damals mit den blauen Haken auf uns zukommen. Der Twitter ...

SpiffyGif – 1 nicer Ladeanimationen-Generator [Türchen 5]

Heute steckt hinter meinem Pseudo-Adventskalender-Türchen eine weitere Website-Empfehlung für alle...

Microsoft Game DVR: Plötzlich keine Korrekte Hardware mehr?

Kurz für alle, die dass Problem haben, dass Microsofts Game DVR plötzlich der Meinung ist, ihr hä...