Die ProLock Ransomware-Betreiber senden fehlerhafte Entschlüsseler an Opfer, die das Lösegeld zahlen

Wie die meisten von Ihnen wahrscheinlich wissen, ist nicht jede Ransomware gleich. Einige Familien werden von jungen, unerfahrenen Hackern verfasst, die den größten Teil ihres Codes aus offenen Repositories ausleihen. Oft machen sie Fehler bei der Implementierung der einzelnen Komponenten und erhalten Ransomware-Beispiele, die keine so große Bedrohung darstellen. Im Gegensatz dazu werden andere Dateiverschlüsselungs-Malware-Familien von hoch entwickelten Hackerteams entwickelt und erstellt, die über eine nahezu unbegrenzte Menge an Ressourcen verfügen.

ProLock ist ein relativ neuer Name in der Ransomware-Szene. Es hat in den letzten Monaten einige Schlagzeilen gemacht, und es wird interessant sein zu sehen, ob es sich um eine der komplexeren Bedrohungen handelt oder ob es von einer Gruppe von Amateuren zusammengestellt wurde.

ProLock - eine ernsthafte Bedrohung für Unternehmen aller Formen und Größen

Forscher von Sophos haben kürzlich beschlossen, sich ProLock genauer anzusehen, nachdem einer ihrer Kunden davon betroffen war. Es wurde sofort klar, dass es nicht die Arbeit der sogenannten Script Kiddies ist.

Im Fall des von Sophos untersuchten Angriffs war der erste Einstiegspunkt ein schlecht konfigurierter RDP-Server, den die Hacker ausnutzten. Nachdem sie das Opfer kompromittiert hatten, sammelten sie weitere Informationen über das Netzwerk, in dem sie sich befanden, und verwendeten später eine Liste gestohlener Anmeldeinformationen, um sich darin zu bewegen. Der eigentliche Ransomware-Vorgang beginnt mit der Platzierung von vier Dateien im Ordner% ProgramData% des Hosts.

Es gibt ein BMP-Image, eine XML-Datei und einige Batch-Dateien. Die erste Batchdatei richtet eine geplante Aufgabe anhand der im XML-Dokument festgelegten Parameter ein. Die geplante Aufgabe führt die zweite Batchdatei aus, die wiederum die Ransomware-Nutzdaten extrahiert, die im BMP-Image mithilfe der Steganografie codiert sind.

Vor dem Verschlüsseln der Daten beendet ProLock bestimmte Prozesse, um sicherzustellen, dass während der Verschlüsselungsphase weniger Dateien geöffnet werden. Wenn die Informationen verschlüsselt sind, hinterlässt ProLock einen Lösegeldschein mit einer Benutzer-ID und einem Link zu einer von Tor gehosteten Website, auf der die Opfer weitere Informationen über die Anforderungen der Hacker erhalten können.

Bisher sieht alles sehr professionell und fortschrittlich aus. Als die Forscher einige Beispiele betrachteten, stellten sie jedoch fest, dass Teile des Codes zwar auf einzelne Opfer zugeschnitten waren, die Benutzer-IDs jedoch fest codiert und nicht eindeutig waren. Das war seltsam. Was jedoch seltsamer war, war die Art und Weise, wie ProLock Dateien verschlüsselt.

Die Entschlüsseler von ProLock funktionieren nicht

ProLock verschlüsselt keine Dateien, die kleiner als 8 KB sind. Für diejenigen, die größer sind, wird der Verschlüsselungsprozess mit dem neunten Kilobyte gestartet. Wenn Sie eine Datei öffnen, die die Ransomware bereits verschlüsselt hat, werden Sie feststellen, dass die ersten Teile davon in lesbarer Form bleiben.

Die Forscher von Sophos glauben, dass dies der Grund ist, warum die Entschlüsseler von ProLock nicht funktionieren. Es gibt seit einiger Zeit Berichte über fehlerhafte Entschlüsselungsprogramme, die von den ProLock-Betreibern bereitgestellt wurden, aber dies ist das erste Mal, dass wir eine technische Erklärung des Problems sehen. Der Bericht von Sophos legt nahe, dass Sicherheitsspezialisten die Daten möglicherweise nur nach dem Ändern des fehlerhaften Entschlüsselers abrufen können, weisen jedoch darauf hin, dass dies nicht billig ist.

Dies ist ein weiterer Beweis dafür, warum Sie niemals mit Cyberkriminellen Geschäfte machen sollten. Aber jetzt, da wir alle wissen, wo das Problem liegt, wie wahrscheinlich ist es, dass die ProLock-Operatoren es beheben?

Wird die ProLock-Bande ihre Entschlüsseler reparieren?

Von nun an wissen potenzielle Opfer, die sich die Mühe machen könnten, eine einfache Google-Suche durchzuführen, dass sie ihre Daten möglicherweise nicht zurückerhalten, selbst wenn sie das Lösegeld zahlen. Es ist weniger wahrscheinlich, dass sie zusammenarbeiten, und Sie könnten denken, dass dies die Ransomware-Betreiber dazu bringen könnte, ihren Verschlüsselungsmechanismus zu aktualisieren und das Problem zu beheben. Die Sache ist, ob der Entschlüsseler funktioniert oder nicht, könnte für sie kaum einen Unterschied machen.

Da Unternehmen jetzt Backups ihrer Daten aufbewahren, ist die Zahlung des Lösegelds nicht mehr die einzige Möglichkeit, es im Falle eines Ransomware-Angriffs abzurufen. Letztes Jahr erkannten Cyberkriminelle, die sich gegen Organisationen richteten, dass sie einen zweiten Erpressungspunkt benötigen, und sie begannen , Informationen zu stehlen, bevor sie sie verschlüsselten. Auf diese Weise können die Gauner drohen, Tonnen sensibler Daten zu verlieren, wenn sich ein Opfer weigert, für einen Entschlüsseler zu bezahlen. Viele Ransomware-Crews haben es geschafft, und wir beginnen jetzt zu sehen, dass es funktioniert.

Sophos 'Bericht besagt, dass die ProLock-Bande die Strategie noch nicht übernommen hat, aber es wurde darauf hingewiesen, dass sie dies jederzeit tun können. Unternehmen, auf die diese spezielle Ransomware abzielen könnte, sollten sich der Bedrohung bewusst sein und die erforderlichen Vorkehrungen treffen, um ihre Netzwerke zu stärken.