zurück zur Übersicht

Doppelt gemoppelt – Stampado verschlüsselt verschlüsselte Daten

hackerhackerSicherheitsforscher haben eine neuartige Ransomware namens Stampado (mehr Infos hier) entdeckt. Das Besondere an dieser Variante: Sie verschlüsselt die Daten gezielt auch dann, wenn diese schon durch andere Ransomware verschlüsselt wurde. Das Opfer müsste in diesem Fall gleich zweimal Lösegeld für seine Daten bezahlen. Laut Experten habe es so etwas bisher noch nicht gegeben und so markiert Stampado den aktuellen Gipfel der Hinterlist. Aufgetaucht ist der Schädling erstmals Mitte Juli diesen Jahres.

Der Gipfel der Hinterlist: Stampado tritt anderer Ransomware auf die Füße

Auf das besonders böswillige Verhalten stießen Experten beim Reverse Engineering der Software durch die Analyse der Dateierweiterungen, die sich Stampado zum Verschlüsseln vornimmt. Wie bei Ransomware üblich, werden private Daten, wie Fotos, Musik und Dokumente verschlüsselt. Zusätzlich nimmt sich Stampado aber auch Dateien mit Erweiterungen vor, die auf bereits verschlüsselte Dateien anderer Ransomware hindeuten. Darunter sind beispielsweise Erweiterungen wie: *.locky, *.surprise, *.encrypt, *.zyklon und viele weitere mehr. So betrifft die erneute Verschlüsselung Daten, die bereits durch Ransomware wie Kimcil, Cerber, TeslaCrypt, LeChiffre, Locky, Coverton oder PadCrypt verschlüsselt wurden. Dieses Vorgehen nimmt explizit auch die Erfolgschancen anderer Angreifer aufs Korn.

An sich ist dieses Konzept nicht neu. Bereits TeslaCrypt bemächtigte sich kurzerhand der Webseite des „Konkurrenzproduktes“ Cryptowall (wir berichteten). Wenn sich Ransomwares jetzt schon gegenseitig verschlüsseln wird die Wahrscheinlichkeit, dass das Opfer überhaupt bezahlt, mit Sicherheit geringer.

Abhilfe in Sicht

Im Fall von Stampado verpufft das Schadenspotential relativ schnell, denn es gibt bereits Abhilfe. Auf der Homepage von Emsisoft gibt es ein Entschlüsselungstool gratis zum Download. Damit die Daten wieder entschlüsselt werden können, wird die E-Mail Adresse des Erpressers und die ID des Opfers aus der Erpresserbotschaft benötigt. Es wird jedoch dringend empfohlen, die verschlüsselten Daten zu sichern, bevor ein Entschlüsselungsversuch unternommen wird, um Datenverlust im Fehlerfall zu verhindern.

Dennoch zeigt dieser Fall deutlich, dass die Ransomwarewelle weit davon entfernt ist auszurollen. Im Gegenteil: Sie hat inzwischen eine derartige Dynamik entwickelt, dass immer mehr Kriminelle zum Surfbrett greifen um darauf mitzureiten. Auch wenn der Versuch in diesem Fall eher unbedarft war, ist das eine sehr bedenkliche Entwicklung.


Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar