zurück zur Übersicht

Locky war gestern – heute ist Zepto

cryptospam2Ransomware kommt per Email-Anhang

Eine neue Variante der Locky Ransomware mit dem Namen Zepto wird momentan weltweit über Email-Anhänge verteilt. Aktuelle Analysen haben ergeben, dass es sich in der Regel um einen Email-Anhang handelt, der eine Javascript-Datei oder Makro-Code enthält. Der Anhang kann entsprechend des gewählten Angriffspunktes variieren.

Bisher wurden Dateien der Typen DOCM (Microsoft Office Document Makro) und ZIP gesichtet, die gefährlichen Javascript- oder Makro-Code enthalten. Dieser öffnet der eigentlichen Malware dann das Tor.

Verdächtig unverdächtige E-Mail

Der Emailtext ist größtenteils mit der Ansprache des Empfängers aus der Emailadresse heraus unverdächtig formuliert. Einige der E-Mails sehen täuschend echt aus, weshalb besonders zur Vorsicht geraten wird. Die häufigste Art und Weise der Verbreitung von Ransomware sind Spam-Emails. Daher sollten Emails mit Anhängen grundsätzlich sehr kritisch und mit Vorsicht betrachtet werden.

Funktionsweise von Zepto

Zepto hat das gleiche Ziel wie die meiste Ransomware: Dateien auf dem Rechner des Opfers zu verschlüsseln und für die Entschlüsselung Geld zu erpressen. Für die Ausführung der Javascript-Datei wird der Windows Script Host (wscript.exe) verwendet. Diese startet eine HTTP-GET Anfrage, um den eigentlichen Schadcode zu laden. Alternativ wird eine „.docm“ Datei geöffnet und der enthaltene Makro-Code ausgeführt. Die heruntergeladene Binärdatei wird daraufhin ausgeführt und der Prozess zum Verschlüsseln der Dateien beginnt. Ähnlich wie sein Vorgänger Locky ändert die Ransomware den Namen der Dateien auf seine eigene Erweiterung „.zepto“.
Nachdem die Daten verschlüsselt wurden, präsentiert Zepto eine Erpressungsnachricht wie die Daten nach Zahlung eines Lösegeldes wieder entschlüsselt werden können. Diese Meldungen erscheinen in drei verschiedenen Varianten, als Desktop-Hintergrund, in einem Bild, das mit der Windows-Fotoanzeige geöffnet wird und als HTML-Seite „_HELP_Instructions.html“, die in jedem Verzeichnis mit verschlüsselten Daten vorzufinden ist.

Mögliche Gegenmaßnahmen

Um gegen solche Arten von Angriffen entsprechend gerüstet zu sein und die Möglichkeit zu besitzen, etwas dagegen unternehmen zu können, gibt es mehrere Möglichkeiten. Einige wurden hier bereits erörtert (Beitrag zu Locky, Beitrag zu Abwehrmaßnahmen, Möglichkeiten der Erkennung). Jetzt wäre auch ein guter Zeitpunkt sich intensiv mit fortgeschrittener Endpoint-Security zu beschäftigen. Die Anzahl der Ransomwares hat sich im  letzten Jahr mehr als verdoppelt und ein Ende der Welle ist weiterhin nicht in Sicht.


Quellen:

http://blog.talosintel.com/2016/06/gotta-be-swift-for-this-spam-campaign.html
https://nakedsecurity.sophos.com/2016/07/05/is-zepto-ransomware-the-new-locky/

Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar