Keine Entwarnung bei TorrentLocker

Eset warnt: Erpresser-Software weiter in DACH aktiv



Karl-Erich Weber, Jahrgang 1959, ist Kaufmann, Autor, freier Journalist und Redakteur. Hauptberuflich seit 1991 mit ITK und Unterhaltungselektronik befasst, schreibt er seit 1998 für unsere Redaktion. Seine ITK-Lieblingsthemen sind die News, Analysen und Projektionen aus Wirtschaft, Markt und Fachhandel sowie die Hersteller mit ihren Produkten. Zudem bloggt, kritisiert und kommentiert er leidenschaftlich Medien und Politik. 
Die Crypto-Erpresser sind nach Analyse der slowakische Virenjäger noch immer in der Region unterwegs. Jetzt mit raffinierteren Spam-Mails und technisch aufgerüstet.

Die Verteilung funktioniert über maßgeschneiderte und lokalisierte E-Mails und hat insbesondere Unternehmen aus Energie-, Post- und Telekommunikationssektor im Visier, meldet die deutsche Eset-Niederlassung in Jena. Überraschend war auch die Feststellung, dass Länder von TorrentLocker verschont wurden, darunter China, Russland, Ukraine und USA.

Eset hat eine Analyse neuer Proben der TorrentLocker Malware-Familie durchgeführt. Im Vergleich zu 2014 gibt es einige bedeutende Neuerungen.
Eset hat eine Analyse neuer Proben der TorrentLocker Malware-Familie durchgeführt. Im Vergleich zu 2014 gibt es einige bedeutende Neuerungen.
Foto: Eset

Die bereits seit dem Jahr 2014 bekannte Verschlüsselungs-Malware "TorrentLocker" ist nach einer Untersuchung des Herstellers Eset auch in den aktuellen Malware-Samples vorhanden. Die Ähnlichkeiten und Unterschiede zwischen TorrentLocker-Mustern aus den Jahren 2014 und 2016 wurden nun in diesem Blog veröffentlicht.

Es handelt sich im Wesentlichen um eine neue Malware im alten Gewand, erklären die Spezialisten. So habe sich die Infektionsbenachrichtigung zwar verändert, es wird jedoch noch immer über Links angeblicher Tracking-Nummern oder Rechnungen versucht, den Benutzer zu verleiten per Klick den TorrentLocker zu aktivieren, der eine Verbindung zu einem Server aufruft. Dieser Command & Control (C&C)-Server verschlüsselt dann die lokalen Daten.

Lokalisierte Mails machen es dem Benutzer schwerer die Bösartigkeit zu erkennen. Zudem werde nun die Verbindung zum C&C-Server über das im Zusammenhang mit dem Darknet bekannte TOR-Netzwerk hergestellt, was die Ermittlung der physikalischen Serveradresse für Malware-Forscher und Ermittler erschwert.

Weitere Neuerungen sind die Verschlüsselung privater Daten mit AES-256-CBC und bis zum ersten Megabyte, statt sequenzieller Endungen werden jetzt zufällige Strings benutzt, und die Systemdateien werden verschont, so dass das System funktionsfähig bleibt. Als Basiswerkzeug für die AES-256-Verschlüsselung dient nun die Microsoft CryptoAPI. Der Schlüssel variiert nach jeder Kampagne.

Die tiefergehende technische Untersuchung des Schadcodes ist im Eset-Blog "WeLiveSecurity" zu finden. Das 43-seitige Eset Whitepaper aus Dezember 2014 mit einer Analyse von TorrentLocker kann hier heruntergeladen werden. (KEW)

Zur Startseite