Go to Top

Erpressungs-Trojaner RAA bringt Passwort-Dieb mit

Schadsoftware

Anscheinend wird die Konkurrenz bei Ransomware größer und größer, sodass sich die Programmierer neue Möglichkeiten des Geldverdienens einfallen lassen.

Sicherheitsforscher von Bleepingcomputer haben jetzt den komplett in der Interpreter-Sprache Javascript geschriebenen Erpressungs-Trojaner RAA entdeckt. Die Schadsoftware (eine .js-Datei) wird als Anhang an E-Mails verschickt. Wird die Datei geöffnet, baut sich ein scheinbares word-Dokument auf und der Schädling beginnt sein zerstörerisches Werk – er verschlüsselt Dateien mit der Endung .doc, .xls, .rtf, .pdf, DBF, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .LCD, .zip , .rar und .csv.

Aber damit gibt sich das Programm nicht zufrieden. Die zur Sicherheit von Windows angelegten Schattenkopien werden gelöscht, sodass das System nicht mehr zurückgesetzt werden kann – ohne Backup ist hier Schluss, auch professionelle Datenretter sind (noch) nicht in der Lage, die Daten zu retten. Zur Entschlüsselung werden 0,39 Bitcoin (ca. 260 €) gefordert – in russischer Sprache.

Und als ob das nicht schon schlimm genug wäre – die Malware ist nicht alleine, sie bringt noch Pony mit, eine Schadsoftware, die darauf spezialisiert ist, Passwörter abzufischen. Wird die Javascript-Datei geöffnet wird ein Teil der Datei in eine ausführbare (.exe)-Datei konvertiert, die sich im Auto-Start von Windows einnistet.

Man darf gespannt sein, auf was für Ideen die Malware-Gauner noch kommen werden.

Bildquelle: bykst / pixabay