SyncCrypt: Neue Ransomware versteckt sich in JPG-Dateien

Entdeckt wurde die Malware von den Sicherheitsforschern bei Emsisoft die ihr den Namen SyncCrypt gaben, berichtete BleepingComputer. Bis die Erpresser-Software hier letztlich aktiv wird, sind bereits einige Infektionsstufen von Nöten. Die initiale Verbreitung erfolgt über ein Skript im Windows Script File (WSF)-Format, das an Spam-Mails angehängt ist und sich als Gerichtsdokument tarnt. Wird das Skript aktiviert, lädt es eine vermeintliche JPG-Datei herunter. Hier spekulieren die Macher offenbar darauf, dass diese von Virenscannern nicht so genau angeschaut werden wie etwa eine EXE-Datei. Denn JPGs landen bei der Webnutzung in riesiger Zahl auf dem Rechner.

JPG mit Trojaner-Funktion

In die Bilddateien - die wirklich als JPG funktionieren und bei der Öffnung mit entsprechender Software einfach ein Album-Cover zeigen, ist der Code eines ZIP-Archivs eingebettet. Dieses wird von dem WSF-Skript aus der JPG-Datei herausgetrennt und ausgepackt. Erst jetzt kommt der ausführbare Code zum Vorschein, der die Daten des Nutzers verschlüsselt und den Anwender zur Zahlung eines Lösegeldes auffordert.

Zum Einsatz kommt hier ein RSA-Algorithmus mit 4.096-Bit-Schlüssel. Man darf also vorerst nicht darauf hoffen, dass dieser einfach mal eben rekonstruiert werden kann. Nur wenn Sicherheitsforscher Schwachstellen in der Malware selbst finden, könnte eine Entschlüsselung ohne Lösegeldzahlung möglich werden. Die Angreifer verlangen für die Herausgabe des Rettungs-Keys eine variable Zahlung in Bitcoin, die meist bei um die 430 Dollar liegt. Wie immer kommt um die Zahlung des Lösegeldes natürlich jener Nutzer herum, der regelmäßig Backups seiner Daten zieht.