blog_5.11.2019

Ransomware: «MedusaLocker» nimmt weltweit Rechner ins Visier

Seit einigen Wochen werden Windows-Nutzer weltweit vermehrt Opfer einer neuen Erpressersoftware mit Namen «MedusaLocker». Wie sich die Malware genau verbreitet, ist noch unklar. Ein Antiviren-Programm, wie Bitdefender, dürfte aber vor den Angriffen schützen.

Das MalwareHunterTeam, Betreiberin der Plattform ID Ransomware, warnt vor einer neuen Ransomware, die Ende September erstmals rapportiert wurde. Zwar ist noch nicht bekannt, wie sich «MedusaLocker» genau verbreitet, die auf ID Ransomware verzeichneten Meldungen deuten jedoch auf konstant zunehmende Aktivitäten der Malware hin, wie das Online-Magazin BleepingComputer schreibt.

Bisher nicht verifiziert sind auch die Höhe der Lösegeldforderung sowie die Urheber hinter den aktuellen Attacken. Auch ein möglicher Entschlüsselungsmechanismus ist noch offen. Bekannt ist einzig, was passiert, wenn MedusaLocker einen Rechner infiziert hat.

Verschlüsselung in mehreren Schritten

Hat sich MedusaLocker einmal auf dem Rechner eines Nutzers installiert, führt die Ransomware offenbar mehrere Hochfahr-Routinen aus und bereitet das System so auf die eigentliche Verschlüsselung von Dateien vor. Anschliessend sucht und beendet MedusaLocker mehrere Prozesse, wobei Sicherheitsanwendungen geschlossen werden und sichergestellt wird, dass Dateien verschlüsselt werden können. Zu guter Letzt leert die Ransomware die Volume-Schattenkopien, damit diese nicht für die Wiederherstellung von Dateien verwendet werden können. Auch werden allfällige, mit Windows Backup erstellte Sicherheitskopien entfernt und die automatische Startup-Reparatur von Windows deaktiviert.

Hat MedusaLocker diese Schritte abgearbeitet, beginnt die Malware mit der Suche nach den zu verschlüsselnden Dateien. Übergangen – bzw. nicht verschlüsselt – werden offenbar Dateien mit den Endungen .exe, .dll, .sys, .ini, .lnk, .rdp, .encrypted (oder andere Endungen verschlüsselter Dateien) sowie bestimmte Systemordner, wie ProgramFiles(x86), ProgramData, AppData oder Windows etc. (vollständige Liste hier).

Die Suche nach neuen, zu verschlüsselnden Dateien, wird alle 60 Sekunden wiederholt. Zudem erstellt die Ransomware eine Kopie von sich selbst, um ein dauerhaftes Funktionieren zu gewährleisten. Die Lösegeldforderung wird in einer HTML-Datei in jedem Ordner abgelegt, der auch verschlüsselte Dateien enthält.

Bitdefender schützt vor Ransomware

Obschon – oder gerade weil – noch unklar ist, auf welche Weise MedusaLocker die Computer der Opfer genau infiziert, empfiehlt es sich, Rechner mit einer Antiviren-Software vor eventuellen Angriffen zu schützen. So bietet beispielsweise Bitdefender Schutz gegen Ransomware-Attacken und andere ungebetene Eindringlinge – sowohl auf einzelnen Rechnern, als auch auf ganzen Systemen.