Unbekannt, aber weit verbreitet: die Ransomware «Stop»

Ransomware sorgt zwar auch hierzulande des Öfteren für Schlagzeilen. Die Malware mit Namen «Stop» ist jedoch weitgehend unbekannt. Dies obschon ihr Verbreitungsgrad laut Ransomware-Spezialisten konstant zunimmt − vor allem bei privaten Computer-Nutzern.

Warnungen vor Ransomware mit geläufigen Namen, wie «Ryuk», «GandCrab» oder «Sodinkibi» machen alle paar Monate die Runde. Weitgehend unbemerkt von der Fachwelt und der Öffentlichkeit hat sich allerdings in den letzten Monaten eine Ransomware mit Namen «Stop» im Netz stark verbreitet. Laut den Malware-Jägern von ID Ransomware hat sie es insbesondere auf Einzelpersonen abgesehen, wobei die Lösegeldsumme anfänglich 490 USD beträgt und sich nach 72 Stunden auf 980 USD verdoppelt. Die Infektion erfolgt in den meisten Fällen über gecrackte Software.

Zu diesem Schluss kommen die Spezialisten von ID Ransomware anhand der Auswertung von Daten von verschlüsselten Rechnern. Diese Daten werden dem Online-Service von Nutzern zugeschickt, um den für die Geiselnahme verantwortlichen Trojaner zu ermitteln und allenfalls eine Lösung zur Entsperrung der betroffenen Rechner zu finden.

Verbreitung nimmt stark zu

In einer Analyse solcher Daten stellte ID Ransomware-Entwickler Michael Gillespie fest, dass in den letzten 60 Tagen von täglich rund 2‘500 Ransomeware-Eingaben rund 70 % «Stop» betrafen. Über die letzten sechs Monate betrachtet waren es rund 60 % und über die letzten zwölf Monate rund 50 %, womit von einer klar steigendenden Tendenz gesprochen werden kann.

Ein Grund weshalb «Stop» trotz dieser starken Zunahme bisher wenig Aufmerksamkeit zuteilwurde, dürfte sein, dass insbesondere Einzelpersonen von Geiselnahmen betroffen sind. Dadurch gelangen die Infektionen weniger rasch an die Öffentlichkeit, als wenn beispielsweise grosse Unternehmen oder Behörden angegriffen werden.

Vorsicht vor gecrackter Software

Um die Ransomware zu verbreiten, kooperieren die Kriminellen hinter «Stop» gemäss den Erkenntnissen von ID Ransomware mit den Hintermännern von zwielichtigen Webseiten und Adware-Bündeln. «Stop» versteckt sich demnach in Crack-Versionen von Software oder in kostenlosen Programmen, bei denen es sich oft um eigentliche Adware-Bündel handelt. Werden diese Programme heruntergeladen, installieren sie verschiedene, unerwünschte Software auf dem Rechner des betreffenden Nutzers, darunter auch «Stop».

Unter der gecrackten, mit «Stop» infizierten Software, die an ID Ransomware gemeldet wurden, befanden sich unter anderem Programme, wie KMSPico, Cubase, Photoshop sowie verschiedene Antiviren-Programme, wie es heisst.