Erpressungs-Trojaner Ranscam schickt Daten unwiederbringlich ins digitale Nirwana

HEISE.de - Wie jede Ransomware behauptet auch Ranscam, alle als Geiseln genommenen persönlichen Daten nach einer Lösegeldzahlung freizugeben. In diesem Fall haben das die Drahtzieher aber grundsätzlich gar nicht vorgesehen, warnen Sicherheitsforscher.

Der Verschlüsselungs-Trojaner Ranscam wird der Schädlings-Bezeichnung nicht gerecht: Er löscht nach einer Infektion alle Daten, anstatt diese zu verschlüsseln. Ranscam gaukelt seinen Opfern dennoch vor, dass nach einer Lösegeldzahlung alle Daten wieder entschlüsselt sind, berichten Sicherheitsforscher von Talos. Der Schädling hat es auf Windows-Computer abgesehen.

Wie bei Ransomware üblich, zeigt Ranscam auf infizierten Computern eine Erbpresserbotschaft an. Der Trojaner gibt vor, dass er persönliche Daten auf eine verschlüsselte und versteckte Partition verschoben hat. Zudem warnen die Erpresser, dass der betroffene Computer nicht mehr richtig funktionieren könnte. Sie fordern Opfer dazu auf, 0,2 Bitcoin (rund 118 Euro) Lösegeld zu zahlen, um wieder Zugriff auf ihre Daten zu bekommen.

Der Analyse von Talos zufolge nistet sich Ranscam tief im System ein und überprüft nach jedem Neustart unter anderem, ob neue persönliche Daten dazugekommen sind, die der Schädling umgehend löscht.

Aufs schnelle Geld aus

Über einen Button innerhalb des Erpresser-Bildschirms sollen Opfer einen Überprüfungs-Prozess in Gang setzen können, ob die Lösegeldzahlung bereits eingegangen ist. Dabei handelt es sich den Sicherheitsforschern zufolge jedoch nicht um eine Überprüfung, sondern um Angstmacherei: Nach einem Klick auf den Button tauscht der Schädling lediglich das Bild mit der Erpresser-Botschaft aus und warnt in der neuen Botschaft, dass die Bezahl-Überprüfung fehlgeschlagen sei und nun eine Datei gelöscht werde.

Die Sicherheitsforscher vermuten, dass die Drahtzieher hinter Ranscam mit ihrer "Amateur-Malware" das schnelle Geld machen wollen. Die Taktik scheint aber nicht aufzugehen: Bisher sollen nur rund 278 US-Dollar im Bitcoin-Wallet der Erpresser gelandet sein; die letzte Transaktion fand Talos zufolge Ende Juni statt. Zudem gehen die Sicherheitsforscher nicht von einer großen Verbreitungs-Kampagne aus. (des)