Nach einem Bericht von bleepingcomputer.com fanden Sicherheitsforscher eine neue Ransomware, die auf trickreiche Weise die eigentliche Schadsoftware an Wächtern und Virenschutzprogrammen vorbeilotst.
Es ist wie viele andere Schädlinge auch eine Zweikomponenten-Schadsoftware, die aus einem WSF(Windows Scripting File)-Script als Loader und der eigentlichen Schadsoftware besteht.
Im JPG-Bild am Virenwächter vorbei
Der Loader kommt als Anhang von Spam-Emails auf den Rechner. Wird er ausgeführt, lädt er zunächst eine JPG-Bilddatei nach, in der der eigentliche Schadcode als Archiv verborgen ist.
Der wird extrahiert, entpackt und verschlüsselt dann alle möglichen Dateitypen und versieht sie mit der Endung „.kk“, um abschließend Bitcoin im Wert von ca. 430 Dollar zu erpressen. Bisher ist noch kein Entschlüsselungstool bekannt, mit dem man seine Dateien wieder entschlüsseln kann.
Wird die Schädlingsdatei als .EXE nachgeladen, erkannte sie nach einem Test der Forscher knapp die Hälfte (28 von 63) der getesteten Virenschutzprogramme. Wurde sie hingegen vorher in einem Bild versteckt, erkannte sie nur einer von 58 getesteten Virenwächtern.
Das Bild alleine ist harmlos
Diese Bilder sind so lange harmlos, bis sie von dem Scripting-File des Loaders geöffnet werden. Ruft man sie direkt auf, sieht man einfach nur das Cover eines isländischen Musikalbums.
