Der Antivirenhersteller TrendMicro hat nach einem aktuellen Bericht von Heise eine Mutation des schon länger bekannten Verschlüsselungstrojaners CryptoLocker gesichtet, die sich unter anderem über Wechseldatenträger verbreitet.
Die Variante WORM_CRILOCK.A verschlüsselt nicht nur die Dateien des Nutzers, sondern legt zusätzlich eine Kopie von sich selbst auf allen Wechseldatenträgern ab, die sie über das Gerät finden kann.
Ihren Zwillingen verpasst die Schadsoftware dabei den vielversprechenden Namen setup.exe.Wenn weitere ausführbare Dateien auf dem USB-Stick, der USB-Festplatte oder der Digitalkamera sind, werden sie durch diese gleichnamigen Kopien der Malware ersetzt.
Während die bisher gesichteten Varianten ihre Kontrollserver dadurch erreichten, dass sie Domainnamen nach einem fest einprogrammierten Muster generierten, enhält WORM_CRILOCK.A fest einprogrammierte Adressen.
Die Unterschiede können nach Aussage von TrendMicro ein Anzeichen dafür sein, dass die Variante nicht von den ursprünglichen Entwicklern stammt, sondern die Arbeit von Trittbrettfahren ist.
Während bei den bisherigen Varianten erst einmal ein sogenannter “Dropper” auf dem zu infizierenden System gestartet wurde, der dann die eigentliche Malware nachlud, wird die neue Variante direkt vor allem über Tauschbörsen verteilt. Dabei ist sie unter anderem als Aktivierungstool für Raubkopien beliebter Software wie Photoshop, Microsoft Office 2013 und Windows getarnt.
