Die Virenspezialisten von Kaspersky haben eine neue Erpresser-Malware für Windows entdeckt.
Ähnlich wie Cryptolocker ist auch die Ransomware Zerolocker in der Lage, Dateien mit einem starken Algorithmus zu verschlüsseln, um dann für die Entschlüsselung Lösegeld zu erpressen.
Zerolocker geht dabei aber nicht selektiv vor, sondern verschlüsselt unabhängig vom Dateityp nahezu alle Dateien eines betroffenen Systems.
“Zerolocker fügt zu allen Dateien, die es verschlüsselt, die Endung ‘.encrypt’ hinzu”, schreibt Kaspersky-Forscher Roel Schouwenberg in einem Blogeintrag. “Im Gegensatz zu anderer Ransomware verschlüsselt Zerolocker praktisch alle Dateien eines Systems, statt nur vordefinierte Dateitypen zu verschlüsseln.”
Ausgenommen seien nur Dateien größer 200 MByte und die Verzeichnissen “Windows”, “Program Files”, “Zerolocker” und “Desktop”. Die Malware selbst residiere im Verzeichnis “C:\Zerolocker”.
“Die Malware generiert einen 160-Bit AES-Schlüssel, mit dem alle Dateien verschlüsselt werden. Interessanterweise wir der Schlüssel zusammen mit anderen Daten durch eine GET-Anfrage verschickt, statt einem POST. Das führt zu einem 404-Fehler auf dem Server”, erläutert Schouwenberg weiter. “Das könnte bedeuten, dass der Server die Information gar nicht speichert. Opfer, die bezahlen, werden wahrscheinlich nicht erleben, dass ihre Dateien wiederhergestellt werden.”
