Site icon Emsisoft | Sicherheitsblog

Neuer Cryptolocker-Nachahmer PClock2 entdeckt, der auf über 2500 Dateierweiterungen abzielt


Cryptolocker, eine der größten Ransomware-Bedrohungen der letzten Jahre, wurde Ende 2013 entdeckt. Es wurde berichtet, dass die Ersteller von Cryptolocker in den ersten 100 Betriebstagen rund 30 Millionen USD erzielt haben, und folglich ist es keine Überraschung, dass viele Varianten und Nachahmer versuchen, von Cryptolockers Reputation zu profitieren. Anfang diesen Jahres entdeckten wir einen Cryptolocker-Nachahmer namens PClock, für welchen wir einen Decrypter entwickelten, um Opfern dabei zu helfen, ihre Dateien zurückzuerlangen, ohne das Lösegeld zu bezahlen. Eine neue Variante von PClock und ein weiterer Nachahmer von Cryptolocker sind aufgetaucht: PClock2.

PClock2 verlangt 0,5 Bitcoin als Lösegeld zur Entschlüsselung der Dateien

Wie bei anderen Arten von Ransomware ist es das Hauptziel von PClock2, wichtige Dateien auf dem System des Opfers zu verschlüsseln, und dieses dazu zu bringen, ein Lösegeld für seine Dateien zu bezahlen. PClock2 verschlüsselt Dateien mit einem zufällig generierten Schlüssel und dem RC4-Algorithmus. Wie die meisten anderen Varianten erfordert diese die Zahlung auch in Bitcoins und bietet dem Benutzer ein begrenztes Zeitfenster, um die Zahlung zu tätigen. Die Malware verkündet fälschlicherweise auch, dass 0,5 Bitcoin (das geforderte Lösegeld) ca. 0 USD entspricht, während die tatsächliche Umrechnung fast 128 USD beträgt.

Ähnlich wie ihr Vorgänger PClock, ähnelt auch diese Variante visuell Cryptolocker:

Diese Malware empfiehlt Benutzern auch, ihre Antivirus-Programme zu deaktivieren, um ein Löschen zu verhindern. Das Anwendungsfenster ist klar darauf ausgelegt, Benutzer zu bedrohen und in die Irre zu führen.

PClock2-Verhalten und Infektionsmethoden

PClock2 dringt in der Regel über infizierte Torrent-Downloads in das System des Benutzers ein. Sobald es sich auf dem Computer eines Opfers befindet, schafft PClock2 mit Hilfe des folgenden Registry-Eintrags Persistenz auf dem System:

PClock2 speichert zusätzliche Details über die Infektion, wie die Bitcoin-Zahlungsadresse, hier:

Was interessant ist, ist dass PClock2 auf 2583 Dateierweiterungen abzielt, was im Vergleich zu früheren von uns untersuchten Arten von Ransomware sehr viel ist. Da auf so viele unterschiedliche Dateierweiterungen abgezielt wird, ist die Liste zu lang, um sie in diesem Blog-Post zu veröffentlichen. Die Befehls- und Kontrollserver für diese Malware befinden sich unter folgenden Domains:

Die extrahierten Malware-Dateien werden lokal an den folgenden Orten gespeichert:

%APPDATA%WinDskwindsk.exe – Die Malware-Programmdatei
%APPDATA%WinDskwindskwp.jpg – Das von der Malware generierte Wallpaper
%DESKTOP%CryptoLocker.lnk – Ein Shortcut zur Malware-Programmdatei
%USERPROFILE%enc_files.txt – Die Liste der verschlüsselten Dateien

Nach der Verschlüsselung aller gefundenen Dateien ändert die Ransomware den Desktop-Hintergrund des Benutzers auf dieses Bild:

Wiederherstellung Ihrer Dateien ohne das Lösegeld zu bezahlen

Glücklicherweise ist PCLock2 nicht annähernd so mächtig, wie es dies vorgibt, und keine Ihrer Dateien wurden tatsächlich beschädigt. Unser Malware-Forschungsteam hat einen Decrypter entwickelt, der es Ihnen ermöglicht, Ihre gesperrten Dateien wiederherzustellen, ohne das Lösegeld zu bezahlen. Sie können den Decrypter hier herunterladen.

Der Entschlüsselungsvorgang ist recht einfach, wie auf folgenden Screenshots dargestellt:

 

Wenn Sie sich nicht zutrauen, das Entschlüsselungsverfahren selbst durchzuführen, dürfen Sie gerne eine Support-Anfrage in unserem Forum erstellen oder uns eine E-Mail senden. Wir freuen uns, wenn Sie diesen Artikel teilen, damit mehr Opfern von PClock2 dabei geholfen werden kann, ihre Dateien wiederherzustellen.

Vorsorge ist immer besser als Nachsorge, weshalb wir Ihnen immer empfehlen, regelmäßig Sicherungen auszuführen, und ein starkes Antivirus-Programm zu verwenden, das Sie vor Infektionen schützt.

Wir wünschen einen schönen (Ransomware-freien) Tag!

Exit mobile version