Bad Rabbit - the not so cute ransomware

Bad Rabbit – Ransomware ohne Niedlichkeitsfaktor

Letzte Woche erkannten die Avira Protection Labs den Angriff einer neuen Ransomware-Variante mit dem Namen Bad Rabbit. Es handelt sich dabei um einen typischen Datei-Verschlüsseler, der dafür sorgt, dass alle eure Dateien unlesbar werden, und euch zwingt, ein Lösegeld zu zahlen, um sie wieder zu entschlüsseln. Er überschreibt die MBR-Datei, um die entsprechende Lösegeldforderung an sein Opfer zu senden, nachdem der Computer neu gestartet wurde.

Bad Rabbit - the not so cute ransomware - in-post

Diese Bedrohung erreicht den Computer des Opfers durch einen Drive-by-Angriff. Wir haben erkannt, dass die Schadsoftware (Payload) von h(tt)p://1dnscontrol(.)com/flash_install.php heruntergeladen wurde. Scheinbar haben sich die Kriminellen bei diesem Angriff nicht für einen normalen Phishing-Versuch entschieden (wo der die Schadsoftware (Payload) meist angehängt ist), sondern stattdessen wohl ein schädliches Werbebanner oder eine gehackte Webseite genutzt.

Sie haben sich also gegen Phishing zur Verbreitung der Infektion entschieden. Sie haben aber eine andere bekannte Social Engineering-Methode genutzt, um an den Rechner der Nutzer zu gelangen. Hierfür muss die abgelegte Datei  von einem Nutzer mit Administratorrechten ausgeführt werden, damit sie funktioniert. Also haben sie wahrscheinlich entschieden, dass die Tarnung als Flash Player-Installationsdatei die beste Methode wäre. In letzter Zeit kamen ziemlich oft Arten von Malvertising (eine Kombination aus „Malware“ (Schadsoftware) und „advertising“ (Werbung)) vor, bei denen man zunächst den Flash Player installieren muss, bevor man das Werbebanner anschauen kann. Viele Menschen klicken täglich auf ein falsches Flash Player-Symbol, weil sie denken, es handelt sich um ein neues Update:

 

Wenn der bösartige falsche Flash Player dann ausgeführt wird, legt er die schädliche DLL als C:\Windows\infpub.dat ab. Diese wird mithilfe von rundll32 gestartet und legt wiederum eine dispci.exe-Datei (den Datei-Decoder) und eine cscc.dat (Utility-Tool) im Windows-Ordner (c:\windows) ab. Parallel dazu versucht der Eindringling, diese Dateien auch auf verbundenen Rechnern im Netzwerk abzulegen. Dafür wendet er „rohe Gewalt“ an und erzwingt die Administratorfreigaben (\\computername\admin$) mit einer Liste von fest kodierten Anmeldeinformationen (e.g. sex, qwe123, qwe321, …).

Für die im Windows-Ordner abgelegten Dateien erstellt Bad Rabbit drei Aufgaben in der Aufgabenplanung.

Dabei ist es interessant, wie die Cyberkriminellen die Aufgaben benennen, denn die Namen „Drogon“, „Rhaegal“ und „Viserion“ stammen von den Drachen der weltberühmten Serie Game of Thrones. Aber das sind nicht die einzigen Namen aus der Kultserie. Auch der Name der Figur „GrayWorm“ wird verwendet – nämlich als Produktbezeichnung für die exe-Datei. Dies ist nicht das erste Mal, dass Cyberkriminelle Ikonen aus der Popkultur mit Malware vermischen: in der Vergangenheit gab es bereits Namen aus Mr. Robot, James Bond, Pokémon und vielen mehr.

Diese Ransomware nutzt außerdem einige spezielle Techniken, um nach der Infektion keine Spuren zu hinterlassen. Eine interessante Methode ist das Löschen des USN-Journals.

Fsutil.exe usn deletejournal /D c: bietet die Lösung zum Löschen des Journal-Caches. Der Cache kann unter anderem auch nachverfolgen, welche Änderungen es an Dateien gibt, nachdem diese verschlüsselt wurden. Auf diese Weise können nur die Cyberkriminellen (oder jemand anders) diese Informationen behalten.

Der Datei-Decoder bringt Licht ins Dunkel, wenn es darum geht herauszufinden, auf welche Art von Nutzern es die Cyberkriminellen abgesehen haben – man muss sich nur die Liste der Dateitypen ansehen.

Der Datei-Decoder prüft insbesondere auf Dateitypen von virtuellen Maschinen (z. B. vhdx, vmdk, vbox…). Das bedeutet, sie haben auch den Unternehmensbereich ins Visier genommen und nicht nur Privatanwender zuhause.

Der Datei-Decoder zeigt an, was auf dem Rechner des Opfers passieren würde, wenn es das Lösegeld bezahlt.

Nach Wunsch der Kriminellen soll der Nutzer sein Antiviren- oder Anti-Malware-Programm deaktivieren und auf decryption.lnk auf dem Desktop klicken. Außerdem werdender Datei-Coder und der Codierungsvorgang vom System gelöscht, nachdem die Dateien entschlüsselt wurden. Allerdings raten wir dringend, niemals den Anweisungen von Cyberkriminellen zu folgen.

Die getarnte Datei cscc.dat ist ursprünglich eine sys-Datei und Teil der offenen Verschlüsselungslösung „DiskCryptor“, die von Ransomware verwendet wird.

Diese Verschlüsselungsmethode verändert im Gegensatz zu anderen Programmen wie Locky die Dateierweiterung nicht. Diese bleibt bestehen, aber es wird eine Zeichenfolge am Ende der Datei angehängt, in der „encrypted“ (verschlüsselt) zu lesen ist.

Es sieht so aus, als hätten die Kriminellen dieses Mal mehr Zeit damit verbracht, die Onion Link-Seite zu erstellen. Darauf ist sogar die Ladeanimation einer Verschlüsselung zu sehen.

Aber keine Sorge, Avira schützt euch bereits vor dieser Ransomware.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch