Geld her, aber plötzlich: Maktub wirkt nur an der Oberfläche höflich

Die Ransomware Maktub Locker befällt das System auf die übliche Weise: Über eine Spam-Mail von irgendeinem Unternehmen mit einer ausführbaren Datei (.exe) im Anhang, die als Text-/PDF-Dokument getarnt ist. Eine Textdatei mit Informationen über die Aktualisierung von Datenschutzrichtlinien und Nutzungsbedingungen wird geöffnet, die der Empfänger selbstverständlich liest, denn bekanntlich werden solche Vereinbarungen immer von jedermann gelesen, nicht wahr? Während der Benutzer den Text liest, beginnt das Schadprogramm, die Dateien auf dem Rechner in derselben Weise zu verschlüsseln, wie es andere Verschlüsselungstrojaner tun. Plötzlich wird die folgende Meldung auf dem Bildschirm angezeigt:

 

maktub-infection-window

Alle Dateien wurden verschlüsselt, mit der Erweiterung „.rdbmh“ versehen und „verkleinert“ (vermutlich komprimiert).

Wir besuchen also die Website, um herauszufinden, wie das Ganze funktioniert. Nach Eingabe des öffentlichen Schlüssels auf der Website wird eine wirklich gut gemachte Bezahlseite angezeigt, die folgendermaßen aussieht:

maktub-web

 

Wir haben es hier zwar mit böswilligen Angreifern zu tun, aber mit äußerst sorgfältigen! Auf ihrer ansprechend gestalteten Website werden sämtliche Einzelheiten zur Zahlungsweise erklärt (sogar mit einigen Links zu Seiten, über die man Bitcoins kaufen kann). Auf diesen fünf Seiten ist Folgendes zu sehen:

  1. Was mit den Dateien geschehen ist.
  2. Die Hacker lassen das Opfer zwei der Dateien kostenlos entschlüsseln.
  3. Die Lösegeldforderung wird angezeigt. Das Interessante dabei ist, dass sich die Summe erhöht, je mehr Zeit verstreicht. Während der ersten drei Tage beträgt das Lösegeld 1,4 BTC, doch innerhalb von zwei Wochen erhöht es sich auf 3,9 BTC. Das bedeutet, dass der tatsächliche Marktpreis der Lösegeldsumme von 515 auf 1.450 EUR steigt.
  4. Es wird dargelegt, dass der gesamte Prozess automatisiert abläuft und die Dateien automatisch entschlüsselt werden, sobald die Zahlung beim angegebenen Empfänger eingegangen ist.
  5. Außerdem wird erklärt, wo man Bitcoins erwerben kann.

Fast könnte der Eindruck entstehen, als seien die Erpresser äußerst höfliche Menschen, die Ihnen lediglich das Leben leichter machen wollen. Doch in Wirklichkeit haben sie es nur auf Ihr Geld abgesehen. Die Erhöhung der Lösegeldsumme ist eine Masche, mit der sie Sie unter Druck setzen, damit Sie das Geld bezahlen, und zwar schnell. In der Wirtschaft spricht man in solchen Fällen von einer dynamischen Preisgestaltung, die zeitabhängig erfolgt. Doch wie immer lautet unser Rat auch in diesem Fall: Bezahlen Sie nicht. Es würde die Hacker nur ermutigen, weiterhin auf diese Weise Geld zu erpressen. Seien Sie einfach vorsichtig und öffnen Sie keine verdächtigen Dateien aus dem Anhang einer E-Mail.

Avira erkennt diese Malware bereits; sie taucht in den Protokollen unter dem Namen „TR/FileCoder“ auf.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch