Trekkie ransomware – your files may be safe in the shadows, Trekkie-Ransomware, ransomware Trekkie, ransomware kirk

Trekkie-Ransomware – Ihre Dateien bleiben dennoch – irgendwie – sicher

In den unendlichen Weiten des Cyberspace wurde eine Ransomware gefunden, die auf das Thema Star Trek aufspringt. Die Dateien der Opfer der Trekkie-Ransomware bleiben jedoch sicher – wenn auch nur im Schatten.

„Es handelt sich hierbei nicht um einen Borg und es hat auch nichts mit der Bösartigkeit der Klingonen zu tun – zumindest nicht in der jetzigen speziellen Version“, sagt Moritz Kroll, Malware Researcher beim Avira Protection Service. „Es ist möglicherweise nur eine vorübergehende „Test“-Variante.“

Trekkie ransomware – your files may be safe in the shadows, Trekkie-Ransomware

Verzweifeln Sie nicht!

Infizierte Nutzer sollten also nicht sofort verzweifeln. Stattdessen sollten sie versuchen, die Daten aus der Schattenkopie, die von Windows zur Verfügung gestellt wird, wieder herzustellen. Im Gegensatz zu anderen Ransomware-Varianten wird bei der Trekkie-Ransomware die Schattenkopie nicht gelöscht, hebt Moritz Kroll hervor.

Wie auch immer, die Ransomware bewegt sich nicht gerade mit Warp-Speed vorwärts. Tatsächlich ist Moritz Kroll nicht davon überzeugt, dass die Ransomware ein Teil einer größeren Aktion oder Teil einer zielgerichteten Verteilung ist. „Bisher haben wir nur zwei Nutzer in unserer Cloud gesehen, die Informationen zu dieser Datei eingeholt haben. Und dabei kann es sich durchaus auch nur um andere Researcher gehandelt haben“, erklärt er. „Zudem ist es möglich, dass die Kirk-Ransomware in der jetzigen Form auch nur eine „Test“-Version ist, die von Sicherheitsexperten gefunden wurde, bevor sie tatsächlich veröffentlicht werden sollte.“

Zwei technische Details zur Trekkie-Ransomware

Abseits von der Nutzung der Marke „Star Trek“, gibt es bei dieser Ransomware zwei technische Besonderheiten. Sie wurde in der Programmiersprache „Python“ geschrieben, was für Schadsoftware recht ungewöhnlich ist. Außerdem verlangt sie ein Lösegeld in der recht unbekannten Kryptowährung „Monero“ anstatt der geläufigeren Bitcoins. Die Opfer werden mit einer zeitlich begrenzten Forderung konfrontiert, die mit 50 Monero (ca. 107,00€) startet. Der Betrag erhöht sich mit der Zeit und nach 2 Wochen sieht man sich einer Forderung von 500 Monero ausgesetzt. Die Autoren der Schadsoftware drohen, dass nach einem Monat der Dechiffrierschlüssel gelöscht werden soll, sodass Opfer gar keinen Zugriff mehr auf ihre Daten erhalten.

Wie von Bleeping Computer berichtet wurde, positioniert sich die Trekkie-Ransomware selbst als ein Netzwerkstresstool mit Namen „Low Orbit Ion Cannon“ – das klingt auch ein bisschen nach Sci-Fi. Die ausführbare Datei loic_win32.exe generiert ein AES-Passwort, das die Dateien des Opfers verschlüsselt. Dieser AES-Schlüssel wird dann mit einem eingebetteten RSA-4096-Public-Key verschlüsselt und in der Datei „pwd“ gespeichert. Es ist wichtig, diese Datei nicht zu löschen – sie beinhaltet den Schlüssel!

Trekie ransomware message

„Für wirklich neugierige Nutzer findet sich sogar noch ein nützlicher Hinweis von „Kirk““, fügt Moritz Kroll hinzu. „Wir empfehlen, dass Sie diese Datei NICHT erneut ausführen“. Wirklich niedlich – Ransomware-Autoren mit einem Sinn für (schwarzen) Humor.

Wenn es sich wirklich nur um eine Test-Version handeln sollte, werden wir zukünftig sicherlich noch einiges von der Trekkie-Ransomware hören. Es ist nur noch nicht ganz klar, ob das Star Trek-Thema weiter bedient werden wird. Die normalen Vorsichtsmaßnahmen bleiben weiterhin bestehen: Halten Sie Ihr Antivirus aktiv, aktualisieren Sie Ihre Software, haben Sie jederzeit ein BackUp parat und klicken Sie nicht auf verdächtige Links.


Zugehöriger Artikel

https://blog.avira.com/de/5-tipps-ransomware/

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.