Die Ransomware-Bedrohungen nehmen auch in diesem jungen Jahr weiterhin zu. Der Trend setzt leider fort, die Anzahl der Erpressungs-Trojaner stieg bereits Ende 2016 bedenklich an.
Nun ist den Experten erneut eine Variante eines Erpressungs-Trojaners ins Netz gegangen. Nach der Analysen des Quelltextes zeigte dieser allerdings gravierende Schwachstellen. Experten gelang es so innerhalb von nur 24 Stunden, ein geeignetes Entschlüsselungs- bzw. Wiederherstellungs-Tool bereitzustellen.

Laut aktuellsten Statistiken scheint diese erste Welle dieser Ransomware nur serbische und kroatische Nutzer im Visier zu haben.

Der Trojaner mit Namen “Marlboro” wurde vom MalwareHunterTeam entdeckt, wobei die Spam-Mails eine infizierte Word-Datei im Gepäck tragen, welche den eigentlichen Download und die Installation der Ransomware auf den Computern der Anwender ausführt.

Bild:bleepingcomputer.com – Infizierte-Worddatei

Bemerkenswert und einmalig ist, dass die Ransomware zwei separate Installer bereithält. Je nachdem, welches Windows-Betriebssystem der Anwender einsetzt, wird eine 32-Bit oder 64-Bit Versionen der Infektion auf den Computer installiert. Bislang kennt man das nur von anderen Malware-Varianten wie Backdoor-Trojaner, Banking-Trojaner oder PoS-Malware.
Der “Marlboro-Trojaner” bzw. die eigentlichen Binaries wurde über einen kostenlosen Hosting-Account verteilt, der zwischenzeitlich aber gesperrt wurde. Die Einleitung über die sehr professionell gestalteten “Spam-Mails” zeigt den Sicherheits-Experten, dass sich hier die Hintermänner im Bereich Verteilung und Einleitung einer Infektion bestens auskannten, allerdings in der eigentlichen Programmierung des Ransomware-Trojaners weniger Erfahrung hatten.
Ist die Ranomware auf dem System aktiv, dann werden die Dateien mit einem vereinfachten Algorithmus verschlüsselt und erhalten die Erweiterung “.oops” am Dateiende. (image.png.oops)
Auf diese Dateiformate hat es die “Marlboro-Ransomware” abgesehen:

Wenn die Verschlüsselung des Systems beendet ist, löscht sich die Ransomware-Infektion selbstständig vom System und die Datei “_HELP_Recover_Files_.html” mit der Lösegeldforderung der Kriminellen wird angezeigt.

Bild:bleepingcomputer.com – Lösegeldforderung der Kriminellen

Hinsichtlich der Höhe des Lösegeldes und diverser Instruktionen der Kriminellen ist den Sicherheits-Experten eine Anmerkung in der Lösegeld-Erpressung aufgefallen. Es wird behauptet, die “Marlboro-Ransomware” setze eine starke Kombination aus AES- und RSA-Verschlüsselungen ein. Laut der Experten ist das schlicht weg gelogen.
Darüber hinaus bringt die Ransomware sogar seinen eigenen Decrypter mit. Mit Namen “deMarlboro” legt sich dieser auf dem Desktop ab und überprüft den Server hinsichtlich Lösegeldzahlungen des Opfers und soll den Entschlüsselungsprozess nach Einzahlung starten.

Achtung – Angst und Einschüchterung ist die Motivation der Kriminellen: Wir von Botfrei schließen uns der Meinung des BSI, des BKAs und der Polizeibehörden an und raten dringend davon ab, das Lösegeld an die Cyberkriminellen zu bezahlen!

Im Infektionsfall sollte die Bezahlung des Lösegeldes immer nur das allerletzte Mittel sein. So gibt es beispielsweise Anwender und Unternehmen, die durch die Infektion und Verschlüsselung der Daten mit dem Rücken zur Wand stehen und damit keine andere Wahl haben, als den Forderungen der Kriminellen nachzukommen.

Es steht ein kostenloser Decrypter für Marlboro zu Verfügung!

Gute Nachrichten hatte der Sicherheits-Experte Fabian Wosar. Er konnte im Code der “Marlboro-Ransomware” einige Fehler nutzen, um ein entsprechendes Wiederherstellungs-Tool zu erstellen. Einen kleinen Wermutstropfen gibt es allerdings. Durch diverse Fehler in der Ransomware werden Teile des Verschlüsselungscodes abgeschnitten, welche zur Wiederherstellung der Dateien gebraucht werden. Dennoch sollte die Entschlüsselung bei den meisten Dateien funktionieren.

Download des Decrypter von Emsisoft:  Emsisoft Decrypter for Marlboro>>


Brauchen Sie dazu Hilfe? 
Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers.

Darauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden.