Ransomware: Badrabbit verschlüsselt Nachrichtenagentur Interfax
In Russland und der Ukraine verbreitet sich eine neue Ransomware. Badrabbit wurde über Nachrichtenwebseiten verbreitet und befällt offenbar gezielt Unternehmensnetzwerke. Betroffen waren eine Nachrichtenagentur, der Flughafen von Odessa und die Metro von Kiew.
Eine neue Ransomware-Variante hat am Dienstag zahlreiche Rechner in Russland und der Ukraine verschlüsselt. Neben dem Schwerpunkt in den beiden genannten Ländern sollen allerdings auch die Türkei und Bulgarien betroffen sein. Es handelt sich nach Angaben der Sicherheitsfirma Eset um eine Variante der Ransomware Diskcoder.D.
Die Ransomware wird über einen Drive-by-Download auf einer Webseite verteilt, Nutzer müssen also die heruntergeladene Datei selbst installieren. Nach Angaben von Kaspersky handelt es sich um einen angeblichen Adobe-Flash-Installer. Der Download der Installer soll auf verschiedenen Nachrichtenwebseiten stattgefunden haben, Kaspersky gibt den Link des Droppers mit hxxp://1dnscontrol[.]com/flash_install.php an.
Exploits werden nach derzeitigem Kenntnisstand also nicht genutzt, um die Malware zu verteilen - anders als zum Beispeil Wanna Cry oder Notpetya, die über Schwachstellen in Windows (Eternalblue) und einer Finanzsoftware (Medoc) verteilt wurden.
Gezielter Angriff auf Unternehmensnetzwerke
Kaspersky geht von einem gezielten Angriff auf Firmennetzwerke aus. Bis gestern Abend soll es rund 200 Opfer gegeben haben, die die Ransomware installiert haben. Betroffen waren unter anderem die russische Nachrichtenagentur Interfax, die Metro der ukrainischen Hauptstadt Kiew und der Flughafen von Odessa. Interfax konnte zwischenzeitlich keine Nachrichten an Kunden mehr zustellen. Das geforderte Lösegeld beträgt 0,05 Bitcoin, derzeit etwa 230 Euro, das Zahlungsziel wird mit 40 Stunden angegeben.
Administratoren können die Ausführung der Dateien c:\windows\infpub.dat und c:\windows\cscc.dat blockieren, diese starten nach derzeitigem Stand die Verschlüsselung des Rechners. Eine neue Version der Malware könnte natürlich andere Dateinamen verwenden.
auch gut, nur führe ich es ja trotzdem nicht ohne sandbox aus. das heisst die malware...
@jeegeek: Natürlich hast du damit recht, dass Layer 8 Fehlerquelle Nummer 1 ist und ein...
AAAHH!!! Hört bitte, bitte auf dieses noexec bzw. x-Flag als die "göttliche, allmächtige...
...über Kaspersky ;)