Zerolocker: Cryptolocker-Nachfolger will 1.000 Dollar

[Christoph]

Zitat:

Zerolocker, ein neuer Verschlüsselungs-Trojaner im Stile von Cryptolocker macht die Runde, das melden unter anderem Kaspersky und Panda. Das Prinzip ist gleich, der Trojaner befällt ein Windows-System, verschlüsselt die Festplatte und sperrt den Zugriff. Gegen eine Lösegeldzahlung, im Falle von Zerolocker werden 300 US-Dollar gefordert, sollen die Daten wieder entschlüsselt werden. Zögert man mit der Bezahlung, erhöht sich der geforderte Betrag schrittweise bis auf 1.000 US-Dollar.

So arbeitet Zerolocker

Zerolocker wird von den Antivirus-Experten als Trj/Crypdef.A (Panda) oder Trojan-Ransom.MSIL.Agent.uh (Kaspersky) erkannt. Er legt in der Registry unter "HKLM\SOFTWARE\Microsoft" den Wert "ESENT\Process\(file name)\DEBUG" an, außerdem den Ordner "C:\ZeroLocker" in den sich der Trojaner unter dem Namen "ZeroRescue.exe" selbst kopiert. Unter "HKCU\Software\Microsoft" entsteht in "Windows\CurrentVersion\Run" ein weiterer Registry-Eintrag, der dafür sorgt, dass Zerolocker bei jedem Windows-Start ausgeführt wird.

Zerolocker verschlüsselt alles

Zerolocker kommt derzeit unter anderem als Fake-Update für Java auf Windows-PCs und arbeitet gründlich. Der Trojaner verschlüsselt fast alle Dateien auf der Festplatte mit 160 Bit AES; das macht Brute-Force-Angriffe auf die Verschlüsselung sehr aufwändig. Außen vor bleiben Files größer als 20 MByte sowie das Windows- und Programm-Verzeichnis. An jedem Dateinamen hängt dann die Endung ".encrypt". Nach dem Verschlüsseln entfernt Zerolocker sämtliche Dateireste und schickt den Verschlüsselungs-Key samt Checksumme und MAC-Adresse des Computers an den Command-Server. Ein Bitcoin-Wallet ist fest in Zerolocker einprogrammiert, trotzdem versucht der Trojaner von seinem Command-Server eine neue Wallet-Adresse zu ziehen.

Zerolocker: Auf keinen Fall bezahlen

..........

Quelle und ganzer Artikel: http://www.chip.de/news/Zerolocker-C..._72113302.html