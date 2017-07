Die neue Ransomware-Attacke, die derzeit um den Globus rollt, ist nicht, was sie zu sein vorgibt. Wie Kaspersky Lab in einem Blogbeitrag, der gestern veröffentlicht wurde, zusammenfasst, besteht für die Betroffenen keine Chance darauf, Daten auf infizierten Systemen wiederherzustellen. Die angehängte Lösegelderpressung ist demnach ein reines Ablenkungsmanöver. Die persönliche ID, die die Opfer den Erpressern zur Entschlüsselung gegen Lösegeld nennen sollen, sei “zufällig generierter Text” und ist zur Identifikation des Zielrechners somit wertlos, so die Sicherheitsforscher von Kaspersky.

Täter "nicht finanziell motiviert"

“Unsere Analyse deutet darauf hin, dass es keine Hoffnung für die Opfer gibt, ihre Daten wiederherzustellen”, schreibt der Antiviren-Anbieter in einer E-Mail. “Wir haben den High-Level-Code der Verschlüsselungsroutine untersucht und dabei herausgefunden, dass die Angreifer nach der Verschlüsselung die Festplatten der Opfer nicht wieder entschlüsseln können.” Ähnliche Ransomware verpacke die zur Entschlüsselung notwendigen Informationen in einer Installations-ID. Die aktuelle Ransomware, die von Kaspersky inzwischen als “Wiper” eingestuft wird, tue dies nicht.

Im Blogbeitrag schließt das Unternehmen daher darauf, dass die aktuelle Angriffswelle “nicht finanziell motiviert sein kann” und die Angreifer ausschließlich Zerstörung von Daten beabsichtigen. Die Verbreitung der Malware lief offenbar über ein Software-Update der ukrainischen Steuer-Software MeDoc, die nicht nur von Privatpersonen, sondern auch großen Konzernen verwendet wird. Laut heise.de ist es das erste Mal, dass ein derartiger Trojaner über ein Software-Update und nicht via Phishing-Mails oder Exploits verbreitet wird./nf

