Mamba chiffriert ganze Festplatten

In der Research-Abteilung von Sophos, den SophosLabs, ist man auf eine neue Ransomware gestossen, die besonders perfid ist, weil sie ganze Festplatten verschlüsselt, statt nur einzelne Dateien. Und es kommt noch schlimmer: Zeigen sich Betroffene sogar zahlungswillig ist es dennoch unwahrscheinlich, dass die Festplatte jemals wieder entschlüsselt werden kann. Doch immerhin gibt es auch eine gute Nachricht: Die Mamba genannte Ransomware ist bislang noch nicht in freier Wildbahn gesichtet worden. Dennoch ist Mamba interessant, denn ihre Schöpfer sind offenbar noch in der Test-Phase, auf der Suche nach etwas Neuem. Das Geschäftsmodell der Cyber-Kriminellen kann zum heutigen Zeitpunkt noch nicht genau erklärt werden.

Es gibt bereits eine Ransomware, die ähnlich arbeitet, genannt Petya. Sie verschlüsselt den Master-Index der Festplatte (auch Master File Table oder MFT genannt) und informiert die Verbraucher über einen Boot-Bildschirm im 1990er Jahre-Look darüber, wie sie sich aus ihrer misslichen Lage herauskaufen können. Rebooting? Fehlanzeige. Petya belässt zwar den Grossteil der Rohdaten unverschlüsselt auf Sektorebene – allerdings ausser Reichweite. Mamba geht einen Schritt weiter: sie kriecht in jeden Sektor der Festplatte inklusive MFT, Betriebssystem, Anwendungen, freigegebenen und persönlichen Daten. Dabei kommt Mamba mit sehr geringem Programmieraufwand aus: die Malware installiert und aktiviert eine Kopie der Open-Source-Software DiskCryptor. Nächste Seite: Wie Mamba infiziert

Mamba gelangt über Mails mit Dateianhängen auf den Rechner. Wird eine infizierte Datei versehentlich geöffnet, passiert zuerst nicht viel: Mamba fragt, ob eine App eines unbekannten Entwicklers installiert werden darf. Nach einer Weile rebootet der Rechner. Vor dem Neustart installiert sich Mamba heimlich als Windows-Dienst mit dem Namen «Defragmentation Service», ausgestattet mit lokalen Systemprivilegien. Malware, die als LocalSystem-Dienst ausgeführt wird, ist auch ohne Anmeldung aktiv, läuft unsichtbar vom Windows-Desktop und hat eine nahezu vollständige Kontrolle über den lokalen Computer. Nach dem Neustart installiert sich DiskCryptor im Hintergrund, zu finden im Verzeichnis C unter dem Namen «C:\DC22». Der nächste Reboot des Computers erfolgt nicht automatisch, so dass alle Dateien noch verfügbar sind, das DiskCryptor Protokoll enthält sogar das Passwort im Klartext. Anwender könnten die Option Decrypt im DCRYPT Dienstprogramm nutzen, um die Verschlüsselung mit Hilfe des Passworts rückgängig zu machen. Dies natürlich nur, wenn die Hintergrundverschlüsselung überhaupt bemerkt wurde. Wenn nicht, kommt die böse Überraschung samt Zahlungsaufforderung nach dem nächsten Reboot. Es könne aber auch sein, dass keine Zahlungsaufforderung erscheine, und das System sich einfach verabschiede. Sascha Pfeiffer von Sophos hat deshalb derzeit keine ermutigende Nachricht für potenzielle Opfer: «Womöglich müssen sich Betroffene mit dem Verlust der Daten abfinden und eine Neuinstallation vornehmen. Es gibt noch keine gesicherten Erkenntnisse dazu, wie die Gauner mit dem Erpressungsvorgang umgehen und ob die Daten wieder freigegeben werden.»