Ransomware Goldeneye

ransomware1

Wie alle möglichen Nachrichtenportale berichten, ist eine neue wirklich tückische Ransomware unterwegs. Mittlerweile wird der Virus zumindest von AntiVir erkannt und sofort geblockt:

Auf einem Windows Server 2008 R2 (Terminalserver) verschlüsselt der Virus alle möglichen Dateien, auch von verbundenen Netzlaufwerken, auf die der Benutzer, in dessen Kontext die Excel-Datei ausgeführt wurde, Zugriff hat. Dabei verpasst er ihnen die Endung snYvMnrK, welche aber wohl wie Heise berichtet variiert.

In den betroffenen Laufwerken findet man danach noch folgende Textdatei:

ransomware6

ransomware2

Wenn man sich den Virus bzw. die zugrunde liegende Excel-Datei genauer ansehen will, sollte man sich eine virtuelle Maschine als Sandbox aufsetzen:

Der VBA-Code sieht auf den ersten Blick recht kryptisch aus. Im Prinzip besteht der Code aus einem Haufen Funktionen, die viele Strings anlegen und miteinenander verketten:

ransomware3

Im Sub, welches beim Öffnen der Excel-Mappe automatisch ausgeführt wird, werden die ganzen Strings aus den Funktionen in einer bestimmten Reihenfolge miteinander verkettet und dann in eine oder mehrere EXE-Dateien geschrieben:

ransomware4

Wenn man den Inhalt der Variable L6 z.B. mit MsgBox ausgibt, erkennt man, dass dort Programmcode zusammengebaut wird (Base64-Codierung):

ransomware5

Wenn man die Char-Angaben ausgeben lässt, die bei CreateObject und der gewählten Sprache verkettet werden, wird daraus MSScriptControl.ScriptControl und JScript. Vermutlich wurde durch dieses ganze Durcheinander an Verkettungen und der anscheinend willkürlichen Reihenfolge der einzelnen Strings der Virenscanner umgangen.

 

Erste Infos die ich zu den gefaketen Bewerbungen fand ich hier:
http://www.onlinewarnungen.de/warnungsticker/viruswarnung-bewerbung-von-rolf-drescher-enthaelt-malware/

Kurz darauf stieß ich auf den Heise-Artikel:
https://www.heise.de/newsticker/meldung/Goldeneye-Ransomware-greift-gezielt-Personalabteilungen-an-3562281.html

Schreibe einen Kommentar