Princess: Ransomware verteilt sich über infizierte Webseiten
Die Ransomware Princess gelangt über verseuchte Webseiten auf den PC und verschlüsselt danach alle Dateien. Mit Bitcoins soll man sich daraufhin freikaufen.
Die Ransomware Princess, oder auch PrincessLocker, ist bereits seit letztem Jahr bekannt. Wie die Seite Malwarebytes aktuell berichtet, wird der Erpressugns-Trojaner nun mit dem RIG Exploit Kit über infizierte Webseiten ausgeliefert.
Wie kann man sich mit Princes infizieren?
Als Nutzer merkt man zuerst nichts, wenn man auf eine von Princess infizierte Webseite gelangt. Das Tückische an dem Schädling ist, dass man nicht auf etwas klicken muss, um sich mit der Ransomware zu infizieren. Denn im Hintergrund klopft das RIG Exploit Kit den Internet Explorer und Flash Player auf bekannte Schwachstellen ab. Ist ein Sicherheitsleck gefunden, wird die Princess Malware heruntergeladen.
Alle Dateien auf dem Rechner werden dann durch die Malware verschlüsselt. Dabei wird jeder Datei eine zufällig gewählte Erweiterung des Dateityps verpasst. Der Betroffene bekommt nun eine Meldung über den Browser mit der URL "_USE_TO_REPAIR_[a-zA-Z0-9].html".
Hier wird ihm eine Identifikationsnummer zugewiesen und die Dateierweiterung angezeigt. Links führen zu einer Webseite, auf der man sich von der Mallware freikaufen können soll (siehe Bild oben). Dazu verlangen die Angreifer 0,0770 Bitcoins, was aktuell 298 Euro entspricht, um eine Entschlüsselungs-Software herunter laden zu können. Zahlt man nach Ablauf einer bestimmten Zeitspanne nicht, erhöht sich der Preis auf umgerechnet 596 Euro.
Um es nicht so weit kommen zu lassen, sollten alle Plugins wie Flash Player, Java oder Silverlight sowie der Browser auf dem aktuellsten Stand gehalten werden.
6.9.2017 von Lennart Holtkemper
Quelle: Princess: Ransomware verteilt sich über infizierte Webseiten - PC Magazin