Sieht man sich altbekannte Größen aus der Ransomware-Szene an, merkt man deutlich, dass in einer gut gemachten Ransomware eine Menge Arbeit und Qualitätssicherung steckt. Diese aufwändig entwickelten Programme erschweren teilweise eine Analyse aktiv, indem sie Analysten auf eine falsche Fährte locken oder in eine Sackgasse nach der anderen führen.
Man kann im Falle der vorliegenden Ransomware „Crpyt888“ sogar darüber streiten, ob es sich hier überhaupt um eine Ransomware im klassischen Sinne handelt - denn der Täter verlangt kein Geld für die Entschlüsselung der Daten.
Abonnenten gesucht
Nicht nur YouTube-Größen wie Gronkh sind stets darum bemüht, so viele Abonnenten wie möglich auf ihrem Kanal zu haben. Auf den Gedanken, zur Steigerung der Abonnentenzahl eine Ransomware zu nutzen, sind allerdings bisher nur wenige gekommen.
Mit Hilfe der Skripting-Suite „AutoIT“ hat hier jemand eine Ransomware erstellt, die sehr wahrscheinlich genau dies erreichen will. Wird ein Rechner infiziert, bekommt der Nutzer – vermutlich - die Anweisung, einen bestimmten Youtube-Kanal zu abonnieren. Als Beweis solle er eine Bildschirmaufnahme erstellen und an eine Mailadresse senden.
Setzen, sechs!
Die Anweisungen, die die meisten Ransomware-Varianten ihren Opfern geben, sind sehr klar und einfach verständlich formuliert – nicht so im Falle von Crypt888. Zum einen sind die Anweisungen so gestaltet, dass sie nur teilweise auf dem Bildschirm zu sehen sind. Und selbst wenn man sie komplett lesen könnte, wäre nicht sofort klar, was der Autor uns hiermit sagen möchte.
Sucht man im Netz nach einem der Begriffe aus der Meldung, findet man den besagten Youtube-Kanal. Welches Ziel der/die Macher von Crpyt888 auch verfolgen - sagen wir einfach: Erfolgreiche Ransomware geht anders.
Auch die Verschlüsselung der Dateien ist mehr als schlampig umgesetzt und kann sehr leicht aufgehoben werden. Nach Einschätzung unseres Analysten kann die Entwicklung von Crypt888 nicht länger als ein paar Stunden gedauert haben – wenn überhaupt.
Weitere Informationen
Wer mehr über diese kuriose Ransomware erfahren möchte, kann dies im vollständigen Analyse-Report nachlesen. Klicken Sie hierzu auf die Vorschau. Der Report öffnet sich dann in einem neuen Fenster (Analyse in englischer Sprache).