Einschätzung von Sicherheitsexperten: Spora könnte der neue Locky werden

Mit Spora ist aktuell eine Ransomware unterwegs, die in vielerlei Hinsicht neue Wege geht. Sie verbreitet sich über USB-Sticks und passt die Höhe des Lösegeldes nach Art und Zahl der verschlüsselten Dateien an.

(Foto: psdesign1 - Fotolia)

Mit unzähligen Verschlüsselungstrojanern versuchen Cyberkriminelle seit Monaten, arglose Anwender zu täuschen und deren Daten zu verschlüsseln, um anschließend ein Lösegeld zu erpressen. Bisweilen verlassen sie dabei die ausgetretenen Pfade und verändern die übliche Vorgehensweise – so wie jetzt bei Spora. Der Schädling setzt auf eine Verbreitung über USB-Speicher und verhält sich damit eher wie ein Wurm. Als solcher versteckt er alle Dateien und Ordner auf dem Desktop sowie in den Hauptverzeichnissen des Systemlaufwerks und von Speichermedien. Dort legt er anschließend gleichnamige Verknüpfungen an, bei denen er durch eine Änderung in der Registry das kleine Pfeilsymbol verschwinden lässt, das Verknüpfungen kennzeichnet. So sind diese nicht mehr als solche zu erkennen und haben dasselbe Erscheinungsbild wie die ursprünglichen Dateien und Ordner.

Klickt der Nutzer auf eine der Verknüpfungen wird das Ziel geöffnet – und der Wurm kopiert sich in alle Verzeichnisse und startet die Verschlüsselung ausgewählter Dateitypen, darunter Office-Dokumente, Bilder und Archive. Er verzichtet auf das Nachladen von Schlüsseln von einem Command and Control-Server und setzt auch nicht einfach ein fixes Lösegeld fest, sondern kalkuliert dieses dynamisch nach Art und Anzahl der verschlüsselten Dateien. Diese Raffinesse könne Spora glatt zum neuen Locky machen, urteilen die Sicherheitsexperten von G Data. Zudem wartet der Schädling mit professionell gestaltetem Erpresserschreiben und zugehöriger Website auf und unterscheide sich damit von vielen Konkurrenten, bei denen die Websites eher schlecht gemacht seien.