Achtung, Ransomware: CryptoLocker-Nachahmer PClock entdeckt


CryptoLocker zählt zu den berüchtigsten Ransomware-Funden aus den Jahren 2013 und 2014. Obwohl die zugrundeliegende CryptoLocker Malware-Familie im letzten Jahr sprichwörtlich zerlegt wurde, jagt der Name auch jetzt noch vielen Benutzern und Administratoren einen ordentlichen Schrecken ein.

Es ist eigentlich nicht verwunderlich, dass sich andere Malware-Autoren ein Stückchen vom Kuchen abschneiden möchten und ebenfalls ihr Glück mit Weiterentwicklungen und Kopien versuchen.

 

Einer der neuesten Nachahmer, der kürzlich auf sich aufmerksam machte, nennt sich PClock. Im Gegensatz zu seinem Vorbild Cryptolocker, der nahezu raffiniert und sehr komplex aufgebaut war, zeigt sich PClock überraschend primitiv.

72 Stunden, um USD$300 Erpressergeld zu bezahlen

Wie es bei Dateiverschlüsselungs-Ransomware (auch Crypto-Malware genannt) üblich ist, zielt PClock auf die Verschlüsselung wichtiger Dateien auf dem infizierten System ab, für die dann eine hübsche Summe Geld erpresst werden kann. Das Opfer hat lediglich 72 Stunden Zeit,  die geforderte Summe in Form eines Bitcoins (im Wert von ca. USD $300) zu überweisen. Andernfalls würde der zur Wiederherstellung der Daten nötige Schlüssel zerstört. Theoretisch.

 

^F484B8B773DF2857BE46FFE49E9230AB939DBE26ADBFCE98A7^pimgpsh_fullsize_distr

Sollte das Opfer nicht rechtzeitig zahlen, wird ihm eine Nachfrist gesetzt. Die Datei  last_chance.txt wird angezeigt, mit der Aufforderung, die Malware nochmals auf den Computer herunter zu laden, um weitere 3 Tage Zeit für die Überweisung zu erhalten. Tatsächlich passiert hier gar nichts und der Countdown ist reine Panik-Mache, denn PClock zerstört die Schlüssel gar nicht.

So infiziert PClock ein neues System

Zum Zeitpunkt der Veröffentlichung dieses Artikels ist noch nicht eindeutig klar, wie sich das in Visual Basic 6 verfasste Schadprogramm PClock auf dem System eines Benutzers Zutritt verschafft. Sobald dies allerdings geschehen ist, wird eine automatische Kopie der Ransomware im Ordner Anwendungsdaten des Benutzers im Unterordner  „WinCL“ als Datei „WinCL.exe“ abgelegt. Außerdem sorgt ein Eintrag in der Registrierungsdatei für entsprechende Beharrlichkeit der Infektion: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run zeigt sodann auf die soeben erstellte WinCL.exe Datei.

Die Verschlüsselung betrifft dann alle Daten des Benutzers mit folgenden Dateiendungen:

*.3fr, *.accdb, *.ai, *.arw, *.bay, *.cdr, *.cer, *.cr2, *.crt, *.crw, *.h, *.dbf, *.dcr, *.der, *.dng, *.doc, *.docm, *.docx, *.dwg, *.dxf, *.dxg, *.eps, *.erf, *.indd, *.jpe, *.jpg, *.kdc, *.mdb, *.mdf, *.mef, *.mrw, *.nef, *.nrw, *.odb, *.odm, *.odp, *.ods, *.odt, *.orf, *.p12, *.p7b, *.p7c, *.pdd, *.pef, *.pem, *.pfx, *.ppt, *.pptm, *.pptx, *.psd, *.pst, *.ptx, *.r3d, *.raf, *.raw, *.rtf, *.rw2, *.rwl, *.srf, *.srw, *.wb2, *.wpd, *.wps, *.xlk, *.xls, *.xlsb, *.xlsm, *.xlsx

Jeder Verschlüsselungsversuch einer Datei wird sorgfältig in einer Liste im Profil des Opfers als Textdatei „enc_files.txt“ dokumentiert und nach erfolgreicher Verschlüsselung versucht die Malware vorhandene Vorgängerversionen der zugehörigen Datei zu löschen. Vorgängerversionen werden von Windows dazu eingesetzt, mit dem Feature „vorherige Version“ ebendiese Version der Datei wiederherzustellen. Früher konnten viele Opfer aufgrund dessen ihre verschlüsselten Daten selbst retten, ohne den Erpressern Folge leisten zu müssen. Heutzutage haben viele Ransomware-Familien diese „Sicherheitslücke“ geschlossen und entsorgen vorhandene, bis dahin automatisch erstellte Vorgängerversionen. Zu guter Letzt platziert PClock eine Verknüpfung am Desktop des Opfers und ändert den Bildschirmhintergrund auf folgendes Bild:

wallpaper

Während Infektion und Verschlüsselung vonstatten gehen, versucht die Ransomware ein Protokoll über den Server des Malware-Autors zu schicken. Dies sieht in etwas so aus:

P04552 8:08:02 AM Files encrypted
P04552 8:08:02 AM STATE: CRYPTED_OK
P04552 8:08:02 AM Delete shadows
P04552 8:08:04 AM Shadows: no ADMIN
P04552 8:11:06 AM Shadows deleted
P04552 8:11:06 AM STATE: SHADOWS_OK
P04552 8:11:06 AM Prepare
P04552 8:11:08 AM Saved BTC price – 330
P04552 8:11:11 AM Shortcut created
P04552 8:11:12 AM STATE: PREPARE_OK
P04552 8:11:12 AM Change wallpaper
P04552 8:11:13 AM Wallpaper changed

 

 

PClock: große Show, aber wenig dahinter

Wie auch der Countdown zur Lösegeldforderung, ist auch die Erpressermeldung am Bildschirmhintergrund weit her geholt. Wenngleich die Malware auf den ersten Blick sehr professionell wirkt, wird schnell klar, dass es sich dabei nur um einen amateurhaften Versuch handelt. Der eingesetzte Verschlüsselungsalgorithmus beispielsweise ist lediglich eine einfache XOR-Operation, welche einen konstanten Schlüssel auf sämtlichen Systemen einsetzt.

Zum Glück. Denn dadurch war es uns möglich, einen passenden Decrypter zu entwickeln und den Opfern zur Verfügung zu stellen (mehr dazu weiter unten in diesem Artikel). Ebenfalls klare Anzeichen für geringe Professionalität, waren  mehrere gravierenden Fehler in der Programmierung, die zu Datenverlust auf dem System des Opfers führen könnten. Trifft PClock beispielsweise auf eine besonders große Datei, die nicht zur Gänze in den Speicher passt, wird diese nicht verschlüsselt sondern einfach abgeschnitten. Die resultierende 0 Byte große Datei beinhaltet dann leider weder den originalen noch den verschlüsselten Inhalt und kann tatsächlich nur noch durch entsprechende Datenrettungs-Tools (versuchsweise) wieder hergestellt werden.

So können Sie Ihre Daten wieder entschlüsseln

Wie bereits erwähnt, ist die zugrundeliegende Verschlüsselung sehr schwach und leicht umkehrbar. Wir haben Ihnen also für den Fall des Falles ein kleines Decrypter-Programm geschrieben, mithilfe dessen Sie Ihre Daten (sofern sie nicht, wie oben beschrieben, als Kollateralschaden zu deklarieren sind) selbst wieder entschlüsseln können, ohne PClock ein Lösegeld zahlen zu müssen.

Sie können unseren Decrypter hier herunterladen:  http://emsi.at/DecryptPClock

^F254945C1D47C5B6AD5EA4A9008FFD763FF5A536B9741BE0D4^pimgpsh_fullsize_distr

^3FACE4A13E8DAD75E8747860F17ACCFC831B6E2D922847791E^pimgpsh_fullsize_distr

Das Decrypter-Programm lädt beim Start automatisch die vorhandene Liste der verschlüsselten Dateien, und bestimmt welche Dateien auf dem System des Opfers entschlüsselt werden müssen. Bevor Sie allerdings auf den „Decrypt“-Button drücken und loslegen können, wollten wir auf Nummer Sicher gehen und lassen Backups der verschlüsselten Dateien anlegen (auch wenn dies den belegten Speicherplatz auf Ihrer Festplatte verdoppelt). Sollten Sie nicht über ausreichend Speicherplatz verfügen, können Sie diese auch in den Einstellungen des Decrypters deaktivieren. Besser wäre es allerdings, wenn Sie stattdessen den Decrypter nicht auf die ganze Festplatte sondern zunächst nur einen kleineren Teil anwenden und kontrollieren, ob die Entschlüsselung einwandfrei funktioniert.

Sollten Sie sich mit der Wiederherstellung Ihrer Dateien nicht selbst auseinandersetzen wollen oder unwohl bei der Sache fühlen, erstellen Sie bitte eine  Supportanfrage in unserem Forum oder senden Sie uns eine E-Mail.

UPDATE 2015-01-06, 20 Uhr UTC: Es wurde eine aktualisierte Version von PClock gesichtet, für die unser Decrypter aktuell noch nicht funktioniert. Wir arbeiten an einem Update. Zwischenzeitlich können Sie auch in diesem Forum bei Bleepingcomputer (auf Englisch) weitere Informationen zum Thema erhalten.

UPDATE 2015-01-09: Die schlechte Nachricht: Die Malware-Autoren haben zwei weitere Versionen von PClock in Umlauf gebracht. Die gute Nachricht: unser Decrypter ist bereit und funktioniert für beide Varianten. Wir haben die Version 2 des Emsisoft Decrypter-Programms  hier für Sie zum Download bereitgestellt. Lesen Sie bitte unbedingt die Annleitung auf Seite 8 im Bleepingcomputer-Forum genau durch.

Fabian (Emsisoft) entwickelte die Decrpyter-Programme, um Opfern von Ransomware aus der Patsche zu helfen, in seiner Freizeit. Helfen auch Sie, indem Sie diesen Artikel weiter verbreiten und wir damit mehr PClock Opfer im Internet erreichen können.

Wir wünschen einen guten (Lösegeld-freien) Tag!

Senan Conrad

Weitere Artikel