Ransomweb Ransomware
Trotz ihres Namens gibt die Ransomweb Ransomware nur vor, Ransomware zu sein. Zunächst scheint es dem typischen Verhalten dieses Malware-Bedrohungstyps zu folgen - es wurde beobachtet, dass die Website eines Opfers infiziert, die Dateien dort verschlüsselt, die ursprünglichen Dateinamen mit der eigenen Dateierweiterung ".xploiter" angehängt und ein Lösegeldschein generiert wurden. Ein Blick auf den von den Cyberkriminellen hinterlassenen Text zeigt, dass etwas nicht stimmt. Es gibt keine Kommunikationskanäle wie E-Mails, über die die betroffenen Benutzer die Kriminellen kontaktieren können, um Einzelheiten zu erfahren. In der Notiz wird nicht einmal die Zahlung von Lösegeld erwähnt - das Hauptziel jeder Ransomware-Operation. Stattdessen scheinen die Hacker, die für die Ransomweb-Ransomware verantwortlich sind, unmittelbar nach dem Chaos zu sein, dass alle betroffenen Dateien nur wiederhergestellt werden können, wenn das Opfer über ein geeignetes Backup verfügt.
Die atypische Nachricht veranlasste die Infosec-Forscher von Sucuri Labs, sich etwas eingehender mit dem Code und der Funktionalität der Bedrohung zu befassen. Sie fanden eine PHP-Datei mit dem Namen 'openss.php', die verschleiert und daher im gegenwärtigen Zustand nicht lesbar war. Nachdem es den Forschern gelungen war, die Datei erfolgreich zu deobfuscieren und aus dem ursprünglichen indonesischen Text ins Englische zu übersetzen, entdeckten sie eine Unlocker-Datei. In seinem Code enthielt er die Methode zum Wiederherstellen aller von der Ransomweb Ransomware gesperrten Dateien, da sie, wie sich herausstellte, nur verschlüsselt zu sein schienen, obwohl die Dateien tatsächlich verschleiert waren. Letztendlich liefern beide Prozesse das Ergebnis, dass auf die betroffenen Dateien nicht zugegriffen werden kann und sie nicht verwendet werden können. Die Verschleierung ist jedoch durchaus möglich, während das Knacken einer möglichen Verschlüsselung mit den erforderlichen Entschlüsselungsschlüsseln nahezu unmöglich ist. Die fragliche Verschleierung, die für alle gesperrten .xploiter- Dateien verwendet wird, heißt gzdeflate, und um sie umzukehren und die gegenüberliegenden Daten wiederherzustellen, muss gzinflate verwendet werden.
Trotz ihres Namens gibt die Ransomweb Ransomware nur vor, Ransomware zu sein. Zunächst scheint es dem typischen Verhalten dieses Malware-Bedrohungstyps zu folgen - es wurde beobachtet, dass die Website eines Opfers infiziert, die Dateien dort verschlüsselt, die ursprünglichen Dateinamen mit der eigenen Dateierweiterung ".xploiter" angehängt und ein Lösegeldschein generiert wurden. Ein Blick auf den von den Cyberkriminellen hinterlassenen Text zeigt, dass etwas nicht stimmt. Es gibt keine Kommunikationskanäle wie E-Mails, über die die betroffenen Benutzer die Kriminellen kontaktieren können, um Einzelheiten zu erfahren. In der Notiz wird nicht einmal die Zahlung von Lösegeld erwähnt - das Hauptziel jeder Ransomware-Operation. Stattdessen scheinen die Hacker, die für die Ransomweb-Ransomware verantwortlich sind, unmittelbar nach dem Chaos hinterher zu sein, das entsteht durch die Behauptung dass alle betroffenen Dateien nur wiederhergestellt werden können, wenn das Opfer über ein geeignetes Backup verfügt.
Es gibt jedoch noch eine letzte Hürde: Bevor der Deobfuscationsprozess eingeleitet werden kann, muss ein Kennwort angegeben werden. Der Zugriff auf die Unlocker-Datei selbst ermöglicht es jedoch, sie so zu optimieren, dass die Kennwortprüfung vollständig entfernt oder das Kennwort selbst in etwas geändert wird, das der Benutzer bereits kennt.
