Wenn böse Hacker gelangweilt sind, hören sie erst auf, wenn sie neue Wege finden, um Schaden anzurichten und Geld mit dem Rücken ihrer Opfer zu verdienen. Eine neue Bedrohung macht den Internetnutzern Angst und es handelt sich um eine Ransomware-Variante mit dem Namen "CryPy", die in der Sprache Python geschrieben wurde. Im Gegensatz zu anderer Malware wird jeder Datei, die auf dem System des Opfers verschlüsselt ist, ein eindeutiger Schlüssel zugewiesen, der nur sehr schwer zu entschlüsseln ist.

Wir wurden von dem AVG-Forscher Jakub Kroustek vor der Existenz von CryPy gewarnt, der auf seinem Twitter-Account veröffentlichte, dass diese Ransomware in freier Wildbahn entdeckt wurde. Es scheint, dass CryPy aus zwei Dateien besteht: boot_common.py, das für die Fehlerprotokollierung unter Windows verwendet wird, und encryptor.py, das das Schließfach ist und eine Reihe von Funktionen enthält. Es scheint, dass es in Israel einen Webserver gibt, der durch eine Sicherheitslücke in einem Content Management (Magento) kompromittiert wurde, und Hacker verwendeten den Server für Phishing-Angriffe.

Es wird vermutet, dass hinter diesen Angriffen einige hebräischsprachige Entwickler stecken, die Paypal-Anmeldeinformationen stehlen und diese dann an einen Remoteserver in Mexiko weiterleiten konnten, der unterschiedliche Inhaltsverwaltungstechniken, jedoch die gleiche Datei-Upload-Technik enthält. Sobald CryPy ein System infiziert, werden Funktionen deaktiviert, mit denen Malware normalerweise beendet wird, z. B. Registrierungs-Tools, Task-Manager, CMD und Ausführen. Danach verschlüsselt es Dateien und weist jeder verschlüsselten Datei einen eindeutigen Schlüssel zu. Dann erhalten die Opfer einen Lösegeldschein, in dem steht:

„Alle Ihre Dateien sind mit starken Chipherstellern verschlüsselt. Das Entschlüsseln Ihrer Dateien ist nur mit dem Entschlüsselungsprogramm möglich, das sich auf unserem geheimen Server befindet. Beachten Sie, dass alle 6 Stunden eine zufällige Datei dauerhaft gelöscht wird. Je schneller Sie sind, desto weniger Dateien verlieren Sie. Außerdem wird der Schlüssel in 96 Stunden endgültig gelöscht und es gibt keine Möglichkeit, Ihre Dateien wiederherzustellen. Wenden Sie sich an eine der folgenden E-Mails, um Ihr Entschlüsselungsprogramm zu erhalten: 1. m4n14k @ sigaintorg 2. blackone @ sigaintorg. Teilen Sie uns einfach Ihren Ausweis mit und wir geben Ihnen die nächste Anweisung. Ihre persönliche Identifikationsnummer: ”

Es ist noch nicht bekannt, ob die Ransomware Opfer gebracht hat, aber es ist wichtig, leistungsstarke Anti-Ransomware-Software zu installieren, um diese Angriffe zu vermeiden.