Mit dem Erpressungstrojaner Exorcist 2.0 verschlüsseln Betrüger Dateien auf dem eigenen System – und geben diese nur gegen ein Lösegeld wieder frei. Wie "Bleeping Computer" berichtet, setzen sie dabei aktuell auf Webseiten, die Raubkopien für Software anbieten. Dafür werden irreführende Werbeanzeigen genutzt, die auf Webseiten führen, die die Schadsoftware verbreiten. Beispielsweise wird ein "Aktivierungsprogramm" für das Betriebssystem Windows 10 beworben.

Downloadet man dieses, finden sich eine passwortgeschützte Zip-Datei und das zugehörige Kennwort in einem Textdokument. Der Sinn dahinter: Auf diese Weise umgehen die Angreifer Googles Safe Browsing, Microsofts Smart Screen und mögliche andere Sicherheitsprogramme, die ansonsten den Trojaner erkennen würden.

Tor-Bezahlseite

Nach der Entpackung installieren Nutzer über das Setup allerdings kein Aktivierungsprogramm – stattdessen werden sämtliche Dateien auf dem Gerät verschlüsselt. In den Ordnern finden sich Notizen, die zu einer Tor-Bezahlseite führen, die Opfer darüber informiert, wie sie das Lösegeld zahlen können. Weiters können sie eine kleine Datei kostenlos entschlüsseln, mit den Angreifern in Kontakt treten und erfahren, wie viel von ihnen verlangt wird. Die Lösegelder variieren enorm – so verlangen die Betrüger manchmal "nur" 250 US-Dollar, in anderen Fällen sogar 10.000 Dollar.

Die aktuell am weitesten verbreitete Ransomware heißt Stop und wurde ebenso vor allem durch gefälschte Pirateriesoftware heruntergeladen. Ähnlich dürfte es in Zukunft somit bei Exorcist 2.0 aussehen. (red, 30.9.2020)