22.08.2017 | Bochum, Autor: Ralf Benzmüller

Grüße aus der Ransomware-Szene

Die Analyse von Malware ist mühsam. Aber manchmal erlebt man Überraschungen.

Es gibt eine aktive Gruppe von internationalen Malware-Forschern, die sich auf Ransomware spezialisiert hat, zu der auch G DATA Malware Researcher Karsten Hahn gehört. Jetzt ist eine Datei aufgetaucht, die ihm gewidmet ist.

Bei der Analyse und Erforschung von Malware gibt es eine rege internationale Zusammenarbeit. Letztlich geht es darum, Malware im allgemeinen und Ransomware im Besonderen zu bekämpfen. Zwei dieser Forscher namens Elise und MalwareHunterTeam haben bei VirusTotal einige Samples entdeckt, die auf dem Source-Code der HiddenTear-Ransomware basieren. Es wird von den Autoren auch keineswegs verschleiert, dass es sich um gefährliche Schad-Software handelt. Im Gegenteil: Im Kommentarfeld der Dateieigenschaften wird die Datei als "Very very dangerous ransomware" beschrieben. 

Eins der Samples heißt "KarstenHahnRansomware.exe". Für Außenstehende könnte das so aussehen, als wäre Karsten Hahn der Autor der Ransomware. Das ist aber definitiv nicht der Fall. Karsten Hahn ist G DATAs aktives Mitglied in der internationalen Ransomware-Analyse-Community. Die Datei nach ihm zu benennen, ist allenfalls ein Versuch Anti-Malware-Researcher in ein schlechtes Licht zu rücken. 

Ein genauerer Blick auf die Datei offenbart, dass der schädliche Code, der darin enthalten ist überhaupt nicht aufgerufen und ausgeführt wird. Die Datei ist völlig harmlos und richtet keinerlei Schaden am System an. Mit der Datei soll einzig und allein Aufmerksamkeit erregt werden. Wenn man die Datei ausführt, öffnet sich ein grob verändertes Bild aus  Karsten Hahns Twitter Account. Es gibt einen Button zum Schließen des Fensters und eine Nachricht: "Hello how are you ? :)"

Es ist nicht das erste Mal, dass Malware-Forscher in Ransomware-Dateien erwähnt werden. Auch Fabian Wosar von Emsisoft und MalwareHunterTeam wurden bereits von Ransomware in den Vordergrund gestellt. Bei Ihnen sind Opfer davon ausgegangen, dass es sich bei den Forschern um die Urheber der Ransomware handelt. Man kann also diese ungewöhnliche Art der Kontaktaufnahme durch Ransomware-Autoren auch leicht falsch verstehen. 

Wenn man den Source-Code weiter untersucht, entdeckt man einen persönlichen Gruß an Karsten. Eine der Klassen, die zur Verschlüsselung dienen wurde umbenannt in "JustForYouBbayKarstenMyBoyFriend".

 

Wir erkennen die Datei als "MSIL.Trojan-Ransom.Cryptear.KH". Die Ransomware-Familie ist zwar groß. Aber die Version heißt nicht zufällig ".KH".
Karsten Hahn erwidert den Gruß: "I am fine, thanks."

Technical detail for fellow researchers:
SHA256: 93a843d28f7e7b38579a6a410594d360a993f610c59437e742c9256c57de659d (MSIL.Trojan-Ransom.Cryptear.KH)


Share this article

G DATA | Trust in German Sicherheit