Sicherheitsforscher von Netskope haben eine neue Variante der Ransomware Virlock entdeckt, die sich auch über Cloud-Storage und Collaborations-Anwendungen verbreitet. Vor allem in Unternehmen könnte so ein infizierter Nutzer ungewollt die Erpressungssoftware im gesamten Netzwerk verteilen. Die Forscher sprechen in dem Zusammenhang von einem Ausfächerungseffekt.

Typischerweise gelange Virlock über einen USB-Stick oder eine externe Netzwerkfreigabe auf einen Rechner, heißt es in einem Blogeintrag des Sicherheitsanbieters. Die Malware generiere drei ausführbare Dateien, von denen zwei die Aufgabe hätten, andere Dateien zu infizierten. Zudem nimmt Virlock Anpassungen an der Registry vor, um eine manuelle Entfernung der Schadsoftware zu verhindern.

Von Virlock verschlüsselte und infizierte Dateien erhalten automatisch die Dateiendung „exe“. Erst danach blendet es seine Lösegeldforderung ein, die dem Nutzer im Namen von FBI und US-Justizministerium den Einsatz von raubkopierter Software vorwirft.

Neu ist nun, dass Virlock auch Nutzer infizieren kann, die gemeinsam an in der Cloud gespeicherten Dateien arbeiten. Als Beispiel nennt Netskope zwei Anwender, die Zugriff auf einen gemeinsamen Ordner eines Cloudspeichers haben, dessen Inhalt automatisch mit ihren Rechnern synchronisiert wird. Hat nun einer der Anwender Kontakt mit Virlock, werden seine lokalen Dateien infiziert und anschließend mit der Cloud synchronisiert. Klickt ein andere Anwender schließlich eine Datei in dem Ordner an, wird Virlock unter Umständen auch auf seinem System ausgeführt.

Das Lösegeld, das Virlock für die Freigabe der Dateien verlangt, beträgt 250 Dollar in Bitcoins.

(Quelle: ZDNet)

Schutz gegen Ransomware bietet Sophos Cloud Antivirus und Sophos UTM.