Princess: Ransomware verteilt sich über infizierte Webseiten

Die Ransomware Princess, oder auch PrincessLocker, ist bereits seit letztem Jahr bekannt. Wie die Seite Malwarebytes aktuell berichtet, wird der Erpressugns-Trojaner nun mit dem RIG Exploit Kit über infizierte Webseiten ausgeliefert. 

Wie kann man sich mit Princes infizieren?

Als Nutzer merkt man zuerst nichts, wenn man auf eine von Princess infizierte Webseite gelangt. Das Tückische an dem Schädling ist, dass man nicht auf etwas klicken muss, um sich mit der Ransomware zu infizieren. Denn im Hintergrund klopft das RIG Exploit Kit den Internet Explorer und Flash Player auf bekannte Schwachstellen ab. Ist ein Sicherheitsleck gefunden, wird die Princess Malware heruntergeladen. 

Alle Dateien auf dem Rechner werden dann durch die Malware verschlüsselt. Dabei wird jeder Datei eine zufällig gewählte Erweiterung des Dateityps verpasst. Der Betroffene bekommt nun eine Meldung über den Browser mit der URL "_USE_TO_REPAIR_[a-zA-Z0-9].html".

Hier wird ihm eine Identifikationsnummer zugewiesen und die Dateierweiterung angezeigt. Links führen zu einer Webseite, auf der man sich von der Mallware freikaufen können soll (siehe Bild oben). Dazu verlangen die Angreifer 0,0770 Bitcoins, was aktuell 298 Euro entspricht, um eine Entschlüsselungs-Software herunter laden zu können. Zahlt man nach Ablauf einer bestimmten Zeitspanne nicht, erhöht sich der Preis auf umgerechnet 596 Euro.

Lesetipp: Ransomware erkennen und Daten retten

Um es nicht so weit kommen zu lassen, sollten alle Plugins wie Flash Player, Java oder Silverlight sowie der Browser auf dem aktuellsten Stand gehalten werden.