Netskope Threat Labs hat eine Schwachstelle in der Ransomware „Evil Ant“ entdeckt, die Betroffenen Hoffnung auf Entschlüsselung gibt. Diese Schadsoftware, die auf Python basiert und mittels PyInstaller kompiliert wird, zielt darauf ab, sämtliche Dateien in den persönlichen Ordnern der Opfer sowie auf externen Laufwerken zu verschlüsseln.
Die Besonderheit von Evil Ant besteht darin, dass ein Neustart oder das Schließen des schädlichen Prozesses dazu führt, dass die betroffenen Dateien unwiederbringlich verloren gehen. Dies macht Evil Ant besonders gefährlich, da übliche Notfallmaßnahmen wie ein einfacher Neustart das Problem nicht beheben, sondern verschärfen. Bisher scheint sich Evil Ant vor allem an Privatpersonen zu richten.
Die Infektion beginnt mit dem Verstecken der Prozesskonsole und, in manchen Fällen, einem anhaltenden Piepton bei der Ausführung. Die Ransomware versucht administrative Rechte zu erlangen; gelingt dies nicht, fordert sie diese vom Benutzer. Des Weiteren deaktiviert sie Antivirenprogramme und den Task-Manager, um eine ungestörte Verschlüsselung zu garantieren.
Nach der Sammlung der IP-Adresse des Opfers über ein Telegram-Bot beginnt Evil Ant mit der Verschlüsselung der Zielordner und Dateien. Ein Lösegeldhinweis mit Zahlungsinformationen und ein Eingabefeld für den Entschlüsselungscode, den der Angreifer bereitstellen soll, werden angezeigt.
Trotz der aggressiven Vorgehensweise der Ransomware wurde ein kritischer Fehler im Design von Evil Ant entdeckt: Der Entschlüsselungscode ist in Klartext im Code der Malware hinterlegt, was es den Opfern ermöglicht, ihre Dateien ohne Zahlung wiederherzustellen.
Evil Ant zeigt auch Anfälligkeiten bei der Erkennung isolierter Umgebungen, was die Analyse und Neutralisierung der Bedrohung erleichtert. Diese und weitere Schwächen deuten darauf hin, dass Evil Ant noch in einer frühen Entwicklungsphase steckt.
Betroffenen wird daher geraten, nicht voreilig das Lösegeld zu zahlen und stattdessen professionelle Hilfe zur Wiederherstellung der Daten zu suchen. Wichtig ist, dass betroffene Systeme nicht neu gestartet oder heruntergefahren werden, da dies zur endgültigen Datenvernichtung führen kann.
Sollten Sie aktuell von einem Ransomware Angriff durch Evil-Ant betroffen sein, so raten wir Ihnen kurzfristig Cybersecurity Experten zu Rate zu ziehen, die den Entschlüsselungscode aus der Malware extrahieren können und den Prozess dadurch umkehren können.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: