Wie Mamba infiziert

Mamba gelangt über Mails mit Dateianhängen auf den Rechner. Wird eine infizierte Datei versehentlich geöffnet, passiert zuerst nicht viel: Mamba fragt, ob eine App eines unbekannten Entwicklers installiert werden darf. Nach einer Weile rebootet der Rechner. Vor dem Neustart installiert sich Mamba heimlich als Windows-Dienst mit dem Namen «Defragmentation Service», ausgestattet mit lokalen Systemprivilegien.

Malware, die als LocalSystem-Dienst ausgeführt wird, ist auch ohne Anmeldung aktiv, läuft unsichtbar vom Windows-Desktop und hat eine nahezu vollständige Kontrolle über den lokalen Computer. Nach dem Neustart installiert sich DiskCryptor im Hintergrund, zu finden im Verzeichnis C unter dem Namen «C:\DC22».

Der nächste Reboot des Computers erfolgt nicht automatisch, sodass alle Dateien noch verfügbar sind, das DiskCryptor-Protokoll enthält sogar das Passwort im Klartext. Anwender könnten die Option Decrypt im DCRYPT-Dienstprogramm nutzen, um die Verschlüsselung mithilfe des Passworts rückgängig zu machen. Dies gelingt natürlich nur, wenn die Hintergrundverschlüsselung überhaupt bemerkt wurde.

Wenn nicht, kommt die böse Überraschung samt Zahlungsaufforderung nach dem nächsten Neustart. Es könne aber auch sein, dass keine Zahlungsaufforderung erscheine und das System sich einfach verabschiede. Sascha Pfeiffer von Sophos hat deshalb derzeit keine ermutigende Nachricht für potenzielle Opfer: «Womöglich müssen sich Betroffene mit dem Verlust der Daten abfinden und eine Neuinstallation vornehmen. Es gibt noch keine gesicherten Erkenntnisse dazu, wie die Gauner mit dem Erpressungsvorgang umgehen und ob die Daten wieder freigegeben werden.»