EFS Ransomware verschlüsselt Daten mit gefälschtem Zertifikat

Angriff auf das Windows Encrypting File System

Forscher entwickelten eine neue Ransomware, mit der sich Daten auf einem Windows System mittels des Windows Encrypting File System verschlüsseln lassen.

Es gibt bereits eine Proof-of-Concept-Angriffsstrategie, wobei Windows Bordmittel zum Einsatz kommen.

Auf dem betroffenem System generiert die Ransomware ein neues Schlüsselpaar (Privat & Public Key),  und verschlüsselt die Daten des Benutzers anschließend. Die Ransomware löscht danach das Schlüsselpaar, lädt den Public Key, der zur Entschlüsselung der Daten benötigt wird, zuvor auf den Server des Angreifers hoch.

Somit ist der Benutzer (Opfer), auf den Public-Key der zum Entschlüsseln der Daten benötigt wird, angewiesen.

Der Ablauf ist wie folgt:

Die Ransomware generiert mit AdvApi32! CryptGenKey, der von EFS eingesetzt wird, einen Schlüssel.  Danach generiert die Ransomware mithilfe von Crypt32 ein Zertifikat für den Schlüssel. Dieser wird dann in den persönlichen Zertifikatsspeicher abgelegt und für die Nutzung von EFS vorbereitet. Ab jetzt kann die Ransomware mittels AdvApi32! jede Datei verschlüsseln.

Nachdem alle Daten verschlüsselt wurden, vernichtet die Ransomware jede Spur zu der Schlüsseldatei, die zum Verschlüsseln der Daten eingesetzt wurde:

  • %APPDATA%\Microsoft\Crypto\RSA\SID des Benutzers
  • %ProgramData%\Microsoft\Crypto\RSA\MachineKeys\

Mehr Information auf der Webseite von SafeBreach

Windows EFS Verschlüsselung Anleitung Encrypting File System