Vorsicht Ransomware:
Gefälschte Windows 10-Updates im Umlauf

Das meldet das Online-Magazin Bleeping Computer. Die Magniber-Ransomware ist dabei schon seit Wochen wieder sehr aktiv und hatte zuletzt von sich reden gemacht, da sie als Fake-Software-Paket herumgereicht wurde. Nun geht es nicht um irgendwelche Drittanbieter-Anwendungen, sondern direkt um Windows-Updates. Betroffene hatte berichtet, dass sie nach der Installation eines kumulativen oder Sicherheitsupdates für Windows 10 mit der Magniber-Ransomware infiziert wurden.
Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im Internet

Die Recherche ergab dann, dass die Betroffenen ihre Updates aus dubiosen Quellen bezogen hatten - es geht also nicht um die offiziellen Update-Pakete von Microsoft. Bleeping Computer hat die Fake-Updates zum Downloads über Warez- und Crack-Sites entdeckt. Die manipulierten Updates werden unter verschiedenen Namen verbreitet, wobei Win10.0_System_Upgrade_Software.msi und Security_Upgrade_Software_Win10.0.msi am häufigsten sind.

Andere Downloads geben vor, kumulative Windows 10-Updates zu sein, und verwenden in ihrem Namen gefälschte Knowledge-Base-Artikel um Legitimität vorzugaukeln:

Opfer selten Unternehmen

Die Kampagne soll sich in erster Linie an Verbraucher richten und nicht auf Unternehmen konzentrieren. Sobald die Ransomware installiert ist, löscht sie Schattenkopien und verschlüsselt dann Dateien. Beim Verschlüsseln von Dateien fügt die Ransomware eine zufällige 8-Zeichen-Erweiterung an. Die Ransomware erstellt außerdem Lösegeld-Schreiben mit dem Namen README.html in jedem Ordner, die Anweisungen enthalten, wie man auf die Magniber Tor-Zahlungsseite zugreift, um das Lösegeld zu bezahlen.