Um AV-Software auszutricksen, verbirgt sich die Ransomware SyncCrypt in Bilddateien. Einmal auf dem System, wird sie per Skript extrahiert und ausgeführt. Entschlüsselungs-Tools gibt es bislang nicht.

Wie bleepingcomputer.com berichtet, verbreitet sie sich SyncCrypt via Spam-Mails, deren Anhang als Gerichtsbeschluss getarnt ist. Hinter Namen wie "CourtOrder_845493809.wsf" verbirgt sich ein Windows Script File (WSF), das, einmal ausgeführt, als Downloader für SyncCrypt dient.

Ungewöhnlich ist die Strategie, die SyncCrypt nutzt, um sich während des Downloads vor AV-Software zu verstecken: die Ransomware wird nicht einfach als .exe-Datei heruntergeladen, sondern über eine .jpg-Datei, in der sich ein Zip-Archiv verbirgt. Aus dieser extrahiert das WSF-Skript nach erfolgreichem Download die Ransomware, um sie anschließend auszuführen.

Die .jpg-Datei für sich genommen richtet also keinen Schaden an, erst die Kombination mit dem WSF-Skript.

Quelle: heise Security

Meine Empfehlung: E-Mails mit .wsf-Dateien als Anhang blocken bzw. abweisen, damit der Anwender erst gar nicht in Versuchung kommt den Anhang anzuklicken.