Rensenware

Rensenware
Aliase rensenWare
Bekannt seit 6. April 2017
Erster Fundort Südkorea
Autoren Kangjun Heo
System Windows
Programmiersprache C#

Rensenware ist ein Erpressungs-Trojaner[1], der ausschließlich Windows-Computer befällt und betroffene Nutzer dazu zwingt, ein Videospiel auf höchster Schwierigkeitsstufe erfolgreich abzuschließen und dabei eine festgelegte Mindestpunktzahl zu erreichen.[2]

Geschichte

Der südkoreanische Programmierer Kangjun Heo programmierte während seiner Studentenzeit den Trojaner aus Spaß[3] und veröffentlichte den Code auf der Plattform Twitter, wodurch er öffentlich zugänglich gemacht und als Schadprogramm missbraucht wurde.[2]

Name

Der Name Rensenware ist eine Anspielung auf das zwölfte Spiel der Danmaku-Spielereihe Touhou Project Touhou Seirensen, das betroffene Nutzer herunterladen und erfolgreich beenden müssen, um ihre Daten zu entschlüsseln.[4]

Funktionsweise und Darstellung

Rensenware durchsucht den Computer nach bestimmten Dateiformaten wie MP3, MP4, AVI, DOC, PSD, RAR usw. und verschlüsselt diese durch AES-256.[5] Auf dem Bildschirm infizierter Rechner erscheint ein Warnhinweis über die Datenverschlüsselung, in dem Minamitsu Murasa, ein Charakter der Danmaku-Spieleserie Touhou Project, betroffene Nutzer über den Datendiebstahl informiert und sie dazu zwingt, das Spiel Touhou Seirensen ~ Undefined Fantastic Object herunterzuladen, zu installieren und auf „Lunatic“, der zweithöchsten Schwierigkeitsstufe erfolgreich abzuschließen.[4] Dabei muss der Nutzer mindestens 200 Millionen Punkte erreichen, damit die verschlüsselten Daten wieder freigegeben und entschlüsselt werden.[1][2] Das Schadprogramm ist in der Lage, den Spielstand und die erreichten Punkte nachzuverfolgen.[4][6]

Heo, der Entwickler von Rensenware, infizierte seinen eigenen Rechner versehentlich und scheiterte selbst daran, die verschlüsselten Daten wieder zu entschlüsseln.[4][7] Als er den Programmcode auf Twitter veröffentlichte, stellte er fest, dass dieser dadurch weltweit Bekanntheit erlangte.[7] Er entwickelte nach Bekanntwerden umgehend ein Entschlüsselungsprogramm, das dem Trojaner das erfolgreiche Abschließen des Spiels vortäuscht, und entschuldigte sich für die Veröffentlichung von Rensenware.[7][8] Zudem entwickelte er ein Programm, das den Rechner vor einer Infizierung mit dem Trojaner schützt.[9]

Nutzern, deren Rechner mit Rensenware infiziert wurden, wird davon abgeraten, den Trojaner vor der Entschlüsselung der Dateien zu entfernen, da dadurch auch alle verschlüsselten Daten unwiderruflich verloren gehen.

Weiteres

Die PUBG ransomware fordert Nutzer ebenfalls auf, ein Videospiel zu spielen. Dabei handelt es sich um PlayerUnknown’s Battlegrounds, kurz PUBG, das eine Stunde lang gespielt werden muss, damit verschlüsselte Daten wieder freigegeben werden.[3]

Einzelnachweise

  1. a b l+f: Rensenware tauscht Daten gegen Highscore. Heise, 10. April 2017, abgerufen am 10. April 2021.
  2. a b c Kyle Orland: Do you want to play a game? Ransomware asks for high score instead of money. Ars Technica, 7. April 2017, abgerufen am 10. April 2021.
  3. a b Victor Poitevin: Ein Überblick über die teuflischsten Ransomwares der Welt. Stormshield.com, 7. August 2018, abgerufen am 10. April 2021.
  4. a b c d Cecilia D’Anastasio: Anime Malware Locks Your Files Unless You Play A Game. Kotaku, 7. April 2017, abgerufen am 10. April 2021.
  5. Lawrence Abrams: RensenWare Will Only Decrypt Files if Victim Scores .2 Billion in TH12 Game. Bleepingcomputer.com, 6. April 2017, abgerufen am 13. April 2021.
  6. Chaim Gartenberg: New ransomware locks your files behind an anime bullet hell shooter. The Verge, 7. April 2017, abgerufen am 10. April 2021.
  7. a b c Owen S. Good: Virus locks out data, unless you can score 200 million in an impossible game. Polygon, 9. April 2017, abgerufen am 10. April 2021.
  8. Hangjun Heo: Programm zur Entschlüsselung verschlüsselter Daten durch Rensenware. GitHub, abgerufen am 10. April 2021.
  9. Sebastian Hardt: 200 Millionen Punkte für deine Daten: Rensenware will, dass du ein Spiel spielst. Netz.de, 10. April 2017, archiviert vom Original am 10. April 2021; abgerufen am 12. April 2021.