Ransomware Prinz Eugen: Neue Malware verschlüsselt gezielt aktuelle Dateien
22.06.2026 - 23:28:57 | boerse-global.de
Die Schadsoftware, geschrieben in der Programmiersprache Go, verfolgt eine ungewöhnliche Strategie: Sie verschlüsselt gezielt die zuletzt veränderten Dateien eines Opfers – und verzichtet dabei auf klassische Lösegeldforderungen auf dem infizierten System.
Gezielte Verschlüsselung statt Breitband-Attacke
Die Ransomware nutzt den ChaCha20-Poly1305-Algorithmus für ihre Verschlüsselung. Ihr besonderes Merkmal: Sie durchsucht Verzeichnisse rekursiv und identifiziert die aktuellsten Dateien zuerst. Die Logik dahinter ist simpel – die frisch bearbeiteten Daten sind für Unternehmen meist am kritischsten. Haben mehrere Dateien denselben Zeitstempel, werden sie in alphabetischer Reihenfolge verschlüsselt.
Anzeige: Die neue Ransomware Prinz Eugen verschlüsselt gezielt Ihre aktuellsten Dateien – und ein Entschlüsselungswerkzeug gibt es nicht. Dieser Report liefert die wichtigsten Abwehrmaßnahmen: von RDP-Sicherheits-Checkliste bis zum 5-Schritte-Notfallplan. Jetzt kostenlosen Schutz-Report anfordern
Die infizierten Dateien erhalten eine spezifische Erweiterung. Bereits verschlüsselte Daten werden übersprungen. Besonders tückisch: Nach erfolgreicher Verschlüsselung löscht sich die Schadsoftware selbst vom System und entfernt sämtliche Verschlüsselungsschlüssel aus dem Arbeitsspeicher. Eine Wiederherstellung ohne Backup wird damit nahezu unmöglich.
Manuelle Angriffe statt Automatisierung
Anders als viele moderne Ransomware-as-a-Service-Modelle setzt Prinz Eugen auf einen „hands-on-keyboard“-Ansatz. Die Angreifer verschaffen sich zunächst über kompromittierte RDP-Zugangsdaten (Remote Desktop Protocol) Zugang zum Netzwerk. Anschließend installieren sie manuell eine Schadsoftware namens „servertool.exe“.
Zur Bewegung im Netzwerk und zur Aufrechterhaltung des Zugriffs nutzen die Täter legitime Fernwartungssoftware wie RemotePC sowie verschiedene „Living-off-the-Land“-Tools. Zudem legen sie ein lokales Administrator-Konto mit einem spezifischen Passwort an – ein klares Indiz für die Identität der Angreifer.
Die Lösegeldforderungen selbst werden nicht auf dem infizierten Server hinterlassen. Stattdessen kommunizieren die Erpresser ausschließlich über externe Kanäle: E-Mail, Telefon oder spezielle Foren im Darknet.
Wer steckt dahinter?
Die Kampagne wird einem Bedrohungsakteur mit dem Alias ROOTBOY zugeschrieben, der auch unter den Namen „avtokz“ und „GERMANIA“ bekannt ist. In Darknet-Foren tritt er mit einem markanten Militärhelm-Avatar auf.
Anzeige: Manuelle Angriffe über RDP-Zugänge sind die Einfalltore der neuen Prinz-Eugen-Ransomware. Ohne sofortige Sicherheitsmaßnahmen riskieren Sie den Verlust Ihrer kritischsten Daten. Unser Leitfaden zeigt, wie Sie Living-off-the-Land-Tools erkennen und Ihr Netzwerk absichern. RDP-Sicherheits-Checkliste jetzt sichern
Mehrere Organisationen sind bereits Opfer der Ransomware geworden, darunter die Standard Bank Group in Südafrika und das französische Transitions Pro Centre Val de Loire. Im Fall der Standard Bank forderten die Angreifer ein Bitcoin Lösegeld – die Bank zahlte nicht. Während eine Leak-Seite drei konkrete Opfer auflistet, bestätigen Sicherheitsforscher, dass mindestens fünf Organisationen in den vergangenen Monaten angegriffen wurden.
Zur Infrastruktur der Gruppe gehören eine spezifische Command-and-Control-IP-Adresse sowie eine bösartige Domain, die legitime Unternehmenskommunikation imitiert.
Ein öffentlich verfügbares Entschlüsselungswerkzeug für Prinz Eugen existiert derzeit nicht.
