Erpressungs-Trojaner

RAA: Ransomware verschlüsselt Daten und stiehlt Passwörter

Experten sind auf Ransomware (Erpressungs-Trojaner) gestoßen, die nicht nur Daten verschlüsselt, sondern auch Passwörter stiehlt. So schützen Sie sich.

Symbolbild für Internet-Sicherheit und Spionage

© Sergey Nivens - Fotolia.com

Eine neue Ransomware stiehlt auch Passwörter.

Sicherheitsexperten der Website Bleepingcomputer haben eine neuartige Ransomware (Erpressungs-Trojaner) gefunden und analysiert. Die Entdecker nennen sie RAA und heben hervor, dass der Schädling komplett in Javascript geschrieben wurde. Das erlaubt schwerwiegendere Auswirkungen auf dem infizierten Rechner, lässt sich mit bestimmten Vorsichtsmaßnahmen aber leicht umgehen.

RAA kommt als Javascript-Datei per E-Mail-Anhang. Die Datei selbst versucht sich als Word-Dokument zu tarnen. Führt das Opfer den E-Mail-Anhang aus, öffnet sich eine gefälschte Word-Datei, während gleichzeitig zum einen die Verschlüsselung wichtiger Systemverzeichnisse auf der Windows-Partition beginnt. Zum anderen öffnet die Datei eine Malware namens „Pony“, die es auf Passwörter abgesehen hat.

Auf dem Desktop findet sich anschließend ein Textdokument, das das Opfer zur Zahlung von etwa 250 US-Dollar zwingt, um die eigenen Daten zurückzuerlangen. Die Passwörter werden nicht erwähnt. Bisher ist RAA nur in russischer Sprache aufgetaucht. Es ist davon auszugehen, dass auch lokalisierte Fassungen in Erscheinung treten werden.

Was können Sie tun?

Umgehen lässt sich RAA recht einfach – abgesehen davon, dass Sie E-Mail-Anhänge fremder Absender nicht öffnen, beziehungsweise jegliche Anhänge genau prüfen sollten. Da RAA auf Javascript setzt und Aktionen außerhalb des Browsers auslöst, sollten Sie – wie Bleepingcomputer schreibt – den sogenannten Interpreter ausschalten, also die Basis, auf der Javascript-Code auf einem System ausgeführt wird.

Lesetipp: Ransomware – das sollten Sie wissen

Dazu brauchen Sie einen Zugriff auf Ihre Windows-Registrierung, öffnen Sie sie per Start-Taste, Ausführen und der Eingabe von „regedit“. Unter dem Pfad „HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled“ fügen Sie einen neuen DWORD-Eintrag ein und geben ihm den Wert „0“. Sollten Sie beispielsweise wegen der Arbeit auf Javascript-basierte Software angewiesen sein, können Sie den Eintrag einfach auf den Wert 1 stellen.

Mehr zum Thema

Sicherheitslücken am PC
Polizei warnt vor Spam

Cyberkriminelle nutzen die Angst um Locky, um weitere Trojaner zu verbreiten. Die Polizei warnt vor Spam-Mails mit einem „BKA Locky Removal Kit“.
© wk1003mike / shutterstock
Ransomware

Auf großen Websites wie etwa von BBC, MSN, der NFL, New York Times und mehr lauern Erpresser-Trojaner (Ransomware), die Lücken in Flash ausnutzen.
© wk1003mike / shutterstock
Schutz vor Erpresser-Trojaner

Experten untersuchen den Erpresser-Trojaner Petya und zeigen, wie sich ein Datenverlust nach einer Infektion verhindern lässt.
Adobe Flash Player
Neue Version

Im Flash Player steckt eine gefährliche Sicherheitslücke. Das neue Update behebt das Leck. Die aktuellen Downloads für Firefox, Chrome und Internet…
© wk1003mike / shutterstock
Sicherheit

Wer sich einen Erpressungs-Trojaner (Ransomware) eingefangen hat, bekommt mit Glück das passende Tool zur Entschlüsselung seiner Daten.