Erpresserschädling

Verschlüsselungstrojaner zieht weiter Kreise

Erpresserische Schädlinge, die Dateien verschlüsseln, den Rechner blockieren und Lösegeld fordern, werden weiterhin per Mail verbreitet. Diese Mails enthalten vorgebliche Rechnungen, Bestellbestätigungen und dergleichen sowie eine ZIP-Datei mit dem Schädling.

Verschlüsselungstrojaner zieht weiter Kreise

© TotalDefense

Verschlüsselungstrojaner zieht weiter Kreise

Wie bereits in der letzten Woche berichtet, verbreiten Malware-Spammer Trojanische Pferde, die Windows-Rechner blockieren, um Lösegeld zu fordern. Die Mail-Texte enthalten die Behauptung, die Angeschriebenen hätten etwas bestellt und der Anhang enthalte eine diesbezügliche Rechnung, einen Lieferschein oder einen Zahlschein. Dementsprechend tragen die angehängten ZIP-Archive wie auch die darin steckenden EXE-Dateien Namen wie "Lieferschein", "Zahlschein", "Buchung", "Lieferung" oder auch "Rechnung". Wird das ZIP-Archiv entpackt und die enthaltene Programmdatei geöffnet, installiert sich ein Trojanisches Pferd aus der Kategorie Ransomware (ransom: englisch für Erpressung). Es verschlüsselt etliche Dateien (Dokumente, Bilder, Musik) auf allen angeschlossenen Laufwerken, auch auf Netzwerkfreigaben und USB-Speichermedien. Ferner wird die Windows-Registry manipuliert, sodass außer dem Schädling keine Programme mehr gestartet werden können. Der Schädling blockiert den Rechner und zeigt eine großformatige Meldung, es seien illegale Dateien gefunden worden oder es sei ein kostenpflichtiges Windows-Upgrade erforderlich. Die Opfer sollen 50 Euro per Ukash-Gutschein zahlen und dazu den Coupon-Code in die Eingabemaske eintippen. Im Gegenzug sollen sie einen Freischalt-Code erhalten, um ihre Dateien wieder entschlüsseln zu können.Die bis Ende April verbreiteten Varianten verschlüsselten lediglich den Dateianfang mit dem RC4-Algorithmus. Dadurch ist eine Wiederherstellung möglich, wenn unverschlüsselte Originaldateien zum Vergleich vorhanden sind. Dafür genügen etwa die mit Windows gelieferten Beispieldateien (Bilder, Musik), die auf der Windows-DVD zu finden sind. Auf Websites wie Trojanerboard.de und im Forum des Anti-Botnet Beratungszentrums gibt es Hilfestellungen und spezielle Programme, die bei der Entschlüsselung helfen. Neuere Varianten dieser aus Baukastensystemen stammenden Schädlinge benutzen eine andere Form der Verschlüsselung. An einer Abhilfe für Betroffene wird derzeit noch gearbeitet. Tools verschiedener Antivirushersteller wie Avira und Dr.Web können die Dateien zum Teil bereits wiederherstellen. Auf den oben genannten Websites werden Download-Links und Anleitungen zum Einsatz der Tools angeboten.Betroffene sollten jedenfalls keine Zahlungen leisten sondern sich Hilfe in den Foren dieser Websites holen. Besser dran ist, wer regelmäßig Backups seiner wichtigen Dateien anlegt, die auf nicht ständig angeschlossenen Medien gesichert werden. Die Schädlinge werden zwar von vielen Antivirusprogrammen erkannt, es werden jedoch ständig neue Ransomware-Varianten generiert und verbreitet. Bis auch diese erkannt werden, kann es schon mal einen Tag dauern.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…