Erpressungs-Trojaner

RAA: Ransomware verschlüsselt Daten und stiehlt Passwörter

Experten sind auf Ransomware (Erpressungs-Trojaner) gestoßen, die nicht nur Daten verschlüsselt, sondern auch Passwörter stiehlt. So schützen Sie sich.

News
VG Wort Pixel
Symbolbild für Internet-Sicherheit und Spionage
Eine neue Ransomware stiehlt auch Passwörter.
© Sergey Nivens - Fotolia.com

Sicherheitsexperten der Website Bleepingcomputer haben eine neuartige Ransomware (Erpressungs-Trojaner) gefunden und analysiert. Die Entdecker nennen sie RAA und heben hervor, dass der Schädling komplett in Javascript geschrieben wurde. Das erlaubt schwerwiegendere Auswirkungen auf dem infizierten Rechner, lässt sich mit bestimmten Vorsichtsmaßnahmen aber leicht umgehen.

RAA kommt als Javascript-Datei per E-Mail-Anhang. Die Datei selbst versucht sich als Word-Dokument zu tarnen. Führt das Opfer den E-Mail-Anhang aus, öffnet sich eine gefälschte Word-Datei, während gleichzeitig zum einen die Verschlüsselung wichtiger Systemverzeichnisse auf der Windows-Partition beginnt. Zum anderen öffnet die Datei eine Malware namens „Pony“, die es auf Passwörter abgesehen hat.

Auf dem Desktop findet sich anschließend ein Textdokument, das das Opfer zur Zahlung von etwa 250 US-Dollar zwingt, um die eigenen Daten zurückzuerlangen. Die Passwörter werden nicht erwähnt. Bisher ist RAA nur in russischer Sprache aufgetaucht. Es ist davon auszugehen, dass auch lokalisierte Fassungen in Erscheinung treten werden.

Was können Sie tun?

Umgehen lässt sich RAA recht einfach – abgesehen davon, dass Sie E-Mail-Anhänge fremder Absender nicht öffnen, beziehungsweise jegliche Anhänge genau prüfen sollten. Da RAA auf Javascript setzt und Aktionen außerhalb des Browsers auslöst, sollten Sie – wie Bleepingcomputer schreibt – den sogenannten Interpreter ausschalten, also die Basis, auf der Javascript-Code auf einem System ausgeführt wird.

Lesetipp: Ransomware – das sollten Sie wissen

Dazu brauchen Sie einen Zugriff auf Ihre Windows-Registrierung, öffnen Sie sie per Start-Taste, Ausführen und der Eingabe von „regedit“. Unter dem Pfad „HKEY_LOCAL_MACHINESoftwareMicrosoftWindows Script HostSettingsEnabled“ fügen Sie einen neuen DWORD-Eintrag ein und geben ihm den Wert „0“. Sollten Sie beispielsweise wegen der Arbeit auf Javascript-basierte Software angewiesen sein, können Sie den Eintrag einfach auf den Wert 1 stellen.

21.6.2016 von The-Khoa Nguyen

Weiter zur Startseite  

Mehr zum Thema

© wk1003mike / shutterstock

Schutz vor Erpresser-Trojaner

Petya Ransomware: Infektion und Datenverlust verhindern

Experten untersuchen den Erpresser-Trojaner Petya und zeigen, wie sich ein Datenverlust nach einer Infektion verhindern lässt.

Adobe Flash Player

Neue Version

Flash Player Update: Sicherheitslücke behoben

Im Flash Player steckt eine gefährliche Sicherheitslücke. Das neue Update behebt das Leck. Die aktuellen Downloads für Firefox, Chrome und Internet…

© wk1003mike / shutterstock

Sicherheit

Ransomware entfernen: Tools für mehrere Erpressungs-Trojaner

Wer sich einen Erpressungs-Trojaner (Ransomware) eingefangen hat, bekommt mit Glück das passende Tool zur Entschlüsselung seiner Daten.

Ransomware Locky

Sicherheit

RansomFree: Gratis-Tool schützt vor fast allen…

Eine Sicherheitsfirma stellt mit RansomFree ein Gratis-Tool gegen Erpressungs-Trojaner zur Verfügung. Die Arbeitsweise des Programms klingt…

iTunes-Update

Apple-Software

iTunes: BSI rät Windows-Nutzern zu Update auf Version 12.7.4

Windows-Nutzer, die iTunes installiert haben, sollten schnell auf die neue Version 12.5.5 aktualisieren. Das Update behebt mehrere Sicherheitslücken.