Kaspersky warnt vor Ransomware

Hay-Tun am Dienstag 15. September 2015 11:44:16

Kaspersky warnt vor Ransomware

Kaspersky warnt vor einer raffinierten Malware, die vor allem Russland und den deutschsprachigen Raum betrifft.

Die Ransomware mit dem Namen "Shade" versucht Opfer durch Verschlüsselung von Dateien zu erpressen. Erst gegen Zahlung eines Geldbetrags wird der Zugriff auf die Informationen wieder freigegeben.

Shade verschlüsselt Dateien und fügt deren Namen die Endungen .xtbl und .ytbl hinzu. Die Verbreitung erfolgt via Spam-Mails mit infizierten Anhängen. Zusätzlich bringen die Kriminelle die Malware mittels Drive-by-Downloads auf die Computer ihrer Opfer. Dazu reicht es, dass ein Nutzer eine legale, aber manipulierte Internetseite öffnet. Um in das System zu gelangen, nutzt Shade Lücken im Browser aus, sodass die schädliche Datei nicht einmal ausgeführt werden muss.

"Im Falle von Trojan-Ransom.Win32.Shade haben wir nicht nur typische Erpressungstechniken beobachtet, sondern auch ein Bot-ähnliches Verhalten", erklärt Fedor Sinizyn, Senior Malware Analyst bei Kaspersky Lab. Das bedeutet, die Ransomware fordert im Hintergrund bei einem Kommandoserver den Nachschub zusätzlicher Schadsoftware an. Dazu gehört auch ein Trojaner, der gezielt bei Bruteforce-Angriffen verwendet wird, um Passwörter für Internetseiten durch Ausprobieren tausender Kombinationen zu knacken.

Die Entwickler von Shade verwenden das anonyme Tor-Netzwerk. Auch den RSA-3072-Schlüssel, mit dem Dateien auf dem gekaperten Rechner verschlüsselt werden, erhält Shade vom Befehlsserver. Wird keine Verbindung zum Command-and-Control-Server hergestellt, setzt die Malware Kaspersky zufolge einen von 100 Schlüsseln ein, die sie bereits mitbringt.

Um eine Infektion mit Shade zu vermeiden, empfiehlt Kaspersky Usern, keine Anhänge von unbekannten E-Mails zu öffnen, Betriebssystem und Software stets zu aktualisieren und eine zuverlässige Antivirensoftware einzusetzen.

Foto: © Wikimedia.


Kommentar hinzufügen

Kommentare

Kommentar hinzufügen