zurück zur Übersicht

Crypto-Spam

cryptospam2Spam kennt jeder, dazu muss man nicht mehr viel sagen. Auch dass es nach wie vor scheinbar immer noch gut funktioniert ist mittlerweile Tatsache. Leider bedienen sich nun auch die gefürchteten Crypto-Ransomwares dieser Technik. Ransomware nimmt die Dateien des Opfers in Geiselhaft, indem sie heimlich verschlüsselt werden. Um das benötigte Passwort zur Entschlüsselung zu erhalten muss dann an die Kriminellen – zur Verschleierung meist in Form von Bitcoins – Geld gezahlt werden.

Diese Angriffe haben nun ein neues Level erreicht. Anstatt nur „lohnenswerte“ Opfer wie Firmen anzugehen werden nun massenhaft E-Mails mit ZIP-Anhängen an alle möglichen Anwender versendet. In den Archiven befinden sich JavaScript-Dateien die, werden sie vom Benutzer geöffnet, standardmäßig mit dem Windows Script Host (cscript.exe) ausgeführt werden. Das Ausführen resultiert darin, dass eine VBS-Datei auf die lokale Festplatte geschrieben und anschließend gestartet wird. Nach dem Start der Datei wird dann erst die eigentliche Malware aus dem Internet nachgeladen und gestartet. Die nachgeladene Malware kann dann verschiedene Funktionen haben. Der Vorteil dieser Prozedur für die Erpresser ist die Flexibilität: Die Funktionen der Malware können mit Hilfe dieses Mechanismus jederzeit vom Angreifer geändert werden. Die gleichen Angriffsmails werden nach einer erfolgreichen Infektion an weitere Adressen aus dem Adressbuch des Opfers gesendet. Für ein potenzielles Opfer ist es somit extrem schwer die Authentizität dieser E-Mails zu überprüfen.

Einmal auf dem Computer des Opfers installiert, werden benötigte Schlüssel auf dem Angreifer Server generiert und der öffentliche Schlüssel auf dem Opfer-Computer per TOR-Netzwerk (Onion Routing) übertragen. Damit ist die Kommunikation kaum nachzuverfolgen. Sobald dies passiert ist, fängt die Crypto-Ransomware TeslaCrypt an, bestimmte Dateitypen zu verschlüsseln. Für das Opfer ist es nahezu unmöglich diese wieder zu entschlüsseln, da der private Schlüssel auf dem Angreifer-Server liegt. Daher sind die Betroffenen meistens auf funktionierende Backups angewiesen, wenn sie nicht die geforderte Summe zahlen wollen.

iT-CUBE SYSTEMS empfiehlt dringend Maßnahmen gegen diese Malware zu ergreifen. Wir haben verschiedenste Lösungen die eine Infektion effektiv verhindern können. Kontaktieren Sie uns und lassen Sie sich beraten.


Bild: © iT-CUBE SYSTEMS AG 2015

Schreibe einen Kommentar