zurück zur Übersicht

TeslaCrypt 2.0 erhöht die Voltzahl

ransom_bWir lernen alle, egal ob es darum geht wie wir unseren Müll am besten trennen oder welchen Zug wir heute am besten nehmen. Das gilt leider auch für Cyber Kriminelle, die versuchen immer ausgefeiltere Methoden zu finden um an Geld zu kommen. Mittlerweile ist es so, dass sie sogar voneinander lernen. Nehmen wir das Beispiel „TeslaCrypt“: Diese Malware ist ein relativ neues Mitglied der Ransomware-Familie. Ransomware verschlüsselt Dateien des Nutzers um sie unbenutzbar zu machen und dann für die Entschlüsselung Geld zu erpressen. Die größte Innovation von TeslaCrypt ist, dass die Software in der Lage ist, nicht nur normale Dateien, Dokumente, Bilder oder Videos zu Verschlüsseln, sondern auch Computer-Spiele-Dateien.

TeslaCrypt 2.0 – Next Generation Malware

Zu diesem Zeitpunkt wurde die Malware noch eher schwach implementiert und wies verschiedene technische Fehler auf die dazu führten, dass es schnell ein Heilmittel gab. Auch der Fakt, das die Malware mit einer schwer zu knackenden RSA-2048 Verschlüsselung drohte konnte nicht darüber hinwegtäuschen, dass die Code-Schlüssel auf dem Computer des Opfers lagen. Der Abbruch des Verschlüsselungsvorgangs bewirkte, dass der Schlüssel von der Festplatte gelesen und so die Daten wieder entschlüsselt werden konnten. Dies ließ die Malware also eher zu einem zahnlosen Tiger werden. Jedoch, wie oben schon erwähnt, können auch Cyber Kriminelle voneinander lernen. In der neuen Version der TeslaCrypt 2.0 Malware wurden komplett neue Funktionen entdeckt, die eine Entschlüsselung der Daten verhindern sollen. Der Verschlüsselungsalgorithmus basiert nun auf elliptischen Kurven. Die Implementierung orientiert sich dabei am berühmten CTB-Locker. Zusätzlich wurde der Mechanismus zur Schlüsselspeicherung verändert: Nun wird die Windows-Registry zum Zwischenspeichern verwendet.

Keine Ehre unter Ganoven

Um das Ganze auf die Spitze zu treiben haben die Entwickler von TeslaCrypt die Webseite der Malware CryptoWall gestohlen. Natürlich wurden alle Bezahlinformationen geändert aber der Rest, also der gesamte Droh-Text, bleibt vollständig erhalten. Das hat aus Sicht der Entwickler einen besonderen Vorteil, da sie nun auch Geld bekommen, wenn eine andere Malware die Festplatte verschlüsselt hat. Aktuell müssen etwas mehr als 500 Dollar bezahlt werden um wieder an seine Daten zu kommen (aktueller BitCoin Umrechnungskurs). Die Malware der TeslaCrypt-Familie wird nun durch verschiedene Exploit-Kits wie Angler, Sweet, Orange oder Nuclear vertrieben. Aktuell funktioniert der Vorgang der Infektion wie folgt: Ein Benutzer öffnet eine infizierte Webseite und das Malware-Kit untersucht den Browser nach Schwachstellen. Danach wird ein Exploit an diesen gesendet (meistens an ein Plugin) und das Ziel-System wird infiziert. Eine Frage bleibt jedoch: wie können sich Unternehmen gegen Malware wie TeslaCrypt schützen? iT-CUBE SYSTEMS hat eine Antwort darauf und steht Ihnen für alle Fragen zum Thema IT-Sicherheit jederzeit offen.


Weiterführende Links:

https://blog.kaspersky.com/teslacrypt-ransomware-targets-gamers/
https://securelist.com/blog/research/71371/teslacrypt-2-0-disguised-as-cryptowall/
https://en.wikipedia.org/wiki/Elliptic_curve_Diffie%E2%80%93Hellman
https://blog.kaspersky.com/new-version-ctb-locker/

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer