zurück zur Übersicht

TeslaCrypt 2.0 erhöht die Voltzahl

ransom_bWir lernen alle, egal ob es darum geht wie wir unseren Müll am besten trennen oder welchen Zug wir heute am besten nehmen. Das gilt leider auch für Cyber Kriminelle, die versuchen immer ausgefeiltere Methoden zu finden um an Geld zu kommen. Mittlerweile ist es so, dass sie sogar voneinander lernen. Nehmen wir das Beispiel „TeslaCrypt“: Diese Malware ist ein relativ neues Mitglied der Ransomware-Familie. Ransomware verschlüsselt Dateien des Nutzers um sie unbenutzbar zu machen und dann für die Entschlüsselung Geld zu erpressen. Die größte Innovation von TeslaCrypt ist, dass die Software in der Lage ist, nicht nur normale Dateien, Dokumente, Bilder oder Videos zu Verschlüsseln, sondern auch Computer-Spiele-Dateien.

TeslaCrypt 2.0 – Next Generation Malware

Zu diesem Zeitpunkt wurde die Malware noch eher schwach implementiert und wies verschiedene technische Fehler auf die dazu führten, dass es schnell ein Heilmittel gab. Auch der Fakt, das die Malware mit einer schwer zu knackenden RSA-2048 Verschlüsselung drohte konnte nicht darüber hinwegtäuschen, dass die Code-Schlüssel auf dem Computer des Opfers lagen. Der Abbruch des Verschlüsselungsvorgangs bewirkte, dass der Schlüssel von der Festplatte gelesen und so die Daten wieder entschlüsselt werden konnten. Dies ließ die Malware also eher zu einem zahnlosen Tiger werden. Jedoch, wie oben schon erwähnt, können auch Cyber Kriminelle voneinander lernen. In der neuen Version der TeslaCrypt 2.0 Malware wurden komplett neue Funktionen entdeckt, die eine Entschlüsselung der Daten verhindern sollen. Der Verschlüsselungsalgorithmus basiert nun auf elliptischen Kurven. Die Implementierung orientiert sich dabei am berühmten CTB-Locker. Zusätzlich wurde der Mechanismus zur Schlüsselspeicherung verändert: Nun wird die Windows-Registry zum Zwischenspeichern verwendet.

Keine Ehre unter Ganoven

Um das Ganze auf die Spitze zu treiben haben die Entwickler von TeslaCrypt die Webseite der Malware CryptoWall gestohlen. Natürlich wurden alle Bezahlinformationen geändert aber der Rest, also der gesamte Droh-Text, bleibt vollständig erhalten. Das hat aus Sicht der Entwickler einen besonderen Vorteil, da sie nun auch Geld bekommen, wenn eine andere Malware die Festplatte verschlüsselt hat. Aktuell müssen etwas mehr als 500 Dollar bezahlt werden um wieder an seine Daten zu kommen (aktueller BitCoin Umrechnungskurs). Die Malware der TeslaCrypt-Familie wird nun durch verschiedene Exploit-Kits wie Angler, Sweet, Orange oder Nuclear vertrieben. Aktuell funktioniert der Vorgang der Infektion wie folgt: Ein Benutzer öffnet eine infizierte Webseite und das Malware-Kit untersucht den Browser nach Schwachstellen. Danach wird ein Exploit an diesen gesendet (meistens an ein Plugin) und das Ziel-System wird infiziert. Eine Frage bleibt jedoch: wie können sich Unternehmen gegen Malware wie TeslaCrypt schützen? iT-CUBE SYSTEMS hat eine Antwort darauf und steht Ihnen für alle Fragen zum Thema IT-Sicherheit jederzeit offen.


Weiterführende Links:

https://blog.kaspersky.com/teslacrypt-ransomware-targets-gamers/
https://securelist.com/blog/research/71371/teslacrypt-2-0-disguised-as-cryptowall/
https://en.wikipedia.org/wiki/Elliptic_curve_Diffie%E2%80%93Hellman
https://blog.kaspersky.com/new-version-ctb-locker/

Schreibe einen Kommentar