Shade verschlüsselt und erpresst im deutschsprachigen Raum Shade verschlüsselt und erpresst im deutschsprachigen Raum - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


15.09.2015 Rudolf Felser

Shade verschlüsselt und erpresst im deutschsprachigen Raum

Internetanwender im deutschsprachigen Raum sollten sich vor der Ransomware Shade in Acht nehmen, warnt Kaspersky Lab.

Erpresser-Software Shade auch im deutschsprachigen Raum

Erpresser-Software Shade auch im deutschsprachigen Raum

© Kaspersky Lab

Am verbreitetsten ist der Schädling jedoch in Russland. Alle Versionen des Erpresser-Trojaners verschlüsseln Dateien auf den infizierten Opfersystemen und ergänzen deren Namen um die Endungen ".xtbl" und ".ytbl". Der Schädling ist besonders bösartig, weil dieser neben seiner Erpressungsfunktion ein ganzes Arsenal an gefährlichen im Hintergrund aktiven Trojanern an die Rechner der Opfer ausliefert.

Shade verbreitet sich über Spam-Mails und darin enthaltene infizierte Anhänge. Daneben nutzt er den Infektionsweg über Drive-by-Downloads: Der Schädling gelangt auf ein Opfersystem, indem der Nutzer eine legale, aber kompromittierte Webseite besucht. Shade wird hierbei über Exploit Kits (insbesondere Nuclear EK) verteilt.

"Crypto-Ransomware hat sich in letzter Zeit zu einer der herausragendsten Cyberbedrohungen entwickelt. Die Kriminellen, die hinter diesen Trojanern stecken, versuchen ständig mehr Profit mit ihren Opfern zu machen", so Fedor Sinizyn, Senior Malware Analyst bei Kaspersky Lab. "Im Falle von Trojan-Ransom.Win32.Shade haben wir nicht nur typische Erpressungstechniken beobachtet, sondern auch ein Bot-ähnliches Verhalten (über C&Cs ausgelöste Zufuhr von zusätzlicher Schadsoftware in das infizierte System). Um diese Schadsoftware zu bekämpfen, sollten aktuelle Browser und Sicherheitslösungen verwendet und vorsichtig mit E-Mails von unbekannten Absendern umgegangen werden. Außerdem sollten regelmäßig Backups von den wichtigen Daten auf dem PC erstellt werden."

Gelangt Shade auf ein System, verbindet er sich mit einem Command-and-Control-Server (C&C) aus dem anonymisierten Tor-Netzwerk. Anschließend erhält der Schädling von seinem C&C-Server einen RSA-3072-Schlüssel, mit dem dann Dateien auf dem Opferrechner verschlüsselt werden. Kommt keine Verbindung mit dem C&C zustande, nutzt Shade einen von hundert Schlüsseln, die er im Falle derartiger Verbindungsprobleme implementiert hat.

Sind die Dateien auf einem Opfersystem verschlüsselt, setzt Shade den betroffenen Nutzer davon in Kenntnis und fordert für weitere Instruktionen die Zusendung eines bestimmten Codes an eine E-Mail-Adresse. Der maliziöse Prozess wird jedoch nicht beendet, sondern Shade agiert als Downloader und installiert weitere Schädlinge heimlich auf dem Opfersystem. Zu den von Shade nachgelieferten Schadprogrammen zählt auch ein Trojaner, der gezielt für Bruteforce-Attacken verwendet wird, um Passwörter für Webseiten zu knacken.

Weitere Details zu Shade, den die Produkte von Kaspersky Lab als Trojan-Ransom.Win32.Shade klassifizieren (andere Antiviren-Anbieter identifizieren die Malware sie als Trojan.Encoder.858, Ransom:Win32/Troldesh), haben die Security-Experten unter www.viruslist.com/de/analysis gesammelt. (rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr
  • Dimension Data Austria GmbH

    Dimension Data Austria GmbH Call Center, IKT-Consulting, Migrations-Management, Outsourcing, Systemintegration und Systemmanagement, Systempflege- und Wartung mehr
  • Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH

    Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH Wasser- und Energieversorgung, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Luft- und Raumfahrttechnik, Logistik, Konsumgüterindustrie,... mehr

Hosted by:    Security Monitoring by: