Cybercrime Competence Center warnt vor Verschlüsselungs-Trojaner Cybercrime Competence Center warnt vor Verschlüsselungs-Trojaner - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


05.08.2016 Oliver Weiss

Cybercrime Competence Center warnt vor Verschlüsselungs-Trojaner

Laut Cybercrime Competence Center des BMI ist derzeit neue Ransomware in Österreich aktiv, die Privat- und Firmendaten verschlüsselt.

Eine Infektion mit der Schadsoftware findet auf unterschiedlichste Art und Weise statt, zumeist aber durch aktives Zutun des Benutzers.

Eine Infektion mit der Schadsoftware findet auf unterschiedlichste Art und Weise statt, zumeist aber durch aktives Zutun des Benutzers.

© Fotolia / kaptn

Derzeit vergeht kaum eine Woche, in welcher nicht neue Arten von Schadsoftware in Österreich auftauchen. Während viele noch die Nachwirkungen von CryptoLocker und Cerber im Kopf haben, schlägt bereits eine in Österreich neue Schadsoftware zu, die Privat- und Firmendaten verschlüsselt und anschließend einen Geldbetrag in Form von BitCoins zur Erlangung des Entschlüsselungs Codes bzw. -Programms verlangt.

Die derzeit auftretenden Varianten der Ransomware benennen sich "Vegclass@aol.com", "Salazar-Slytherin10(at)yahoo.com" etc., der eigentliche Schadcode dürfte dabei jedoch auf die aus Russland stammende Ransomware "Troldesh" zurück zu führen sein. "Troldesh" verschlüsselt, ebenso wie die jetzt aktuellen Versionen der Ransomware, sämtliche Benutzerdaten mit einer .xtbl-Extension, wobei die heutige Verschlüsselung sämtliche angeschlossene und beschreibbare Peripherie-Geräte sowie das gesamte Netzwerk betrifft. 

Die nunmehrigen Versionen ergänzen dabei den Namen mit ihrer eigenen Signatur, wie z.B. "vegclass@aol.com.xtbl" oder "ecovector3@aol.com.xtbl". Obwohl verschiedene Varianten der Ransomware mit unterschiedlichen Mailadressen gemeldet wurden, wird von Experten angenommen, dass es sich aufgrund der Verwendung gleicher Hintergrundbilder und Vorgangsweise sowie dem sehr ähnlichen Schadcode, um die gleiche Tätergruppen handelt.

Eine Infektion mit der angeführten Schadsoftware findet auf unterschiedlichste Art und Weise statt, zumeist aber durch aktives Zutun des Benutzers. Das Öffnen von unbekannten Anhängen in nicht vertrauenswürdigen E-Mails oder das Herunterladen von Dateien aus unbekannten Quellen wie z.B. einer fremden DropBox kann ebenso als Auslöser gelten, wie der Aufruf zu einem nicht verifizierten Web-Link, wie er zahlreich in SPAM-Mails oder den berichteten DHL- und Post-Verständigungs-Mails vorhanden ist.

Im Falle des "vegclass@aol.com.xtbl" wird der Geschädigte aufgefordert, eine E-Mail mit drei verschlüsselten Dateien im Anhang zu senden. Dies benutzen die Täter offensichtlich, um beweisen zu können, dass eine Entschlüsselung der Daten (nach Bezahlung der Erpressungssumme) möglich ist. 

Das Cybercrime Competence Center des BMI rät derart geforderte Zahlungen – die letzten Forderungen lagen im Bereich von 4 BitCoin (bei stark wechselndem Kurs derzeit rund 2.500 Euro) – nicht zu leisten. Eine Bezahlung sollte das allerletzte Mittel sein, wenn Sie auf die verschlüsselten Daten keinesfalls verzichten können. Eine Wiederherstellung oder Entschlüsselung der Daten ohne dem erforderlichen Key ist auf Grund der hohen Qualität der Verschlüsselung derzeit nahezu unmöglich.

Empfohlene Vorgangsweisen

  • Seien Sie vorsichtig beim Erhalt von E-Mails, deren Absender Sie nicht kennen oder wenn Sie keine entsprechenden Mitteilungen erwarten.
  • Achten Sie auf die Schreibweise und Rechtschreibung solcher Nachrichten, Täter verwenden hier gerne Übersetzungsprogramme, wodurch der Betrug leicht erkennbar ist.
  • Öffnen Sie keinesfalls Ihnen unbekannte Dateianhänge, ohne sich vorher von deren Echtheit zu überzeugen. 
  • Wenn Sie sich unsicher sind, öffnen Sie derartige Dateien in einer gesicherten Umgebung (Sandbox, virtuelle Systeme mit Option auf Rücksetzung) oder bedienen Sie sich unterstützenden Seiten im Internet (z.B. Virustotal.com).
  • Ändern Sie regelmäßig Ihre Zugangsdaten, verwenden Sie unterschiedliche und komplexe Passwörter für verschiedene Accounts und Anwendungen.
  • Beschränken Sie die Benutzerrechte der jeweiligen User so weit als möglich und arbeiten Sie nur unter dem Administrator-Account, wenn dies unbedingt notwendig ist.
  • Das Cybercrime Competence Center des BMI rät den geforderten Betrag nicht zu bezahlen, es sei denn, dass die Wiederherstellung der Daten für Sie unumgänglich ist. Eine Garantie auf eine solche, selbst nach Bezahlung, gibt es nicht. Eine letztendliche Entscheidung darüber müssen Sie für sich selbst treffen.
  • Beachten Sie die Sicherheitshinweise und Tipps, für einen Sicheren Umgang mit dem Internet und Schutz vor IT-Kriminalität der Kriminalprävention: www.bmi.gv.at
  • Verwenden Sie bei der Kontaktaufnahme mit dem Täter keinesfalls Mail-Adressen von Firmen; dies könnte eine höhere Forderung des „erpressten Lösegeldes“ mit sich ziehen.
  • Legen Sie sich eine BackUp-Strategie Ihrer Daten zu. Trennen Sie das BackUp-Medium nach der Sicherung vom System und lösen Sie Share-Links zu BackUp Servern nach erfolgter Sicherung wieder auf. Beachten Sie unbedingt, dass sonst in den meisten Fällen auch sämtliche BackUp-Files von der Verschlüsselung betroffen und somit nicht wiederherstellbar sind.

Vorgehen im Schadensfall

  • Trennen Sie die betroffenen Geräte vom Netz und schalten Sie diese aus.
  • Erstatten Sie umgehend Anzeige auf der nächsten Polizeidienststelle.
  • Für weitere Informationen kontaktieren Sie die Cybercrime-Meldestelle im Bundeskriminalamt: +43-1-24836-986500, against-cybercrime@bmi.gv.at
Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema


Hosted by:    Security Monitoring by: