Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

News: Critroni nutzt Tor-Netzwerk

Alarm: gefährlicher Erpresser-Trojaner wird aktuell verbreitet

Michael Nickles / 16 Antworten / Baumansicht Nickles

Ein gefährlicher Erpressungs-Trojaner namens Critroni der Daten verschlüsselt, ist im Anmarsch. Der Sicherheitsexperte Kaspersky meldet, dass die Schad-Software seit Kurzem in kriminellen Foren für 3.000 Dollar angeboten wird und wohl bereits Käufer gefunden hat.

Critroni geht generell mit der üblichen Erpressungsmasche vor. Auf dem infizierten Rechner werden Dateien verschlüsselt und unnutzbar gemacht. Dann kriegt der Betroffene einen Hinweis, dass er Geld zahlen muss, wenn er die Daten wieder nutzbar machen will.

So schlägt Critroni zu. (Foto: Kaspersky)

Eine Neuheit bei Critroni ist, dass der Schädling für seine Kommunikation das "anonymisierende" Tor-Netzwerk nutzt. Diese Methode haben die Experten von Kaspersky bislang nur bei Banking-Trojanern entdeckt.

Eine Insider-Bezeichnung für Critroni ist inzwischen CTB-Locker, was für Curve/Tor/Bitcoin steht. Bitcoin, weil die Erpresser Betroffene zur Zahlung von Bitcoins auffordern.

Die Bitcoin-Zahlungen können allerdings nicht direkt über einen betroffenen PC durchgeführt werden. Für die Transaktion ist ein anderer PC nötig auf dem das Tor-Browser-Bundle installiert wird. Dann wird eine Verbindung mit der Server der Erpresser hergestellt, um die Bitcoin-Transaktion durchzuführen.

Viel Zeit bleibt Betroffenen nicht. Die Erpresser fordern eine Zahlung binnen 72 Stunden. Ob bei einer Zahlung dann aber tatsächlich die verschlüsselten Dateien wieder entsperrt werden, ist zu bezweifeln. In den bislang bekannten Fällen von Ransomware brachte zahlen nichts.

Michael Nickles meint:

Den Dreck mit dieser so genannten "Krypto-Ransomware", haben wir bereits seit geraumer Zeit. Strenggenommen kommt das bereits aus der MS-DOS-Zeit, als erste Trojaner, die damals noch über infizierte Disketten verbreitet wurden, Daten unbrauchbar gemacht wurden.

Die Entwickler solcher Schad-Software waren damals vorwiegend einfach nur kranke, verhaltensgestörte Menschen, die ihr PC-Wissen missbraucht haben. Es ging einfach nur um Datenzerstörung, Profit haben sie (so weit bekannt) nicht dadurch gemacht - so man sie nicht als Wegbereiter des heute gewaltigen Markts für kommerzielle Schutzlösungen betrachtet.

Stichwort "Kommerzielle Schutzlösung", besser Stichwort "kommerzielle Betriebssysteme". Warum ist ein Betriebssystem eigentlich nicht schlau genug es mitzukriegen, wenn ein Hintergrundprozess, der nicht manuell gestartet wurde, plötzlich zig Dateien verschlüsselt?

Microsoft und Co sind zwar unermüdlich damit beschäftigt irgendwo Sicherheitslöcher zu flicken, aber gleichermaßen schnell werden neue gefunden. Wäre es nicht sinnvoll, mal Mechanismen direkt im System zu verankern, die denkbare Schäden durch Erpresser-Software generell abfangen und verhindern?

Aktuell bleibt es also nur, sich selbst um die Sache zu kümmern. Tipps dazu gibt es hier: Wichtige Datenbestände schützen, überprüfen, reparieren

bei Antwort benachrichtigen
nemesis² Michael Nickles „Alarm: gefährlicher Erpresser-Trojaner wird aktuell verbreitet“
Optionen
Die Entwickler solcher Schad-Software waren damals vorwiegend einfach nur kranke, verhaltensgestörte Menschen, die ihr PC-Wissen missbraucht haben. Es ging einfach nur um Datenzerstörung, Profit haben sie (so weit bekannt) nicht dadurch gemacht

Das hat sich grundlegend geändert, heute geht es ums Geld:

http://www.heise.de/security/meldung/FBI-und-Europol-gehen-gegen-GameOver-Zeus-und-Cryptolocker-vor-2214535.html

Es ist schon erstaunlich, wie hoch die "Spendenbereitschaft" der User ist, die suboptimal vorgesorgt hatten.

so man sie nicht als Wegbereiter des heute gewaltigen Markts für kommerzielle Schutzlösungen betrachtet.

Gerade diese "kommerziellen Schutzlösungen" werden doch von den richtig guten Bootkits in Schach gehalten. Zumindest im privaten Bereich. Für die Windows-Betriebsysteme vor Win8 gilt das ähnlich.

Am ehesten sollten die Hersteller von Festplatten profitieren. Tun sie vorerst nur eingeschränkt, sonst würden weniger Leute zahlen ...

bei Antwort benachrichtigen
BastetFurry Michael Nickles „Alarm: gefährlicher Erpresser-Trojaner wird aktuell verbreitet“
Optionen
  • Backups: wenigstens des Home-Verzeichnisses, also /home oder c:\users
  • NoScript und AdBlock Edge im Browser (Nickles Whitelisten nicht vergessen ;) )
  • Wenn Windows: Gescheiten Virenscanner* und nicht den kostenlosen Müll
  • Das Wichtigste: Gehirn einschalten.

Wer das beherzigt fängt sich so schnell keinen Müll ein. Und wenn doch dann macht man, dank Backup, die Kiste mit Dans Boot and Nuke von CD platt, spielt sein Backup zurück und macht vor dem ersten Boot ein "Fremdscan". Will heißen, Platte(n) per USB an einen anderen Rechner und da den Scanner mal wandern lassen. Dafür tut es zur Not auch die 30 Tage Testversion wenn der zweite Rechner keine Lizenz hat.

*: Würde was vorschlagen, aber da ich ungern meinen Brötchengeber mit einem dreckigen Abmahnanwalt schädigen will wegen irgendwelcher Werbeverstöße...

bei Antwort benachrichtigen
Michael Nickles BastetFurry „Backups: wenigstens des Home-Verzeichnisses, also /home oder ...“
Optionen

Genau. prost

bei Antwort benachrichtigen
BastetFurry Michael Nickles „Genau. prost“
Optionen

Joah, hab vom letzten Geburtstag noch "Gelsenkirchener" Plörre da, besser wie nichts. :)

bei Antwort benachrichtigen
schuerhaken BastetFurry „Backups: wenigstens des Home-Verzeichnisses, also /home oder ...“
Optionen
Wenn Windows: Gescheiten Virenscanner* und nicht den kostenlosen Müll

GÄHN! Cool

bei Antwort benachrichtigen
BastetFurry schuerhaken „GÄHN!“
Optionen
GÄHN! 

Wie schon mal erwähnt brauchen auch VAs was zu beißen. Sonst hast du irgendwelche dubiose Monetarisierung am Bein welche schon Scareware vermuten lässt.

Oder wie war das doch noch gleich bei einem Mitbewerber mit den "süßen" Comicfiguren und dem CCleaner-ähnlichem Tool? "$nummer Windows Probleme festgestellt, für 24,95€ im Jahr sind sie Geschichte" oder so. :3

Da installiere ich mir lieber Qualitätssoftware ausm Ruhrpott, da weiß ich wenigstens mittlerweile Haar genau wie sie funzt und das sie funzt und kann ihr vertrauen.

bei Antwort benachrichtigen
Olaf19 BastetFurry „Backups: wenigstens des Home-Verzeichnisses, also /home oder ...“
Optionen
*: Würde was vorschlagen, aber da ich ungern meinen Brötchengeber mit einem dreckigen Abmahnanwalt schädigen will wegen irgendwelcher Werbeverstöße...

Dann poste das einfach von zuhause :-)

Würde mich schon interessieren, welchen Virenscanner du als "gescheit" einstufen würdest. Mein Eindruck ist eher, die sind alle ziemlich "dämlich".

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
schuerhaken Michael Nickles „Alarm: gefährlicher Erpresser-Trojaner wird aktuell verbreitet“
Optionen
  1. Den eigenen Nutzen im Schaden für andere zu sehen,
    ist ja auch weit verbreitete Tendenz in der Politik.
  2. Wer so dumm ist, keine Backups zu haben, die er einfach 
    mittels DVD-Boot zurückschreibt, ist möglicherweise auch 
    so dumm, sich zur Kasse bitten zu lassen. 
  3. No mercy! 
    ______________________________________________
  4. @ Michael, 
    Dein Server hat ja plötzlich Beine! 

    Wo hatte er die denn gelassen, und wer...??? - Hm... - egal, Karl.
bei Antwort benachrichtigen
Wiesner Michael Nickles „Alarm: gefährlicher Erpresser-Trojaner wird aktuell verbreitet“
Optionen
äre es nicht sinnvoll, mal Mechanismen direkt im System zu verankern, die denkbare Schäden durch Erpresser-Software generell abfangen und verhindern?

Die erste Frage bei den Usern (!auch hier!) wie kann man das abschalten! Bestes Beispiel UAC.

Dann kommen die berühmten Computer Heft Tipps wie man richtig mir dem neuen Features umgeht und was das neue nicht für ein Dreck ist.

Und einige Monate später sehe ich wieder meine Kandidaten und frage wo ist das Backup, .... Rest kennt Ihr.

bei Antwort benachrichtigen
schuerhaken Wiesner „Die erste Frage bei den Usern !auch hier! wie kann man das ...“
Optionen

Man richte sich doch ein virtuelles zweites System in einer Box ein. 
Da genügt doch was Kleines und ganz Schnuckeliges. 
Läuft auf einem nicht zu schwachen Rechner prima. 

bei Antwort benachrichtigen
BastetFurry schuerhaken „Man richte sich doch ein virtuelles zweites System in einer ...“
Optionen

Na dann hoffe ich mal für dich das dein System keine Bugs hat die die Malware ausnutzt und ausbricht.

Hier mal ein wenig Lesestoff schön zusammengefasst:
http://security.stackexchange.com/a/9044

bei Antwort benachrichtigen
ekbeppo Michael Nickles „Alarm: gefährlicher Erpresser-Trojaner wird aktuell verbreitet“
Optionen

Da ich aus eigener Erfahrung spreche (wurde auch schon so gehackt) kann ich nur sage: System komplett runter und neu aufspielen. Kein Geld bezahlen. Bei mir hat es funktioniert!

Mit freundlichen Grüßen ekbeppo Ich bin Fan von Linux / Xubuntu
bei Antwort benachrichtigen
Borlander ekbeppo „Da ich aus eigener Erfahrung spreche wurde auch schon so ...“
Optionen
Bei mir hat es funktioniert!

Die verschlüsselten Dateien kannst Du auf diese Weise aber nicht wieder lesen!

bei Antwort benachrichtigen
ekbeppo Borlander „Die verschlüsselten Dateien kannst Du auf diese Weise aber ...“
Optionen

Das ist richtig. Aber man sollte seine privaten bzw. beruflichen Dateien auch auf externer Festplatte speichern und nur im Bedarfsfalle zuschalten. So geht nicht allzuviel verloren. Es macht nur ein wenig Arbeit und nervt natürlich.

Mit freundlichen Grüßen ekbeppo Ich bin Fan von Linux / Xubuntu
bei Antwort benachrichtigen
Oliver Kühl Michael Nickles „Alarm: gefährlicher Erpresser-Trojaner wird aktuell verbreitet“
Optionen

Moinsen!

Üble Sache und es wird nicht weniger werden. 2 Sachen dazu: der Nutzer und das BS.

Beides kann helfen oder Tore öffnen. Wissen wir alle. Man kennt Leute, die den PC nutzen aber nicht pflegen bzw. schützen. Und das vielgerügte BS Windows. Ich frage mich seit langem, wieso MS nicht das Rad neu erbaut, anstatt auf dem alten was "draufzusetzen". Oder irre ich mich da?

So könnte man Altlasten entrümpeln incl. die eine oder andere Lücke.

DIE Lösung werden wir nicht finden. Haben eigentlich die Knotenpunkte, wo die Datenmengen durchrauschen sowas wie Firewalls oder Grob-Filter?

Ich würde mich auch freuen, wenn diese Leute zur Rechenschaft gezogem würden. Auch die Verbreiter der lästigen sonstigen Rotz-Mails.

Also lasst es uns besser machen und andere die wir kennen mit einbinden.(eingeschränter Gast Account auf deren eigenem Rechner ;-)  ).

Gruß,

Oliver.

P.s.: immer wieder interessant ist die Analogie zur Biologie bei diesem Thema.

bei Antwort benachrichtigen
Conqueror Michael Nickles „Alarm: gefährlicher Erpresser-Trojaner wird aktuell verbreitet“
Optionen

Mich würde es interessieren, ob der Trojaner auch schalten und walten kann, wenn der User und damit das Betriebssystem als normaler User und nicht als Administrator eingestellt ist.

Wenn doch ist es eine Schwachstelle des Betriebssytems und damit direkt eine Nachlässigkeit von Microsoft, oder reißen Sicherheitssoftware Löcher ins System ? 

bei Antwort benachrichtigen