Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

News: Täuschung und Einschüchterung

Erpresser-Trojaner Teslacrypt attackiert PC-Spieler in Deutschland

Michael Nickles / 8 Antworten / Baumansicht Nickles
(Foto: Kaspersky)

Der Erpresser-Trojaner Teslacrypt hat es speziell auf PC-Spieler in Deutschland abgesehen, warnt der Sicherheitsexperte Kaspersky.

Von allen seit Beginn des Jahres 2015 weltweit von Kaspersky  abgewehrten Teslacrypt-Angriffen waren 19,07 Prozent deutsche Kaspersky-Kunden betroffen. Härter erwischt hat es lediglich Gamer in Frankreich.

Inzwischen soll es bei Teslacrypt eine neue Entwicklung geben. Die Version 2.0 gibt sich als die bekanntere gefürchtete Ransomware Cryptowall 3.0 aus.

Die Cyberkriminellen erhoffen sich dadurch vermutlich ein höheres Bedrohungspotenzial. Grund: mit Teslacrypt verschlüsselte Dateien konnten früher mit Tricks restauriert werden, ohne dass Erpressungszahlungen geleistet wurden.

Bei Cryptowall-Vorfällen gibt es indessen keinen Trick. Als Lösegeld für Entschlüsselung werden 500 US-Dollar (rund 450 Euro) gefordert. Zahlt ein Opfer nicht rechtzeitig, wird der Betrag verdoppelt.

Erstmals entdeckt wurde Teslacrypt im Februar 2015 und es standen von Anfang an PC-Spieler im Fokus. "Der Trojaner verschlüsselt vor allem diverse, für Spiele genutzte lokale Dateien, die jedoch nicht größer als 268 Megabyte sind“, erklärt Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky.

"Neben Spielständen werden auch Dateiarten verschlüsselt, die zur Ausführung des Spiels erforderlich sind. Solange der Schädling nicht hundertprozentig von einem System entfernt ist, helfen auch Neuinstallationen von Spielen nicht, da die betreffenden Dateien sofort wieder verschlüsselt werden.“

Die weltweit bislang verhinderten Teslacrypt-Attacken listet Kaspersky wie folgt:

1.    Frankreich: 27.26 Prozent

2.    Deutschland: 19.07 Prozent

3.    USA: 9.22 Prozent

4.    Indien: 5.76 Prozent

5.    Italien: 5.18 Prozent

6.    Großbritannien: 4.44 Prozent

7.    Spanien: 4.32 Prozent

8.    China: 2.11 Prozent

9.    Russland: 1,61 Prozent

10.    Kanada: 1,53 Prozent

Der Erpressungsmechanismus

Teslacrypt erzeugt bei jeder Infektion eine neue Bitcoin-Adresse, über die dann die Lösegeldzahlung abgewickelt wird. Im Gegenzug wird dem Opfer anschließend der Schlüssel zur Entschlüsselung angeboten. Dabei verwendet Teslacrypt in der Version 2.0 zwei Arten von Schlüsseln: Die "Master-Schlüssel" werden einmalig pro infiziertem System vergeben, während "Session-Schlüssel" bei jedem Neustart des Schadprogramms neu generiert werden.

Der für die Verschlüsselung der Dateien verwendete Schlüssel wird nicht auf der Festplatte gespeichert, was die Entschlüsselung deutlich erschwert. Die von Teslacrypt genutzten Command-and-Control-Server (C&C) liegen im Tor-Netzwerk.

Die Malware der Teslacrypt-Familie verbreitet sich über die Exploit-Kits Angler, Sweet Orange und Nuclear, welche auf legitime Webseiten durch Hacks platziert werden. Die Exploit Kits tragen oftmals eine Vielfalt von Schadcodes, welche Schwachstellen von Browsern oder Browser-Plugins ausnutzen, und so die Malware verbreiten.

Teslacrypt will Nutzer in erster Linie täuschen und einschüchtern. So gab bereits eine frühere Version vor, die Dateien seien mit dem Algorithmus RSA-2048 verschlüsselt worden, um deutlich zu machen, dass an der Lösegeld-Zahlung kein Weg vorbei führt. Tatsächlich wurde jedoch die symmetrische Verschlüsselung AES-256 verwendet.

"Die Angreifer finden wohl Gefallen an der gezielten Täuschung der Opfer", erklärt Christian Funk. "In der Version 2.0 gibt Teslacrypt vor, die Opfer seien von Cryptowall infiziert worden. In diesem Fall wäre eine Entschlüsselung nach derzeitigem Stand unmöglich. Alle Links führen aber zu einem Teslacrypt-Server, denn die Urheber von Teslacrypt wollen ihre Lösegelder natürlich nicht an die kriminelle Konkurrenz abführen.“

Schutzmöglichkeiten

Kaspersky Lab rät, von allen wichtigen Dateien regelmäßig Backups anzufertigen und diese auf Speichermedien abzulegen, die ansonsten nicht mit dem System verbunden sind.

Nutzer sollten besonders Browser und deren Plugins sowie alle anderen Softwareprodukte immer aktuell halten und neue Versionen sofort installieren.

Sollte der Rechner trotzdem mit Schadsoftware konfrontiert werden, kann diese von einer installierten aktuellen Schutzlösung wie Kaspersky Internet Security – Multi-Device erkannt und unschädlich gemacht werden.

Die Lösungen von Kaspersky Lab identifizieren die Teslacrypt-Schadprogramme unter dem Namen „Trojan-Ransom.Win32.Bitman“. Zusätzlich verfügen sie über eine Technologie, die bei jedem verdächtigen Zugriff auf Dateien sofort eine Kopie anlegt, mit der die Daten im Ernstfall wiederhergestellt werden können.

Eine technische Analyse zu Teslacrypt findet sich unter http://www.viruslist.com/de/weblog?weblogid=207320082

Michael Nickles meint:

Ich veröffentliche solche Pressemitteilungen nur sehr ungern. Denn: für die Verkäufer von Sicherheits-Software sind solche Erpresser-Schädling-Vorfälle natürlich ein gefundenes Fressen um Kohle zu machen.

Gäbe es keine Schädlinge, bräuchte es auch keine (kommerzielle) Schutz-Software. Wie zuverlässig Teslacrypt von Kaspersky erkannt wird weiß ich nicht, ebenso nicht, ob andere eventuell kostenlose Sicherheits-Software das auch kann.

Die Rede ist von "kann". Es gibt durchaus automatische und manuelle Schutzlösungen vor Erpresser-Software die wichtige Dateien unbrauchbar macht. Ich habe die empfehlenswerten Methoden hier im Tipp zusammengefasst:

TIPP: Wirksame Schutzmethoden gegen verschlüsselnde Erpresser-Trojaner

bei Antwort benachrichtigen
PTR Michael Nickles „Erpresser-Trojaner Teslacrypt attackiert PC-Spieler in Deutschland“
Optionen
Ich veröffentliche solche Pressemitteilungen nur sehr ungern. Denn: für die Verkäufer von Sicherheits-Software sind solche Erpresser-Schädling-Vorfälle natürlich ein gefundenes Fressen um Kohle zu machen.

... dann gehörst Du wahrscheinlich zu denen, die lieber 450 Eus an die Erpresser zahlen, als ca. 20,00 Eus pro Jahr an einen kommerziellen Antivierenprogrammanbieter. Na dann weiterhin frohes Zahlen .... 

Doch muß sich jeder selber fragen und auch handeln, wie er sein System sicher hält.

Mir sind die 25,00 Eus die ich jährlich an einen AV-Anbieter zahle, jedenfalls nicht an den A... gewachsen. Es ist und bleibt jeden seine eigene Entscheidung.

bei Antwort benachrichtigen
soppiy PTR „... dann gehörst Du wahrscheinlich zu denen, die lieber 450 Eus ...“
Optionen

In der Welt stand gestern auch was dazu drin. Hier nachzulesen, es geht um Win 10 Upgrade:

http://www.welt.de/wirtschaft/webwelt/article144791321/Wer-dieses-Update-installiert-verliert-seine-Daten.html

Dumme Gedanken hat jeder, aber der Weise verschweigt sie.(http://www.z-mj.de)
bei Antwort benachrichtigen
Hewal Michael Nickles „Erpresser-Trojaner Teslacrypt attackiert PC-Spieler in Deutschland“
Optionen

Ich finde es fast schon fahrlässig, AV Programme als Nutzlos zu bezeichnen, die es nicht Wert sind, Geld dafür zu zahlen.

Ich kennen KEINEN (!!) Administrator von Firmennetzwerken, der sagt, ein AV Programm ist unnütz.

Und wenn ich dann noch lese, dass der kostenlose Microsoft AV-Lösung völlig ausreicht, wird mir echt übel!

Schreibfehler sind specialeffects meiner Tastatur.
bei Antwort benachrichtigen
Michael Nickles Hewal „Ich finde es fast schon fahrlässig, AV Programme als Nutzlos zu ...“
Optionen
Ich finde es fast schon fahrlässig, AV Programme als Nutzlos zu bezeichnen, die es nicht Wert sind, Geld dafür zu zahlen.

Wo werden sie denn als nutzlos bezeichnet?

bei Antwort benachrichtigen
Hewal Michael Nickles „Wo werden sie denn als nutzlos bezeichnet?“
Optionen

Es gibt hier im Forum genügend Aussagen wie "wenn überhaupt, dann einen kostenlosen.." usw. 

Und mit Aussagen wie 

Ich veröffentliche solche Pressemitteilungen nur sehr ungern. Denn: für die Verkäufer von Sicherheits-Software sind solche Erpresser-Schädling-Vorfälle natürlich ein gefundenes Fressen um Kohle zu machen

machen es auch nicht besser. 

Schreibfehler sind specialeffects meiner Tastatur.
bei Antwort benachrichtigen
nettermensch Hewal „Es gibt hier im Forum genügend Aussagen wie wenn überhaupt, dann ...“
Optionen

Hallo Hewai,

ich werde in meinem Restleben wohl kein PC-Experte mehr, bin deswegen auf die Erfahrungen der Experten angewiesen und nutze diese nach Abwägung auch.

Gerade das Thema AV ist kontrovers und man liest das für und wieder regelmäßig.

Ich habe mich entschieden es mit kostenloser AV zu versuchen ( Win 7 prof Bordmittel) da die gekauften AV wie auch die kostenlosen AV immer so zu sagen im Gleichschritt hinter den  Gefahren im Netz hinterherlaufen weil es ja immer erst einen Virus geben muss um ihn zu bekämpfen. Die Frage ist dann wer arbeitet schneller und effektiver und genau dass konnte noch nicht eindeutig beantwortet werden.

Nun meine Erfahrung seit gut 1 1/2 Jahren sowie auch davor mit gekaufter AV ( Kasp.) nur dass jetzt die Gefahrenmeldungen weg sind, ist nichts aber auch gar nix schlimmes passiert.

Kann man sagen die Erfahrung gibt recht oder hatte ich nur Glück, wie man dass nun sieht muss letztlich glaube ich jeder selber mit sich ausmachen.

sooooooon Schieeeet hier regnet es in HH   Gruß ..............nettermensch

Wenn man was will findet man einen Weg , wenn man was NICHTwill, findet man eine Ausrede
bei Antwort benachrichtigen
Maybe Hewal „Ich finde es fast schon fahrlässig, AV Programme als Nutzlos zu ...“
Optionen
Ich kennen KEINEN (!!) Administrator von Firmennetzwerken, der sagt, ein AV Programm ist unnütz.

Richtig, aber da werden in der Regel Netzwerklösungen genutzt, von denen der Nutzer im besten Falle überhaupt nichts mitbekommt. Und ein Netzwerk-Administrator sollte und wird sich nicht der Illusion hingeben, mit einer AV-Lösung alleine wäre er auf der sicheren Seite.

Im Consumer-Bereich suggerieren die Hersteller aber immer noch die All in One Sicherheitlösung für den heimischen Rechner. Und wie im Gesundheitssektor gilt auch hier: "Jede Impfung braucht erst einmal einen erkannten Erreger!"

Im privaten Umfeld habe ich oft mit verseuchten Rechnern zu tun, weil man sich eben absolut auf das AV-Programm verlassen hat und dieses eben die aktuellen Schädlinge nicht erkannt hat. Ansonsten sind beinahe alle Programme, die nicht zufällig einen automatischen Updatemechanismus haben, absolut veraltet. Und da automatische Updates "nerven", werden diese natürlich auch möglichst deaktiviert.

Und das sind die gleichen Menschen, die beim geliebten KFZ lieber 2000km früher in die Inspektion fahren. Denn da kann es sehr schnell sehr teuer werden.

Wirklich gekümmert wird sich leider nur da, wo viel Geld im Spiel ist.

Gruß

Maybe

"Es gibt nur eine falsche Sicht der Dinge: der Glaube, meine Sicht sei die einzig Richtige!" (Nagarjuna, buddhistischer Philosoph)
bei Antwort benachrichtigen
Hewal Maybe „Richtig, aber da werden in der Regel Netzwerklösungen genutzt, ...“
Optionen
Und ein Netzwerk-Administrator sollte und wird sich nicht der Illusion hingeben, mit einer AV-Lösung alleine wäre er auf der sicheren Seite.

Das hat ja auch keiner behauptet. Es geht hier nicht darum, dass eine AV Lösung die alleinige Sicherheit bringt. Es geht darum, dass die AV Lösung eine von drei notwendigen Optionen ist. Die anderen sind - wie du bereits erwähnt hast: Aktualität der verwendeten Software und natürlich der Verstand.

Wie gesagt - die AV Lösung ist eine der drei Pfeiler in Sachen Sicherheit.

Mir geht nur die Hutschnur auf, wenn ich hier immer und immer wieder lesen muss, dass kostenlose AV Lösungen ausreichend sind. Das ist völliger Blödsinn. Ich kenne keine kostenlose Lösung, die a) eine möglichst hohe Erkennungsrate und b) performant ist. Dies lässt sich einfach nur mit kostenpflichtigen Mitteln erreichen.

Und JAAA; Es gibt auch bei den kostenpflichtigen Lösungen viel Mist, das ist schon klar.

Schreibfehler sind specialeffects meiner Tastatur.
bei Antwort benachrichtigen