Der Erpresser-Trojaner Teslacrypt hat es speziell auf PC-Spieler in Deutschland abgesehen, warnt der Sicherheitsexperte Kaspersky.
Von allen seit Beginn des Jahres 2015 weltweit von Kaspersky abgewehrten Teslacrypt-Angriffen waren 19,07 Prozent deutsche Kaspersky-Kunden betroffen. Härter erwischt hat es lediglich Gamer in Frankreich.
Inzwischen soll es bei Teslacrypt eine neue Entwicklung geben. Die Version 2.0 gibt sich als die bekanntere gefürchtete Ransomware Cryptowall 3.0 aus.
Die Cyberkriminellen erhoffen sich dadurch vermutlich ein höheres Bedrohungspotenzial. Grund: mit Teslacrypt verschlüsselte Dateien konnten früher mit Tricks restauriert werden, ohne dass Erpressungszahlungen geleistet wurden.
Bei Cryptowall-Vorfällen gibt es indessen keinen Trick. Als Lösegeld für Entschlüsselung werden 500 US-Dollar (rund 450 Euro) gefordert. Zahlt ein Opfer nicht rechtzeitig, wird der Betrag verdoppelt.
Erstmals entdeckt wurde Teslacrypt im Februar 2015 und es standen von Anfang an PC-Spieler im Fokus. "Der Trojaner verschlüsselt vor allem diverse, für Spiele genutzte lokale Dateien, die jedoch nicht größer als 268 Megabyte sind“, erklärt Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky.
"Neben Spielständen werden auch Dateiarten verschlüsselt, die zur Ausführung des Spiels erforderlich sind. Solange der Schädling nicht hundertprozentig von einem System entfernt ist, helfen auch Neuinstallationen von Spielen nicht, da die betreffenden Dateien sofort wieder verschlüsselt werden.“
Die weltweit bislang verhinderten Teslacrypt-Attacken listet Kaspersky wie folgt:
1. Frankreich: 27.26 Prozent
2. Deutschland: 19.07 Prozent
3. USA: 9.22 Prozent
4. Indien: 5.76 Prozent
5. Italien: 5.18 Prozent
6. Großbritannien: 4.44 Prozent
7. Spanien: 4.32 Prozent
8. China: 2.11 Prozent
9. Russland: 1,61 Prozent
10. Kanada: 1,53 Prozent
Der Erpressungsmechanismus
Teslacrypt erzeugt bei jeder Infektion eine neue Bitcoin-Adresse, über die dann die Lösegeldzahlung abgewickelt wird. Im Gegenzug wird dem Opfer anschließend der Schlüssel zur Entschlüsselung angeboten. Dabei verwendet Teslacrypt in der Version 2.0 zwei Arten von Schlüsseln: Die "Master-Schlüssel" werden einmalig pro infiziertem System vergeben, während "Session-Schlüssel" bei jedem Neustart des Schadprogramms neu generiert werden.
Der für die Verschlüsselung der Dateien verwendete Schlüssel wird nicht auf der Festplatte gespeichert, was die Entschlüsselung deutlich erschwert. Die von Teslacrypt genutzten Command-and-Control-Server (C&C) liegen im Tor-Netzwerk.
Die Malware der Teslacrypt-Familie verbreitet sich über die Exploit-Kits Angler, Sweet Orange und Nuclear, welche auf legitime Webseiten durch Hacks platziert werden. Die Exploit Kits tragen oftmals eine Vielfalt von Schadcodes, welche Schwachstellen von Browsern oder Browser-Plugins ausnutzen, und so die Malware verbreiten.
Teslacrypt will Nutzer in erster Linie täuschen und einschüchtern. So gab bereits eine frühere Version vor, die Dateien seien mit dem Algorithmus RSA-2048 verschlüsselt worden, um deutlich zu machen, dass an der Lösegeld-Zahlung kein Weg vorbei führt. Tatsächlich wurde jedoch die symmetrische Verschlüsselung AES-256 verwendet.
"Die Angreifer finden wohl Gefallen an der gezielten Täuschung der Opfer", erklärt Christian Funk. "In der Version 2.0 gibt Teslacrypt vor, die Opfer seien von Cryptowall infiziert worden. In diesem Fall wäre eine Entschlüsselung nach derzeitigem Stand unmöglich. Alle Links führen aber zu einem Teslacrypt-Server, denn die Urheber von Teslacrypt wollen ihre Lösegelder natürlich nicht an die kriminelle Konkurrenz abführen.“
Schutzmöglichkeiten
Kaspersky Lab rät, von allen wichtigen Dateien regelmäßig Backups anzufertigen und diese auf Speichermedien abzulegen, die ansonsten nicht mit dem System verbunden sind.
Nutzer sollten besonders Browser und deren Plugins sowie alle anderen Softwareprodukte immer aktuell halten und neue Versionen sofort installieren.
Sollte der Rechner trotzdem mit Schadsoftware konfrontiert werden, kann diese von einer installierten aktuellen Schutzlösung wie Kaspersky Internet Security – Multi-Device erkannt und unschädlich gemacht werden.
Die Lösungen von Kaspersky Lab identifizieren die Teslacrypt-Schadprogramme unter dem Namen „Trojan-Ransom.Win32.Bitman“. Zusätzlich verfügen sie über eine Technologie, die bei jedem verdächtigen Zugriff auf Dateien sofort eine Kopie anlegt, mit der die Daten im Ernstfall wiederhergestellt werden können.
Eine technische Analyse zu Teslacrypt findet sich unter http://www.viruslist.com/de/weblog?weblogid=207320082
Ich veröffentliche solche Pressemitteilungen nur sehr ungern. Denn: für die Verkäufer von Sicherheits-Software sind solche Erpresser-Schädling-Vorfälle natürlich ein gefundenes Fressen um Kohle zu machen.
Gäbe es keine Schädlinge, bräuchte es auch keine (kommerzielle) Schutz-Software. Wie zuverlässig Teslacrypt von Kaspersky erkannt wird weiß ich nicht, ebenso nicht, ob andere eventuell kostenlose Sicherheits-Software das auch kann.
Die Rede ist von "kann". Es gibt durchaus automatische und manuelle Schutzlösungen vor Erpresser-Software die wichtige Dateien unbrauchbar macht. Ich habe die empfehlenswerten Methoden hier im Tipp zusammengefasst:
TIPP: Wirksame Schutzmethoden gegen verschlüsselnde Erpresser-Trojaner