Viren, Spyware, Datenschutz 11.212 Themen, 94.154 Beiträge

News: Täuschung und Einschüchterung

Erpresser-Trojaner Teslacrypt attackiert PC-Spieler in Deutschland

Michael Nickles / 8 Antworten / Flachansicht Nickles
(Foto: Kaspersky)

Der Erpresser-Trojaner Teslacrypt hat es speziell auf PC-Spieler in Deutschland abgesehen, warnt der Sicherheitsexperte Kaspersky.

Von allen seit Beginn des Jahres 2015 weltweit von Kaspersky  abgewehrten Teslacrypt-Angriffen waren 19,07 Prozent deutsche Kaspersky-Kunden betroffen. Härter erwischt hat es lediglich Gamer in Frankreich.

Inzwischen soll es bei Teslacrypt eine neue Entwicklung geben. Die Version 2.0 gibt sich als die bekanntere gefürchtete Ransomware Cryptowall 3.0 aus.

Die Cyberkriminellen erhoffen sich dadurch vermutlich ein höheres Bedrohungspotenzial. Grund: mit Teslacrypt verschlüsselte Dateien konnten früher mit Tricks restauriert werden, ohne dass Erpressungszahlungen geleistet wurden.

Bei Cryptowall-Vorfällen gibt es indessen keinen Trick. Als Lösegeld für Entschlüsselung werden 500 US-Dollar (rund 450 Euro) gefordert. Zahlt ein Opfer nicht rechtzeitig, wird der Betrag verdoppelt.

Erstmals entdeckt wurde Teslacrypt im Februar 2015 und es standen von Anfang an PC-Spieler im Fokus. "Der Trojaner verschlüsselt vor allem diverse, für Spiele genutzte lokale Dateien, die jedoch nicht größer als 268 Megabyte sind“, erklärt Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky.

"Neben Spielständen werden auch Dateiarten verschlüsselt, die zur Ausführung des Spiels erforderlich sind. Solange der Schädling nicht hundertprozentig von einem System entfernt ist, helfen auch Neuinstallationen von Spielen nicht, da die betreffenden Dateien sofort wieder verschlüsselt werden.“

Die weltweit bislang verhinderten Teslacrypt-Attacken listet Kaspersky wie folgt:

1.    Frankreich: 27.26 Prozent

2.    Deutschland: 19.07 Prozent

3.    USA: 9.22 Prozent

4.    Indien: 5.76 Prozent

5.    Italien: 5.18 Prozent

6.    Großbritannien: 4.44 Prozent

7.    Spanien: 4.32 Prozent

8.    China: 2.11 Prozent

9.    Russland: 1,61 Prozent

10.    Kanada: 1,53 Prozent

Der Erpressungsmechanismus

Teslacrypt erzeugt bei jeder Infektion eine neue Bitcoin-Adresse, über die dann die Lösegeldzahlung abgewickelt wird. Im Gegenzug wird dem Opfer anschließend der Schlüssel zur Entschlüsselung angeboten. Dabei verwendet Teslacrypt in der Version 2.0 zwei Arten von Schlüsseln: Die "Master-Schlüssel" werden einmalig pro infiziertem System vergeben, während "Session-Schlüssel" bei jedem Neustart des Schadprogramms neu generiert werden.

Der für die Verschlüsselung der Dateien verwendete Schlüssel wird nicht auf der Festplatte gespeichert, was die Entschlüsselung deutlich erschwert. Die von Teslacrypt genutzten Command-and-Control-Server (C&C) liegen im Tor-Netzwerk.

Die Malware der Teslacrypt-Familie verbreitet sich über die Exploit-Kits Angler, Sweet Orange und Nuclear, welche auf legitime Webseiten durch Hacks platziert werden. Die Exploit Kits tragen oftmals eine Vielfalt von Schadcodes, welche Schwachstellen von Browsern oder Browser-Plugins ausnutzen, und so die Malware verbreiten.

Teslacrypt will Nutzer in erster Linie täuschen und einschüchtern. So gab bereits eine frühere Version vor, die Dateien seien mit dem Algorithmus RSA-2048 verschlüsselt worden, um deutlich zu machen, dass an der Lösegeld-Zahlung kein Weg vorbei führt. Tatsächlich wurde jedoch die symmetrische Verschlüsselung AES-256 verwendet.

"Die Angreifer finden wohl Gefallen an der gezielten Täuschung der Opfer", erklärt Christian Funk. "In der Version 2.0 gibt Teslacrypt vor, die Opfer seien von Cryptowall infiziert worden. In diesem Fall wäre eine Entschlüsselung nach derzeitigem Stand unmöglich. Alle Links führen aber zu einem Teslacrypt-Server, denn die Urheber von Teslacrypt wollen ihre Lösegelder natürlich nicht an die kriminelle Konkurrenz abführen.“

Schutzmöglichkeiten

Kaspersky Lab rät, von allen wichtigen Dateien regelmäßig Backups anzufertigen und diese auf Speichermedien abzulegen, die ansonsten nicht mit dem System verbunden sind.

Nutzer sollten besonders Browser und deren Plugins sowie alle anderen Softwareprodukte immer aktuell halten und neue Versionen sofort installieren.

Sollte der Rechner trotzdem mit Schadsoftware konfrontiert werden, kann diese von einer installierten aktuellen Schutzlösung wie Kaspersky Internet Security – Multi-Device erkannt und unschädlich gemacht werden.

Die Lösungen von Kaspersky Lab identifizieren die Teslacrypt-Schadprogramme unter dem Namen „Trojan-Ransom.Win32.Bitman“. Zusätzlich verfügen sie über eine Technologie, die bei jedem verdächtigen Zugriff auf Dateien sofort eine Kopie anlegt, mit der die Daten im Ernstfall wiederhergestellt werden können.

Eine technische Analyse zu Teslacrypt findet sich unter http://www.viruslist.com/de/weblog?weblogid=207320082

Michael Nickles meint:

Ich veröffentliche solche Pressemitteilungen nur sehr ungern. Denn: für die Verkäufer von Sicherheits-Software sind solche Erpresser-Schädling-Vorfälle natürlich ein gefundenes Fressen um Kohle zu machen.

Gäbe es keine Schädlinge, bräuchte es auch keine (kommerzielle) Schutz-Software. Wie zuverlässig Teslacrypt von Kaspersky erkannt wird weiß ich nicht, ebenso nicht, ob andere eventuell kostenlose Sicherheits-Software das auch kann.

Die Rede ist von "kann". Es gibt durchaus automatische und manuelle Schutzlösungen vor Erpresser-Software die wichtige Dateien unbrauchbar macht. Ich habe die empfehlenswerten Methoden hier im Tipp zusammengefasst:

TIPP: Wirksame Schutzmethoden gegen verschlüsselnde Erpresser-Trojaner

bei Antwort benachrichtigen
nettermensch Hewal „Es gibt hier im Forum genügend Aussagen wie wenn überhaupt, dann ...“
Optionen

Hallo Hewai,

ich werde in meinem Restleben wohl kein PC-Experte mehr, bin deswegen auf die Erfahrungen der Experten angewiesen und nutze diese nach Abwägung auch.

Gerade das Thema AV ist kontrovers und man liest das für und wieder regelmäßig.

Ich habe mich entschieden es mit kostenloser AV zu versuchen ( Win 7 prof Bordmittel) da die gekauften AV wie auch die kostenlosen AV immer so zu sagen im Gleichschritt hinter den  Gefahren im Netz hinterherlaufen weil es ja immer erst einen Virus geben muss um ihn zu bekämpfen. Die Frage ist dann wer arbeitet schneller und effektiver und genau dass konnte noch nicht eindeutig beantwortet werden.

Nun meine Erfahrung seit gut 1 1/2 Jahren sowie auch davor mit gekaufter AV ( Kasp.) nur dass jetzt die Gefahrenmeldungen weg sind, ist nichts aber auch gar nix schlimmes passiert.

Kann man sagen die Erfahrung gibt recht oder hatte ich nur Glück, wie man dass nun sieht muss letztlich glaube ich jeder selber mit sich ausmachen.

sooooooon Schieeeet hier regnet es in HH   Gruß ..............nettermensch

Wenn man was will findet man einen Weg , wenn man was NICHTwill, findet man eine Ausrede
bei Antwort benachrichtigen