Schlagwort-Archive: Cryptolocker

Neue Malware-Funktionen zum Stehlen von Passwörtern und Kryptogeld

IT-SecuritySchadsoftware folgt inzwischen vergleichbaren Entwicklungsschritten wie professionelle Software-Entwicklung auch. Immer neue Funktionen kommen zu den vorhandenen Features hinzu. So auch bei neuen Varianten der Ransomware Cerber. Durch Dateiverschlüsselung erpresste Kryptowährungs-Einheiten reichen den Cyberkriminellen nicht mehr, neue Varianten stehlen die Kryptogeld-Wallet (quasi das „digitale Portemonnaie“) und löschen sie anschließend auf dem Rechner. Zudem ziehen die Schädlinge die Passwörter aus den Webbrowsern Chrome, Firefox und Internet Explorer ab, unter anderem wohl, um an das Kryptogeld in den verschlüsselten Wallets heranzukommen.

Diese Evolution der Malware lässt sich immer wieder beobachten und zeigt, dass ein Schutzkonzept nicht nur aus der Installation und Wartung einer Virenschutz-Lösung bestehen kann. Um beispielsweise die gelöschte Wallet sowie die verschlüsselten Dateien wiederherzustellen, ist ein Backup nötig. Am Besten mit einem eigenen Backup-Konto erstellt, sodass Schädlinge im Benutzerkontext keinen Zugriff auf die Backups erhalten und diese nicht mitverschlüsseln können. Um dem Passwortdiebstahl aus dem Webbrowser vorzubeugen, bietet sich ein Passwort-Manager wie Sticky Password an. Diese legen die Zugangsdaten in eigenen verschlüsselten Containern ab, sodass die unsichere Speicherung im Webbrowser entfällt.

Nachschlüssel für Verschlüsselungstrojaner

GoldenEye, Mischa und Petya – für diese Erpressungstrojaner haben die Malware-Programmierer Master-Schlüssel veröffentlicht. Die Echtheit wurde von Sicherheitsforschern auf Twitter inzwischen bestätigt. In Kürze dürften daher Tools bereitstehen, die die von diesen Schädlingen verschlüsselten Dateien wiederherstellen können.

Bei Befall mit Ransomware lautet einer der Tipps, ein Backup der verschlüsselten Medien zu behalten – relativ häufig tauchen nach einiger Zeit Tools auf, mit denen die verschlüsselten Dateien doch wiederhergestellt werden können. Dennoch bleibt ein Schutz vor solchen Erpressungstrojanern wichtig und umfasst neben aktuellem Antivirus auch ein regelmäßiges Backup der wichtigen Daten. Am besten mit einem anderen Benutzerkonto, sodass das Backup nicht auch verschlüsselt werden kann.

Geschützt vor Verschlüsselungstrojaner (Not-)Petya

avg_logo_deDie globale Infektionswelle mit dem als (Not-)Petya bekannten Verschlüsselungstrojaner hat viele Rechner unter anderem auch in Deutschland getroffen. Offenbar betrifft dies insbesondere international agierende Unternehmen, die die ukrainische Steuer-Software MeDoc einsetzen müssen. Darin wurde die Malware wohl via gehacktem, integrierten Update-Mechanismus ausgeliefert. Der Schädling versucht daraufhin, sich weiterzuverbreiten, indem er unter anderem die Sicherheitslücke EternalBlue aus dem NSA-Fundus ausnutzt.

AVG berichtet, dass 38 Millionen von der Antivirensoftware des Mutterkonzerns Avast gescannten PCs in der vergangenen Woche die von Microsoft bereitgestellten Patches zum Schließen der Sicherheitslücke nicht installiert hatten. Daher empfiehlt AVG, auf jeden Fall die Windows Updates einzuspielen, um die PCs abzusichern. AVG schützt derweil vor den (Not-)Petya-Infektionen: Bereits infizierte PCs können laut Hersteller wieder bereinigt werden; neue Infektionen werden umgehend beim Versuch des Eindringens blockiert.

Verschlüsselungstrojaner und Wurm: WannaCry richtet großen Schaden an

IT-SecurityAm Freitag Abend häuften sich Meldungen zu einem neuen Verschlüsselungstrojaner, der zahlreiche Rechner und Netzwerke zunächst in Russland, dann in England und schließlich weltweit befallen hat. Der Erpressertrojaner WannaCry verschlüsselt nicht nur die Daten und droht, diese am 19. Mai zu löschen, sondern nutzt eine Sicherheitslücke in Windows-Netzwerkfreigaben aus, um sich in Netzen auszubreiten und weitere Systeme zu befallen. Auf unterstützten Windows-Systemen hat Microsoft diese Sicherheitslücke, deren Bestehen durch das Portfolio der bekannt gewordenen NSA-Exploit-Sammlung öffentlich wurde, bereits am März-Patchday geschlossen. Aufgrund des Ausbruchs hat das Unternehmen in einem außergewöhnlichen Schritt jedoch noch Windows-Updates für alte, nicht mehr unterstützte Systeme wie Windows XP oder Server 2003 nachgelegt. Nutzer und Administratoren sollten diese umgehend einspielen!

Ransomware ist inzwischen nichts Neues mehr – jedoch zeigt die WannaCry-Attacke einige Besonderheiten: Die Schadsoftware hat große Hersteller getroffen, etwa viele Krankenhäuser und die Rechner des nationalen Gesundheitsdienstes von Großbritannien, Werke der Autohersteller Nissan und Renault oder auch die spanischen und portugiesischen Telekom-Unternehmen Telefonica und Telecom. Nicht zu vergessen natürlich, auch die Deutsche Bahn. Neben der klassischen Infektion via Links in E-Mails nutzt der Schädlinge eine Sicherheitslücke, um sich wie ein Wurm im Netz weiter zu verbreiten und so wesentlich mehr Schaden anzurichten. So müssen gegebenenfalls ganze Netzwerke neu aufgesetzt werden, anstatt wie bislang nur der einzelne infizierte Rechner im Unternehmensnetz.

Die bekannten Schädlinge wurden bereits am Freitag von guten Virenscannern wie denen von eScan oder AVG erkannt und blockiert. Die zumeist bereits umgesetzten Sicherheitskonzepte, die auch regelmäßiges Backup aller Daten mit einschließen, helfen auch hier, die Auswirkungen der Angriffswelle einzuschränken und rasch wieder in den produktiven Betrieb zu kommen, sollte die eigene Antivirenlösung die Schädlinge noch nicht erkannt haben.

Ransomware-Überlebenstraining

Ransomware Info-PDFMit der steigenden Anzahl von Ransomware-Angriffen auf Unternehmen jeder Größen­ordnung war es noch nie so wichtig, Ihr Unternehmen, Ihre Bestände und die Zukunft Ihres Unternehmens zu schützen.

Mit 120 Millionen neuen Varianten allein im Jahr 2015 gehört Ransom­ware zu den am schnellsten wachsenden Internet­bedrohungen. Jigsaw ist die derzeit neuste und fort­geschrittenste Ransomware-Version. Sie übernimmt die Kontrolle über Ihren Computer und löscht Dateien, bis Sie ein Löse­geld zahlen. Vorsorge ist die beste Abwehr von solchen Angriffen.

Schützen Sie die Unternehmen Ihrer Kunden in 5 einfachen Schritten:

1. Sichern Sie Dateien auf einem externen Laufwerk
   Beispielsweise mit einem getrennten Backup-Operator-Account, damit Ransomware keinen Zugriff auf die Backups erhält.
2. Schulen Sie Mitarbeiter, sodass sie wissen, worauf sie achten müssen
   Auch Dateien hinter Links in E-Mails sind als gefährlicher E-Mail-Anhang zu betrachten.
3. Implementieren Sie Richtlinien zum Umgang mit Ransomware
   Notfallplan: Betroffene Maschine rasch vom Netz trennen, Backup der Festplatte und gegebenenfalls verschlüsselter Dateien auf den Netzlaufwerken anlegen, betroffene Maschine neu aufsetzen, Daten auf Netzlaufwerk vom Backup wieder einspielen.
4. Aktualisieren Sie sämtliche Software auf die neuesten Versionen
5. Verwenden Sie mehrstufigen Antivirus-Schutz!

Beachten Sie auch unser Info-PDF mit einfachen Erläuterungen der Lage und der Schutzmaßnahmen!

Zeroday-Lücke im Flash Player geschlossen

avg_logo_deIm Flash Player von Adobe wird derzeit eine Sicherheitslücke von Cyberkriminellen angegriffen – alleine das Besuchen einer gehackten Webseite mit anfälliger Flash-Version genügt, den Rechner mit einem Trojaner zu infizieren. Seit heute stehen Updates bereit, die Nutzer und Administratoren zeitnah einspielen sollten.

Die aktuell installierte Flash-Version findet man über die About-Flash-Seite von Adobe heraus. Aktuell sind die Versionen 21.0.0.213, 18.0.0.343, 11.2.202.616; sie stehen im Download-Center bereit.

Eine Antivirenlösung hilft, sich gegen derartige Schwachstellen zu schützen: Der Web-Schutz in AVG Antivirus und Internet Security untersucht Webseiten auf enthaltene Exploits und kann entdeckte auch blockieren. Jedoch sollte auch die installierte Software stets auf dem aktuellen Stand gehalten und ungenutzte Programme nach Möglichkeit wieder von den Rechnern entfernt werden, um die Angriffsfläche zu minimieren. Zudem ist es ratsam, ein regelmäßiges Backup der wichtigen Daten anzufertigen, auf ein Medium, das nicht dauerhaft am Rechner angeschlossen ist. So lassen sich Auswirkungen beispielsweise von verschlüsselnden Erpressungtrojanern wirksam eindämmen.

Petya-Erpressungstrojaner sperrt PCs – mögliche Abhilfe

avg_logo_deDerzeit grassiert eine Welle von Kryptolockern, die PCs vermeintlich blockiert und komplett verschlüsselt. Die Social-Engineering-Varianten zur Infektion sind soweit eigentlich bekannt, ungewöhnlich ist die neue Kombination: Per E-Mail kommt eine vermeintliche Bewerbung herein, die auf Bewerbungsunterlagen in einer Dropbox hinweist. Darin befindet sich dann eine Datei, die derzeit „Bewerbungsmappe-gepackt.exe“ heißt. Bei Ausführung simuliert diese Datei einen Bluescreen, verändert Master Boot Record der Festplatte und Windows-Startdateien; anschließend erzwingt sie einen Neustart. Dort ist dann ein Link in das TOR-Netzwerk hinterlegt, wo die zum Freikaufen erpresste Summe gezahlt werden soll.

Nach bisherigen Erkenntnissen wird die Festplatte jedoch derzeit nicht verschlüsselt. Der Master Boot Record sowie die Windows-Startdateien sollten sich mit einer Windows-Installations-CD wiederherstellen lassen. Diese CD (oder USB-Stick) muss man zum Starten des Rechners verwenden. Sie sollte zum dort installierten Betriebssystem passen, also jeweils Windows 7, 8 oder 10. Dort startet man die Reparaturoptionen und wählt die Kommandozeile aus. Um den Master Boot Record zu reparieren, gibt man ein:
bootrec /fixmbr

Mit den Kommandos:
bootrec /fixboot
bootrec /rebuildbcd

bringt man dann die Startdateien wieder in Ordnung. Nun sollten die Partitonen wieder zugreifbar sein, sodass man ein Backup der Daten anlegen und den Rechner neu aufsetzen kann.

Die Antivirenhersteller wie AVG pflegen permanent neue Signaturen nach, um die Erkennung der Schädlinge zu gewährleisten. Jedoch passiert es bei neuen Varianten gelegentlich, dass die Heuristik nicht mehr greift und zwischen Ausbruch des Schädlings und der Veröffentlichung von neuen Erkennungen etwas Zeit vergeht. Daher kann es bei derartigen unverlangt zugesandten Dokumenten bereits helfen, einige Stunden abzuwarten. Und natürlich bleibt weiterhin ein Grundpfeiler des Sicherheitskonzepts, die Mitarbeiter zu schulen: Die Regeln beim Umgang mit unverlangt zugesandten Dateien in E-Mails gelten auch dann, wenn der Anhang in Cloud-Speicher wie Dropbox abgelegt wird.

Einfallstore von Erpressungstrojanern

Erpressungstrojaner wie CryptoLocker, Chimera und ähnlichen stellen derzeit eine wachsende Bedrohung dar. Wie aber kommt es zu diesen Infektionen?

Die Einfallstore umfassen zunehmend das inzwischen sicher geglaubte Medium E-Mail. Die Masche ist ausgefeilter als bei früheren Angriffswellen. So nutzen die Schädlinge dem BSI zufolge gezielt E-Mail-Adressen aus Unternehmen und Behörden. Als Social-Engineering-Köder dienen beispielsweise vermeintliche Bewerbungen. Die Angriffe sollen dem BSI zufolge derart maßgeschneidert sein, dass diese gefälschten Bewerbungen auf öffentlich ausgeschriebene Stellen Bezug nehmen. In diesen E-Mails erwartet der Empfänger Dokumente im Anhang und öffnet sie arglos. Einfallstore von Erpressungstrojanern weiterlesen