News
Jobs
Neuartiger Erpresser-Virus verstärkt im Umlauf
10. Dezember 2015

Aktuell grassiert eine neue Variante von erpresserischer Schadsoftware im Netz. Es handelt sich um einen so genannten Verschlüsselungstrojaner namens TeslaCrypt, der vorranging per Mail verteilt wird und sich in .zip-Dateien im Mail-Anhang verbirgt.

Hat er sich auf einem Rechner eingenistet, beginnt er vorhandene Dateien (z.B. Fotos, Excel- und Worddateien) auf der Festplatte oder in Netzlaufwerken zu verschlüsseln und mit der Dateiendung .vvv zu versehen. Die Dateien sind dann nicht mehr benutzbar. Um sie wieder öffnen zu können, wird ein Entschlüsselungscode benötigt. Diesen erhält der Anwender aber nur gegen Zahlung eines Lösegelds. Spätestens, nachdem der Anwender sein System neu gestartet hat, erscheint eine entsprechende Meldung auf dem Bildschirm, in der zur Zahlung einer bestimmten Summe (ca. 500 USD) aufgefordert wird.

Gefährdet sind vor allem Windows-Systeme. Antivirussoftware kann den neuartigen TeslaCrypt-Virus zwar erkenn und entfernen, zu dem Zeitpunkt sind aber die Dateien dann meist schon verschlüsselt. Sie lassen sich derzeit nicht wieder herstellen. Hier bleibt nur, auf das hoffentlich erstellte Backup auf einem externen Speichermedium zurückzugreifen. Sicherheitsexperten empfehlen, das System komplett neu zu installieren und die Dateien aus dem Backup einzuspielen.

Steht kein Backup zur Verfügung, wird es schwierig, wieder an die Dateien heranzukommen. Eine Möglichkeit ist, abzuwarten, bis Experten einen Entschlüsselungscode für die aktuelle Virusvariante gefunden haben. Das bedeutet aber Warten auf unbestimmte Zeit. Ansonsten bleibt nur, sich auf die Zahlung der geforderten Summe einzulassen – in der Hoffnung, dass die Erpresser den erlösenden Schlüssel zur Verfügung stellen. Eine Garantie gibt es dafür nicht.

Dieser neuartige Versschlüsselungstrojaner ist also besonders heimtückisch. Er bedroht nicht nur den heimischen PC, sondern auch große Systeme von Behörden und Unternehmen, und auch dann, wenn diese als sicher und geschützt gelten können. Einen 100%igen Schutz wird es nie geben, denn die Virusdateien ändern sich ständig und es gibt immer eine Inkubationszeit, in der die Antivirusprogramme die neuesten Virendefinitionen noch nicht kennen.

Aktuell gehaltene Betriebssysteme und Anwendungsprogramme, Antivirussoftware und Firewalls ersetzten also nicht höchste Vorsicht und überlegtes Handeln, bei allem, was man im Netz tut. Auch und gerade bei E-Mail-Anhängen sollte man besonders vorsichtig sein und sie im Zweifel lieber nicht öffnen, keine Anweisungen im Text befolgen und keine Links anklicken. Erst recht bei Mails, die man unaufgefordert und von unbekannten Absendern erhält.

Bei Unsicherheiten oder Fragen wenden Sie sich gern an uns, wir helfen bei der Prüfung von zweifelhaften Elementen und Dateien.

Welches Ausmaß TeslaCrypt aktuell erreicht hat, zeigt auch dieser Bericht über mehr als 12.000 infizierte PCs in einer nordrhein-westfälischen Behörde: Trojaner TeslaCrypt legt deutsche Behörden lahm (t-online.de)

UPDATE 11.12.2015:
In der neuesten Variante kommt der Verschlüsselungstrojaner direkt in einem Word-Dokument als E-Mail-Anhang in die Postfächer. Die Word-Dateien enthalten gefährliche Makros, die beim Öffnen Schadsoftware auf den Rechner schleusen. Das Perfide: Die Mails kommen jetzt auch von bekannten E-Mail-Adressen, die die Kriminellen zuvor mitsamt Adressbuch gekapert haben.

Derzeit werden vor allem gefälschte Rechnungen und Bewerbungen verschickt. Hinzu kommt, dass die Kriminellen ihren Schadcode regelmäßig aktualisieren, so dass die Hersteller von Antivirussoftware kaum nachkommen, die Virenscanner immer auf dem neuesten Stand zu halten. Man kann also nicht vorsichtig genug sein.

Quellen:
Verschlüsselungstrojaner: Neue TeslaCrypt-Version grassiert (heise.de)
TeslaCrypt: Angriffe, die Daten verschlüsseln und danach Lösegeld fordern reissen nicht ab (melani.admin.ch)
Gefährliches Duo: Erpressungstrojaner kommt mit Word-Datei (heise.de)


© 2004-2018 - 4commerce technologies AG / Impressum + Datenschutz