News

Brute-Force-Angriffe ermöglichen Erpressung

Ein neues Verschlüsselungsprogramm, das die Aufmerksamkeit von BleepingComputer.com auf sich gezogen hat, wurde erstmals im laufenden Oktober in Bulgarien und Griechenland entdeckt. Wie eine Untersuchung gezeigt hat, wird der Schädling allem Anschein nach verbreitet, indem die Passwörter zu Windows-Computern geknackt werden, auf denen Remote Desktop/Terminal Services laufen. Der Erpresser verwendet die kryptografischen Algorithmen AES und RSA und verwischt sorgfältig seine Spuren im System. Interessant ist, dass er bisher keine Schattenkopien der Dateien löscht, die verschlüsselt wurden, und dem Opfer damit die Chance lässt, die Informationen wiederherzustellen.

Eine Analyse hat gezeigt, dass das Blockier-Programms LowLevel04 (so genannt wegen einer zusätzlichen Zeile, die in allen verschlüsselten Dateien hinterlassen wird) bei Aktivierung Schlüssel generiert und dann zur Verschlüsselung der Informationsdateien übergeht, wobei es eine beeindruckende Liste von Erweiterungen benutzt. Dann erfolgt ein Scan aller angeschlossenen Laufwerke, darunter auch externe und Netz-Laufwerke; die verschlüsselten Dateien werden in einen temporären Ordner der Cyberkriminellen geladen, mittels Verbindung der Festplatte über den Remote Desktop/Terminal Service.

Wenn LowLevel04 eine Datei mit vorgegebener Erweiterung findet, verschlüsselt der Schädling den Inhalt mit einem AES-Schlüssel und ergänzt oorr. am Anfang des Originalnamens. Bei der Modifikation wird die Datei so reproduziert, dass sie einfach wieder zu entschlüsseln ist; das endgültige Format hat mehrere Informationsebenen: den verschlüsselten Originalinhalt, die Größe der Originaldatei, den mit RSA verschlüsselten Chiffrierungsschlüssel, die Größe des Schlüssels und die Zeile lowlevel04, die dieses Blockierungsprogramm identifiziert.

In jedem Ordner, der verschlüsselte Dateien enthält, ergänzt der Schädling eine Datei mit dem Namen help recover files.txt, in der die Lösegeldforderung sowie die Instruktionen zum Entsperren zu finden sind. Die Erpresser erklären dem Opfer, dass die Dateien mit dem kryptografisch starken Schlüssel RSA-2048 verschlüsselt sind und fordern 4 Bitcoins (etwa 900 Euro) für die Entschlüsselung und bieten zudem die Kontaktadressen @gmail.com und @india.com für eine kostenlose Probe.

„Bei vielen Opfern waren die Server infiziert, was nicht besonders erstaunlich ist: Eine solche Attacke kann die Arbeitsprozesse eines Unternehmens empfindlich stören“, kommentiert Lawrence Abrams, Gründer und Chefredakteur von BleepingComputer.com.

Nach erfolgreicher Verschlüsselung säubert und löscht LowLevel04 alle von ihm erstellten Dateien. Außerdem entfernt er alle mit seiner Arbeit zusammenhängenden Einträge über Ereignisse in den Logs von Anwendungen, Schutzsystemen und Windows selbst. Die einzige tröstliche Nachricht ist, dass das einer Analyse unterzogene Sample die Originaldateien nicht korrekt gelöscht hat und sie mit Hilfe eines speziellen Tools wiederhergestellt werden können. Auch die Schattenkopien werden nicht gelöscht und man kann versuchen, die Dateien mit Windows-Standardmitteln zurückzuholen. Allerdings ist es auch durchaus möglich, dass sich das neue Verschlüsselungsprogramm noch in der Erprobungsphase befindet und diese Versäumnisse in der Zukunft behoben werden.

Quelle: BleepingComputer.com

Brute-Force-Angriffe ermöglichen Erpressung

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach