Cryptolocker will Ihr Geld!

Vielleicht haben Sie schon etwas von Cryptolocker gehört, einem neuen Erpresser-Trojaner, der Ihre Dateien verschlüsselt und Lösegeld für die Herausgabe der Daten fordert.

In der Vergangenheit hatten wir es bereits mit ähnlicher Malware zu tun, wie etwa mit dem berühmten GPCode, der RSA-Schlüssel zur Chiffrierung benutzte. Schon im Jahr 2008 gelang es uns, den von GPCode verwendeten 660-Bit-RSA-Schlüssel zu knacken und den Opfern eine Methode zur Entschlüsselung und Wiederherstellung ihrer Daten bereitzustellen. Später rüsteten die Autoren von GPCode den RSA-Schlüssel auf 1024 Bits auf, was ihn vermutlich lediglich in die Gefilde der Hacker-Fähigkeiten der NSA katapultierte.

Cryptolocker verwendet ebenfalls ein solides Verschlüsselungsschema, was bisher praktisch unknackbar erscheint. Für jedes einzelne Opfer verbindet er sich mit seinem Command-and-Control-Server (C2), um einen öffentlichen RSA-Schlüssel herunterzuladen, der zur Verschlüsselung der Daten benutzt wird. Für jedes neue Opfer wir ein anderer individueller Schlüssel erstellt und nur die Cryptolocker-Autoren haben Zugriff auf die Dechiffrierungsschlüssel.

Die Angreifer geben den Opfern ungefähr drei Tage für die Bezahlung des Lösegeldes, andernfalls sind die Daten für immer dahin. Dabei wird ein breites Spektrum an Bezahlmöglichkeiten angeboten, unter anderem Bitcoin:

Um sicherzustellen, dass das Opfer die Nachricht auch vergegenwärtigt, wird ein recht furchteinflößender Bildschirmschoner auf dem infizierten Computer installiert:

Um sich mit den C2-Servern zu verbinden, verwendet Cryptolocker einen Domain-Erzeugungsalgorithmus, der täglich 1000 Anwärter auf einzigartige Domain-Namen generiert.

Dimiter Andonov von ThreatTrack Security hat ein Reverse-Engineering des Algorithmus’ druchgeführt und Kaspersky Lab hat mittels Sinkholing an drei Domains die Zahl der weltweiten Opfer gemessen.

Insgesamt kamen wir auf 2.764 individuelle Opfer-IPs, die die Sinkhole-Domains kontaktierten.

Die höchste Zahl wurde mit 1.266 individuellen IP-Adressen am Mittwoch, dem 16. Oktober registriert.

Unten ist die Verteilung der Opfer in den dreißig am stärksten betroffenen Ländern grafisch dargestellt. Auf den ersten Plätzen der TOP 30 stehen Großbritannien und die USA, gefolgt von Indien, Kanada und Australien:

Wichtig ist dabei, dass die Statistik die Zahl derjenigen Opfer aufgeführt, deren Daten noch nicht verschlüsselt wurden. Wenn sie nach der Infektion schnell reagieren und ihr System mit einem Anti-Malware-Programm säubern, so könnte es sein, dass die Daten gar nicht erst chiffriert werden.

Verteidigungsstrategien

Cryptolocker nutzt eine zuverlässige Methode, um Dateien zu verschlüsseln und sicherzustellen, dass deren unverschlüsselte Versionen mit Hilfe von Tools wie z.B. Photorec nicht wiederhergestellt werden können. Die beste Strategie besteht darin, dafür zu sorgen, dass ein aktuelles AV-Produkt auf dem Rechner läuft, das in der Lage ist, die Infektion zu stoppen. Das Host-Intrusion-Prevention-System von Kaspersky Lab ist in der Lage, selbst unbekannte Versionen dieses Trojaners daran zu hindern, ein System zu infizieren.

Für einen kostenlosen Systemcheck können sie die Kaspersky Notfall-CD verwenden:

  1. Laden Sie das ISO-Abbild der Kaspersky Notfall-CD 10 (kav_rescue_10.iso) herunter
  2. Laden Sie den Kaspersky Rescue Disk Maker (rescue2usb.exe) herunter.
  3. Lesen Sie die Dokumentation in der Wissensdatenbank.

Die am weitesten verbreiteten Varianten von Cryptolocker werden von Kaspersky Lab unter den folgenden Bezeichnungen detektiert:

Trojan-Ransom.Win32.Blocker.cfkz,
Trojan-Ransom.Win32.Blocker.cmkv,
Trojan-Ransom.Win32.Blocker.cggx,
Trojan-Ransom.Win32.Blocker.cfow,
Trojan-Ransom.Win32.Blocker.cjzj,
Trojan-Ransom.Win32.Blocker.cgmz,
Trojan-Ransom.Win32.Blocker.cguo,
Trojan-Ransom.Win32.Blocker.cfwh,
Trojan-Ransom.Win32.Blocker.cllo,
Trojan-Ransom.Win32.Blocker.coew.

Wurden Ihre Daten bereits verschlüsselt, so ist das Schlimmste, was Sie tun können, den Verbrechern Geld zu geben. Denn das führt lediglich dazu, dass sie ihre Angriffstechniken ausweiten und verbessern.

Wie immer gilt – Vorsorge ist besser als Nachsorge!

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.