News

Erpresserprogramm blockiert Navigation und schürft Kryptowährung

Die Experten des österreichischen IT-Sicherheitsunternehmens Emsisoft haben ein trojanisches Windows-Programm entdeckt, das die DNS-Einstellungen verändert und eine Standardseite mit Lösegeldforderungen im Browser anzeigt. Der Schädling, der auf den Namen Linkup getauft wurde, lädt und startet eine Hochleistungsanwendung, die wiederum ProtoShares (PTS) generiert – eine alternative Kryptowährung, die nach dem Beispiel und analog zu Bitcoin entwickelt wurde.

Nach dem Start kopiert sich Linkup unter dem in die Irre leitenden Namen svchost.exe in das Verzeichnis %AppData%MicrosoftWindows. Zur Identifikation seiner selbst im System erstellt der Trojaner den Mutex tnd990r oder tnd990s und beseitigt mögliche Störungen, indem er eine Reihe von Diensten des Systemschutzes und auch die Firewall deaktiviert. Nachdem er sich auf einem infizierten Computer eingenistet hat, übermittelt Linkup an den Kommandoserver seine ID, die Windows-Version und die Sprache, die der Systembesitzer verwendet, und erhält als Reaktion darauf die IP-Adresse der Website mit der erpresserischen Seite. Alle Daten, die der Schädling mit dem C&C austauscht, werden verschlüsselt.

Beim Absenden einer beliebigen HTTP-Anfrage wird dem Infektions-Opfer nun die Seite mit der gefälschten Benachrichtigung über den angeblich von ihm begangenen Rechtsbruch angezeigt – das Anschauen verbotenen Contents. Um den Redirect zu gewährleisten, nimmt Linkup eine Modifikation in der System-Registry vor (er tauscht die Adresse des NS-Servers aus) und aktualisiert die Einstellungen der Netzkomponenten, damit die Veränderungen sofort wirksam werden.

Für die Wiederherstellung des Internetzugangs fordern die Betrüger das Opfer im Namen eines offiziellen Organs (auf dem von Emsisoft präsentierten Screenshot ist das der Europarat) zunächst einmal auf, Angaben zur Person zu machen und den vollständigen Namen, das Geburtsdatum und die bevorzugte Zahlungsart in ein Formular einzugeben. Dem Anwender wird versichert, dass die „Strafe“ nur 0,01 Euro beträgt, die Experten hegen allerdings berechtigte Zweifel daran, dass die Erpresser sich mit einer so geringen Summe zufrieden geben. In jedem Fall rät Emsisoft den Opfern davon ab, auf die Forderungen der Erpresser einzugehen und ihnen ihre persönlichen Daten zu übermitteln.

Linkup erhält vom C&C noch ein weiteres Kommando, und zwar den Befehl zum Laden und Starten der Datei pts2.exe. Wie die Experten feststellen konnten, enthält sie einen Downloader, der seinerseits ein selbstverpackendes RAR-Archiv mit Skripten und einer ausführbaren PE-Datei lädt. Die letztere enthält jhProtominer – eine auf die Generierung von ProtoShares spezialisierte Anwendung. Laut Emsisoft funktioniert der von Linkup geladene Miner nur auf 64-Bit-Plattformen. Es ist durchaus möglich, dass die zusätzliche Mining-Funktionalität hier erst einmal getestet wird und bald auch eine 32-Bit-Version von jhProtominer erscheint.

Quelle: TechCrunch

Erpresserprogramm blockiert Navigation und schürft Kryptowährung

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach