MSRT macht Crowti den Garaus

Mit der Veröffentlichung der Juli-Version von MSRT (Malicious Software Removal Tool), dem kostenlosen Tool von Microsoft zum Suchen und Entfernen verbreiteter Computerschädlinge, wurde nicht nur eine unangenehme Sicherheitslücke in dieser Anwendung geschlossen, sondern ihre Datenbank wurde auch um zwei Namen erweitert: Win32/Crowti und Win32/Reveton.

Crowti, alias Cryptowall, ist gegenwärtig eins der leistungsstärksten und einträglichsten erpresserischen Verschlüsselungsprogramme, die die Dateien des Opfers chiffrieren und Lösegeld für die Entschlüsselung fordern. Der etwas primitivere, aber nicht weniger berühmte Erpresser Reveton setzt auf Social Engineering und blockiert lediglich den Zugriff auf das System. Er zeigt über den gesamten Bildschirm eine Mitteilung an, in der das Opfer beschuldigt wird, verbotenen Content angesehen zu haben (normalerweise Pornografie), die im Namen von Strafverfolgungsbehörden verfasst wurde, und in der weiter gegen Zahlung einer „Strafe“ die Entsperrung des Systems versprochen wird. Solche schädlichen Blockierprogramme, die auch unter dem treffenden Spitznamen „Polizei-Virus“ bekannt sind, erfreuten sich noch vor anderthalb Jahren großer Beliebtheit unter Cyberkriminellen, doch mit dem Erscheinen von Verschlüsselungsprogrammen haben sie stark abgenommen, obgleich die Praxis zeigt, dass sie bis zum heutigen Tag aktuell sind.

Crowti dagegen hat starken Aufwind und wird fortwährend weiterentwickelt, wie im Übrigen viele andere Verschlüsselungsprogramme dieser Art auch. Aktuell wird seine neuste Version, Cryptowall 3.0, aktiv von Cyberkriminellen verbreitet und den Opfern auf unterschiedlichste Weise zugestellt: über Spam, mit Hilfe von Exploit-Packs oder im Zusammenhang mit anderen Schädlingen (beispielsweise mit Fareit).

In den Monaten Mai und Juni registrierte Microsoft Spam-Versendungen mit Crowti-Attachments, die zumeist als Bewerbungsschreiben getarnt waren. Der schädliche Anhang, der angeblich den Lebenslauf enthalten sollte, war im .zip-Format umgesetzt und enthielt eine ausführbare Datei, die meist als pdf-Dokument getarnt war.

Laut der im Blog des Unternehmens aufgeführten Statistik ist die durchschnittliche Population von Crowti innerhalb der letzten zwei Monate von 4.000 auf 6.500 infizierte Rechner angestiegen. Zum Vergleich: Im vergangenen Herbst war 4.000 infizierte Computer der Höchstwert bei durchschnittlich weniger als 1.500. Der Höhepunkt dieser Infektionswelle wurde Anfang Juni erreicht, als die Schutzlösungen von Microsoft fast 11.000 individuelle Infektionen erfassten:

Infektionsdynamik von Crowti, Mai-Juni 2015 (Quelle: Microsoft)

Dabei nahm der Anteil der USA, die das Länder-Rating nach Anzahl der Infektionen anführen, deutlich von 71 auf 44 Prozent ab. Dem neuen Rating nach zu urteilen, hat Crowti dem Stillen Ozean nun den Rücken gekehrt und siedelt sich dafür energisch in Brasilien (12%) an, attackiert aber auch weiterhin Kanada (8% gegenüber 6% im letzten Jahr) und Europa (Großbritannien – 12% gegenüber 2%).

Laut Angaben von Microsoft wird das aktualisierte MSRT die ausführbaren Dateien des Verschlüsselungsprogramms und die von ihm erstellen Registry-Keys löschen und die Standarteinstellungen des Systems wiederherstellen. Die Experten rufen die Anwender erneut dazu auf, den Forderungen der Erpresser nicht nachzukommen, da das Zahlen des Lösegelds nicht unbedingt eine Garantie dafür ist, dass wichtige Dateien wiederhergestellt werden. Microsoft wies zudem darauf hin, dass für die Nutzer von Windows 8.1 und RT 8.1 die Chance besteht, die verlorenen Daten mit File History-Backups wiederherzustellen.

Quelle: TechNet

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.