TeslaCrypt jetzt in Spam

Die Forscher von Heimdal Security haben eine umfangreiche Spam-Kampagne registriert, die die die Verbreitung einer neuen Version des Verschlüsselungsschädlings TeslaCrypt zum Ziel hat. Wie Softpedia mitteilt, traten die erst Anzeichen einer Aktivierung von TeslaCrypt (nach der Klassifikation von Kaspersky Lab Trojan-Ransom.Win32.Bitman) in den Foren von Bleeping Computer auf, deren Teilnehmer begannen, über Infektionen zu klagen.

Eine von den Experten durchgeführte Analyse des Codes offenbarte nur unwesentliche Veränderungen gegenüber bekannten Versionen, die allerdings ausreichen, um die Entwickler spezialisierter Dechiffrierungstools einmal mehr vor neue Herausforderungen zu stellen.

Der englischsprachige Spam mit Attachment, den Heimdal schon seit einigen Tagen beobachtet, verwendet ein abgedroschenes Thema: Der Empfänger wird an eine angeblich noch nicht bezahlte Rechnung erinnert. Daher nehmen die Forscher an, dass die Cyberkriminellen sich damit in erster Linie an Unternehmensanwender richten.

Das an das Schreiben angehängte schädliche zip-Archiv enthält eine Datei im Format .js. Eine Analyse hat gezeigt, dass dieses JavaScript bei der Verarbeitung eine Verbindung zum C&C-Server initiiert und die Hauptkomponente des Verschlüsselungsschädlings herunterlädt. Nach dem Start chiffriert TeslaCrypt wie auch schon früher die Dateien des Opfers, benennt sie um und versieht sie mit einer zusätzlichen Erweiterung, und zwar .vvv oder .zzz. Der Schädling zerstört zudem die Schattenkopien und erstellt in jedem Ordner mit verschlüsselten Dateien eine Datei mit Instruktionen zur Dechiffrierung. Zur Bezahlung des Lösegeldes (in Bitcoin) wird der Anwender auf eine Seite im Netzwerk Tor geleitet.

Zum gegenwärtigen Zeitpunkt wird die aktualisierte Version von TeslaCrypt von zwei Dritteln der Antiviren-Lösungen, die bei VirusTotal vertreten sind, detektiert. Die meisten Infektionen im Rahmen der laufenden Spam-Kampagne werden in Skandinavien entdeckt.

Bemerkenswert ist, dass TeslaCrypt hauptsächlich über Exploit-Packs verbreitet wurde, in letzter Zeit mit Hilfe von Neutrino. TeslaCrypt ist bisher insgesamt ein weniger rentables Projekt als andere, aggressivere Krypto-Schädlinge. So nahmen die Betreiber von TeslaCrypt nach Angaben von FireEye von Februar bis April 2015 etwas mehr als 76.500 Dollar von 163 Infektionsopfern ein, was nicht mit den Millionen zu vergleichen ist, die CryptoLocker Jahr für Jahr einbringt, von Cryptowall ganz zu schweigen.

Quelle: Softpedia

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.