US-CERT warnt vor zunehmender Zahl von CryptoLocker-Infektionen

CryptoLocker ist einer der neusten Vertreter trojanischer Blocker, die Anwenderdateien verschlüsseln und Lösegeld für die Dechiffrierung fordern. Das US-CERT hat eine Warnung veröffentlicht, in der es Heimanwender und Organisationen über die Gefahren informiert, die von diesem Schädling ausgehen. Die Kämpfer wider die Internetbedrohungen rufen die Opfer von CryptoLocker dazu auf, nicht auf die Forderungen der Erpresser einzugehen. Anstatt dessen empfehlen sie ihnen, sich an das Beschwerdezentrum für Internetkriminalität, IC3, unter der Ägide des FBI zu wenden.

Die Cyberkriminellen fordern von ihren Opfern eine Lösegeldzahlung innerhalb von drei Tagen, andernfalls seien die chiffrierten Daten unwiederbringlich verloren. Die Bezahlung für die Dechiffrierung (um die 300 Dollar) hat via MoneyPak oder Bitcoins zu erfolgen. Allerdings bemerkt das US-CERT in seiner Warnung: „Einige Opfer erklärten online, auf die Forderungen der Erpresser eingegangen zu sein, den versprochenen Schlüssel aber trotzdem nicht erhalten zu haben.“

CryptoLocker erschien erstmals vor zwei Monaten auf der Bildfläche und wird hauptsächlich in Form von E-Mail-Anhängen verbreitet, die als Benachrichtigungen von legalen Unternehmen oder Logistik-Dienstleistern getarnt sind (FedEx, UPS). Die Cyberkriminellen können den Schädling auch in ein Botnetz hochladen (beispielsweise auf der Grundlage von ZeuS) und den Blocker so als Zweitinfektion verbreiten.

Nach seiner Installation sucht CryptoLocker nach Dateien mit vorgegebenen Erweiterungen in lokalen und Netzwerkressourcen, inklusive Netzwerkfestplatten, mobile Speichermedien, externe Festplatten, Filesharing-Netzwerke sowie einige Cloud-Speicher. „Ist ein Computer im Netz infiziert, so kann die Infektion auch auf angeschlossene Netzwerkfestplatten überspringen.“, warnt das US-CERT. Erscheint auf dem Bildschirm ein rotes CryptoLocker-Banner mit Instruktionen zur Wiederherstellung der Dateien, wird dem Anwender geraten, den Computer sofort vom Kabel- oder Wi-Fi-Netz zu trennen.

Bevor der Schädling sich an die Verschlüsselung macht, verbindet er sich mit dem C&C-Server und lädt von dort einen einmaligen offenen RSA-Schlüssel. Geschlossene Schlüssel werden auf dem C&C gespeichert und nur die Betreiber von CryptoLocker haben Zugriff darauf. Die Liste der Dateitypen, die der Verschlüsselung unterliegen, ist überaus lang, allerdings interessiert sich der Trojaner besonders für Erweiterungen, die im Unternehmensbereich verwendet werden sowie für Musik-, Video und Fotosammlungen. Der Inhalt solcher Dateien wird in zwei Etappen verschlüsselt: zunächst mit AES, und danach wird ein 256-Bit-Schlüssel mit Hilfe von RSA verschlüsselt, der vom Server empfangen wird.

Mit den hier verwendeten Standard-Verschlüsselungsalgorithmen hatten wir es auch schon früher zu tun ― man erinnere sich nur an den zu trauriger Berühmtheit gelangten Erpresser GPCode. Der Leiter des Global Research and Analysis Teams (GReAT) von Kaspersky Lab, Costin Raiu, erinnert: Anfangs verwendete GPCode einen 660-Bit-RSA-Schlüssel, den die KL-Analysten knacken konnten; daraufhin verlängerten die GPCode-Autoren die Schlüssellänge auf 1024 Bit, und „diesen zu knacken wäre höchstens die NSA in der Lage“. „CryptoLocker verwendet auch ein zuverlässiges Verschlüsselungsschema, “, fährt der Experte fort, „das zu knacken heute noch nicht möglich ist.“

Laut Raiu startet CryptoLocker, der von den Produkten von Kaspersky Lab als Ransom.Win32.Blocker detektiert wird, bei der Verbindung zum Kontroll-Server einen DGA-Algorithmus, der 1.000 individuelle Domain-Namen pro Tag ausgibt. Mitte Oktober installierten die Experten von Kaspersky Lab Sinkhole-Server auf drei Domains und zählten innerhalb von drei Tagen über 2.700 IP-Adressen, die diese Domains anfragten. Die meisten Opfer wurden in den USA und in Großbritannien identifiziert.

Inzwischen haben sich die Betreiber von CryptoLocker entschieden, den Zahlungswilligen eine zusätzliche Möglichkeit zu eröffnen und erstellten im Netz Tor einen „Kunden“-Webservice zur Dechiffrierung der Dateien. Der Service nimmt „Aufträge“ zur Entschlüsselung von Dateien entgegen, obwohl sich hier die Preise verfünffacht haben: Anstelle von 2-х Bitcoins müssen nun 10 bezahlt werden (etwa 2.300 Dollar). Bei jeder Verbindungsaufnahme wird eine individuelle Bitcoin-Adresse generiert. Allem Anschein nach sind nicht alle Zahlungswilligen mit dem Bezahlsystem vertraut, das CryptoLocker vorschlägt, und die Betrüger waren nicht gewillt, Geld aufgrund der unflexiblen Fristen einzubüßen.

Quelle: US-CERT

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.