Verschlüsselungs-Trojaner RAA & Locky

von | Jun 27, 2016 | IT Sicherheit |

Ein neuer Erpressungs-Trojaner treibt sein Unwesen: Der von zwei Sicherheitsforschern entdeckte Krypto-Trojaner RAA ist dabei doppelt gefährlich.

Einerseits werden Daten auf den befallenen Rechnern verschlüsselt und nur gegen Lösegeld freigegeben, zusätzlich wird ein weiterer Trojaner installiert. Dieser greift Passwörter auf den infizierten Geräten ab, wie Ransomware-Experten von Bleepingcomputer.com melden.

RAA tarnt sich dabei als Word-Datei, die von den Angreifern per Mail-Anhang verbreitet wird. Wird die Datei geöffnet beginnt der Trojaner im Hintergrund damit, Daten mithilfe der CryptoJS-Bibliothek zu verschlüsseln, während der User Word-Dokument auf dem Bildschirm nur ein beschädigtes Wordfile sieht. Die chiffrierten Daten werden mit der Namenserweiterung „.locked“ versehen, Schattenkopien von Windows gelöscht, um das Wiederherstellen unverschlüsselter Dateiversionen zu verhindern. Nur gegen die Bezahlung von rund 260 Euro in Bitcoins (0,39 Bitcoins) werden die Daten wieder freigegeben.

Als Base64-String in der JavaScript-Datei des Verschlüsselungs-Trojaner versteckt sich noch die Malware Pony. Sobald diese ausgeführt wird, findet eine Konvertierung in eine ausführbare Datei statt. Diese nistet sich im Auto-Start Menu von Windows ein und stiehlt die Passwörter des Users.

Neben RAA verbreitet sich derzeit noch eine weitere Ransomware namens Locky rasant in Deutschland – vornehmlich über vermeintliche Bewerbungs-Mails, wie heise meldet. Auch hier werden Daten verschlüsselt und Lösegeld gefordert

Auch gefälschte Rechnungs-E-Mails mit Zip-Archiv im Anhang verbreiten den Verschlüsselungs-Trojaner. Locky hat den Sicherheitsforschern zufolge aber dazugelernt. Der Trojaner kann mittlerweile erkennen, ob er sich in einer virtuellen Maschine befindet.  Analysen werden so erschwert.

Tools zur kostenlosen Entschlüsselung sind bis jetzt nicht erhältlich. Allerdings verspricht das Tool Anti-Ransomware von Malwarebytes, das Locky, TeslaCrypt und Co. anhand ihres Verhaltens erkennen und stoppen soll, etwas Schutz. Heise unterzog das Tool bereits Ende Februar einem Test. Die damalige Version von Locky, konnte nach dem Verschlüsseln von 20 Dateien gestoppt werden. Nachdem der Krypto-Trojaner mittlerweile bekannt ist, sollte die aktuelle Version von Malwarebytes deutlich besser greifen.

 

Wie können Sie sich noch vor Verschlüsselungs-Trojanern schützen?

Hundertprozentigen Schutz gibt es leider nicht. Wer aber keine Mailanhänge von unbekannten Sendern öffnet und sein System aktuell hält – insbesondere sollten Sie darauf achten, immer die aktuellsten Browser- und Flash-Versionen im Einsatz zu haben – liefert diesen Schädlingen weniger Angriffsfläche. Regelmäßige Backups auf externen Datenträgern bieten ebenfalls Schutz vor Erpressung durch Datenverschlüsselung. Denn sind dringend benötigte Files erstmal nicht zugänglich, hilft es nur den Erpressern ihr Lösegeld zu zahlen und zu hoffen, dass diese auch tatsächlich den versprochenen Schlüssel liefern.

a

Textquellen & Links

Hier lesen Sie mehr zum Test der Malwarebytes Anti-Ransomware von heise:
heise.de

a

Zur Seite ...

IT Sicherheit
IT-Wartung