Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene

Redaktion: Heinz Schmitz


Erpressersoftware stellt sich selbst als Opfer dar

Ransomeware MIRCOP
Die MIRCOP-Lösegeldnachricht. (Quelle: Trend Micro)

Trend Micro hat vor Kurzem eine neue Crypto-Ransomware („MIRCOP“) entdeckt, deren Hintermänner sich selbst als Opfer darstellen. Und in der Tat fordern sie von ihren Opfern kein „Lösegeld“, sondern eine „Rückzahlung“, so als ob sie zuerst bestohlen worden wären. Außergewöhnlich ist ferner die Höhe der geforderten Geldsumme: 48,48 Bitcoins (was knapp 29.000 US-Dollar entspricht). Dies und das Fehlen eines explizit genannten Zahlungsempfängers deuten darauf hin, dass es sich hier um einen gezielten Angriff mit Erpressersoftware handeln könnte – ein absolutes Novum.

 

Demgegenüber weisen Verbreitungsweg (Spam-Nachrichten) und Wirkungsweise (Dateiverschlüsselung) die typischen Eigenschaften von Erpressersoftware auf. Im Anhang der Spam-E-Mail findet sich ein Makro-aktiviertes Dokument, angeblich ein thailändisches Zollformular für Im- und Export. Wer auf den Trick hereinfällt, das Dokument öffnet und die Makros aktiviert, wird auf eine infizierte Webseite geleitet. Von dort wird die eigentliche Schadsoftware heruntergeladen und ausgeführt.

 

„Es gibt einige Indizien, die darauf hindeuten, dass MIRCOP ganz bestimmte Opfer im Visier hat“, vermutet Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro. „Einerseits gibt es keine echten Zahlungsanweisungen – man geht also davon aus, dass das Opfer schon wissen wird, wohin es die Bitcoins transferieren soll. Andererseits kam es zu keinem Spam-Ausbruch im Zusammenhang mit der Erpressersoftware und deren Downloader. Ferner wurden weltweit bislang weniger als zwanzig Rechner infiziert, wie meine Kollegen ermittelt haben. Das sind bedeutend weniger Infektionen als bei „normalen“ Ransomware-Kampagnen. Meine Kollegen könnten daher mit MIRCOP einen gezielten Angriff entdeckt haben. Gezielte Angriffe über Ransomware aber stellen eine neue Stufe der Bedrohung durch Erpressersoftware dar.“

 

Generell sollten Anwender – Privatleute wie Unternehmen – auf ihren Geräten eine moderne Sicherheitssoftware installieren und stets auf dem aktuellen Stand halten. Außerdem sollten diese Schutzlösungen über Cloud-Sicherheitsmechanismen verfügen, damit etwa Webadressen, die zu Erpresser- und anderer Schadsoftware führen, oder E-Mails mit bösartigen Links geblockt und bösartige Dateien gar nicht heruntergeladen oder ausgeführt werden. Zusätzlich bietet die Verhaltensanalyse solcher Sicherheitssoftware Schutz und kann eine unbekannte oder zunächst nicht erkannte Bedrohung noch vor dem eigentlichen Schaden abwehren.

 

Erste Hilfe im Fall einer Infektion bietet Trend Micro mit zwei kostenlos abrufbaren Tools, die bestimmte Varianten von Crypto-Ransomware entschlüsseln können: „Trend Micro Crypto-Ransomware File Decryptor“ und „Trend Micro Anti-Ransomware“. Damit können sich Opfer von Erpressersoftware in vielen Fällen aus den Fängen der Hintermänner dieser Art von Schadsoftware befreien: Sie können verschlüsselte Dateien auf mit „TeslaCrypt“ und „CryptXXX“ infizierten Rechnern wieder entschlüsseln und eventuelle Bildschirmsperren aufheben. Denn eines sollten sie bei einer Infektion auf keinen Fall tun: Auf die Forderungen der Erpresser eingehen und Lösegeld bezahlen!

 

Siehe auch:

http://www.trendmicro.de/privatanwender/index.html

http://www.trendmicro.de/produkte/kostenlose-tools-und-services/index.html

http://blog.trendmicro.de/mircop-crypto-ransomware-stellt-sich-selbst-als-diebstahlsopfer-dar/

Zurück