News-Archiv

Erhöhtes Aufkommen von Cryptolocker

von Redaktion (Kommentare: 0) #CryptoLocker #Virus #RSA #Trojaner #ITmitSicherheit #Norman

Folgende Information (Auszug) hat uns heute bzgl. der verstärkten Bedrohungslage durch aktuelle Cryptolocker-Schadsoftware von der Norman Data Defense Systems GmbH erreicht:

In unseren Datenzentren von Norman SecureSurf und SecureMail wird derzeit eine erhöhte Menge bösartiger E-Mails wahrgenommen, die Cryptolocker Malware enthalten. Diese kann die Daten Ihres Unternehmens verschlüsseln. Der Großteil dieses Traffics erreicht den User durch vertrauenswürdige Filesharing-Programme, die als Voicemail-Nachrichten oder Faxe verkleidet kommen. SecureMail blockiert alle bekannten Varianten solcher E-Mails, allerdings können Spammer derartige Mails schnell verändern. Daher ist es unglaublich wichtig, dass Sie Ihre Benutzer darauf hinweisen, keine unbekannten E-Mails zu öffnen und keine Dateien herunterzuladen, ohne deren Quelle zu kennen. Außerdem ist es unumgänglich, häufiger ein Backup Ihrer Dateien durchzuführen. Wenn Sie ein Drittanbieter-Backup-System verwenden, stellen Sie sicher, dass Ihr Backup nicht mit den verschlüsselten Dateien überschrieben wird.

Zur Erinnerung: Cryptolocker ist ein besonders zerstörerischer Virus, der es schafft, alle Ihre Daten zu verschlüsseln. Cyber-Kriminelle zwingen Sie dann zur Zahlung, um die Daten wieder zu bekommen. Solchen Zahlungsaufforderungen sollten Sie keinesfalls nachkommen. Sie können sich nicht sicher sein, ob Sie Ihre Dateien tatsächlich wieder bekommen.

Was macht Cryptolocker genau?

 

  1. Ein Autostart-Objekt wird hinzugefügt und die Malware automatisch ausgeführt.
  2. Die Malware ändert Registrierungseinträge, damit sie sich beim Systemneustart ausführen kann. Des Weiteren deaktiviert die Malware den abgesicherten Modus von Windows und kopiert ausführbare Dateien in das Anwendungsdatenverzeichnis des Windows Benutzers.
  3. Cryptolocker erstellt eine sich selbst zerstörende Batch-Datei, welche das Skript enthält, damit die Malware ausgeführt werden kann.

 

Da diese Malware Dokumente mit dem komplexen RSA 1024-Bit Schlüssel verschlüsselt , sind wir nicht in der Lage, die Dateien wieder zu entschlüsseln. Aber wir werden dieser Malware auf der Spur bleiben und versuchen, alle seine Varianten zu erkennen.

Aktuelle Varianten des Cryptolockers werden von Norman als Cribit.A erkannt

UPDATE 27.06.2014: In einem kundenspezifischen Fall einer Cryptolocker-Infektion konnten beigefügter Screenshot erstellt werden. Eine Datenrettung der verschlüsselten Daten ist nicht möglich. Ein Wiederherstellen der Daten aus einer Datensicherung stellt den einzig möglichen Lösungsweg dar.

Verschlüsselungstrojaner - die Erpressungs-Website in der Vorschau

Alle Angaben ohne Gewähr.

Zurück

Einen Kommentar schreiben