Keine Sicherheitslücke in der Software – raffinierte Methoden!
Bei TeamViewer können User unter anderem Dateien an Kontakte verschicken. Dort setzen die Erpresser anscheinend an, um weitere Windows-Computer mit der Ransomware zu infizieren. Sie schicken über die gekaperten Accounts den Trojaner Surprise an alle verknüpften Computer weiter.
Update: TeamViewer empfiehlt, stets einzigartige Kennwörter und die Zwei-Faktor-Authentifizierung zu verwenden. Lesen Sie das offizielle Presse-Statement von TeamViewer.
Unklar ist jedoch immer noch, wie die Angreifer an die Daten kommen. Aufgrund der abgesicherten Infrastruktur schließen die Entwickler von TeamViewer direkte Attacken aus. Auch die End-zu-End-Verschlüsselung bei der Datenübertragung bietet keine Ansatzmöglichkeiten. Die wahrscheinlichste Möglichkeit besteht darin, dass Account-Daten aus unbekannter Quelle kopiert werden.
Der Infektionsweg
Die Account-Daten wurden vermutlich bereits an anderer Stelle abgegriffen und kopiert. Nun versuchen die Angreifer auf gut Glück, mit diesen Daten auf ein TeamViewer-Konto zuzugreifen. Falls dies gelingt, bedarf es mehrerer Voraussetzungen und Bedingungen:
- der Computer muss angeschaltet sein
- eine Fernwartung muss möglichst unauffällig starten (üblicherweise fällt es dem Nutzer auf, wenn plötzlich ohne Veranlassung eine Fernwartung startet)
- der Angreifer muss für einen gewissen Zeitraum die Kontrolle über den PC übernehmen, um den Trojaner installieren zu können.
Ist dies erst einmal geschehen, versieht die Ransomware verschlüsselte Dateien mit der Namenserweiterung .surprise. Daraufhin erscheint ein Dialogfeld, in dem der Anwender dazu aufgefordert wird, die Erpresser zu kontaktieren und ein Lösegeld auszuhandeln. Zurzeit gibt es noch kein Tool, mit dem die Daten ohne Lösegeldzahlung entschlüsselt werden können.
Ransomware ist auf dem anscheinend unhaltsamen Vormarsch
Weltweit wird ein starker Anstieg von Verschlüsselungssoftware beobachtet. Das BSI stellt in seinme aktuellen Report fest, dass im Februar 2016 gegenüber Oktober 2015 mehr als zehnmal so häufig Virenschutzalarme durch Ransomware in Deutschland ausgelöst wurden. Weltweit stieg die Anzahl der Ransomware-Detektionen um das Sechsfache an.
Im Umgang mit dieser Infizierung zeigt sich die Wichtigkeit von regelmäßigen Backups, denn dies ist den meisten Fällen die einzige Möglichkeit, an seine verschlüsselten Daten zu gelangen.
Ransomware ... was tun?
Erste Hilfe bei Angriffen durch Verschlüsselungs-Trojaner und Vorbeugemaßnahmen
Die letzten News und Tipps zu Ransomware-Attacken
Hilfe, ich werde durch Ransomware erpresst! Soforthilfe für Opfer und Vorbeugemaßnahmen
Digitale Lösegelderpressung mit Teslacrypt, Chimera & Co.: Steckbrief von fünf Verschlüsselungs-Trojanern
Tesla Crypt 4 ist nicht zu knacken
Nun auch bei Mac-Nutzern: erster Lösegeld-Trojaner aufgetaucht!
Anti-Malware White Paper des BSI
Mit Malwarebytes gegen Ransomware gewappnet
Wer zahlt Lösegeld nach Ransomware-Attacke?