Verschlüsselung & Datensicherheit

Achtung: Neue Ransomware Surprise verbreitet sich über TeamViewer

Die Ransomware Surprise infiziert scheinbar Windows-Computer über die Fernwartungssoftware TeamViewer. Hierfür kapern Cyber-Kriminelle Accounts, um den Erpressungs-Trojaner zu verbreiten und Lösegeld zu fordern. Der Infektionsweg über TeamViewer wird derzeit von Nutzern im Forum von Bleepingcomputer.com als wahrscheinlichste Option für die Verbreitung von Surprise diskutiert.

 

Keine Sicherheitslücke in der Software – raffinierte Methoden!

Bei TeamViewer können User unter anderem Dateien an Kontakte verschicken. Dort setzen die Erpresser anscheinend an, um weitere Windows-Computer mit der Ransomware zu infizieren. Sie schicken über die gekaperten Accounts den Trojaner Surprise an alle verknüpften Computer weiter.

Update: TeamViewer empfiehlt, stets einzigartige Kennwörter und die Zwei-Faktor-Authentifizierung zu verwenden. Lesen Sie das offizielle Presse-Statement von TeamViewer.

Unklar ist jedoch immer noch, wie die Angreifer an die Daten kommen. Aufgrund der abgesicherten Infrastruktur schließen die Entwickler von TeamViewer direkte Attacken aus. Auch die End-zu-End-Verschlüsselung bei der Datenübertragung bietet keine Ansatzmöglichkeiten. Die wahrscheinlichste Möglichkeit besteht darin, dass Account-Daten aus unbekannter Quelle kopiert werden.

Der Infektionsweg

Die Account-Daten wurden vermutlich bereits an anderer Stelle abgegriffen und kopiert. Nun versuchen die Angreifer auf gut Glück, mit diesen Daten auf ein TeamViewer-Konto zuzugreifen. Falls dies gelingt, bedarf es mehrerer Voraussetzungen und Bedingungen:

  • der Computer muss angeschaltet sein
  • eine Fernwartung muss möglichst unauffällig starten (üblicherweise fällt es dem Nutzer auf, wenn plötzlich ohne Veranlassung eine Fernwartung startet)
  • der Angreifer muss für einen gewissen Zeitraum die Kontrolle über den PC übernehmen, um den Trojaner installieren zu können.

Ist dies erst einmal geschehen, versieht die Ransomware verschlüsselte Dateien mit der Namenserweiterung .surprise. Daraufhin erscheint ein Dialogfeld, in dem der Anwender dazu aufgefordert wird, die Erpresser zu kontaktieren und ein Lösegeld auszuhandeln. Zurzeit gibt es noch kein Tool, mit dem die Daten ohne Lösegeldzahlung entschlüsselt werden können.

Ransomware ist auf dem anscheinend unhaltsamen Vormarsch

Weltweit wird ein starker Anstieg von Verschlüsselungssoftware beobachtet. Das BSI stellt in seinme aktuellen Report fest, dass im Februar 2016 gegenüber Oktober 2015 mehr als zehnmal so häufig Virenschutzalarme durch Ransomware in Deutschland ausgelöst wurden. Weltweit stieg die Anzahl der Ransomware-Detektionen um das Sechsfache an.

Im Umgang mit dieser Infizierung zeigt sich die Wichtigkeit von regelmäßigen Backups, denn dies ist den meisten Fällen die einzige Möglichkeit, an seine verschlüsselten Daten zu gelangen.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben