Nemucod lädt TeslaCrypt oder Locky
Es sind E-Mails, die genutzt werden, um die Schadsoftware zu verbreiten. Wie ESET beobachtet hat sind sie als Rechnung, Gerichtsvorladung oder ähnliche offizielle Dokumente getarnt. In jedem Fall sollen die Empfänger dazu genötigt werden, eine angehängte Zip-Datei zu öffnen. Passiert dies, nimmt die Beschädigung privater Daten ihren Lauf.
Im Mail-Anhang befindet sich eine Javascript-Datei, die, einmal geöffnet, den Download sowie die Installation von Nemucod startet. Im Anschluss werden verschiedene Malware-Programme aus dem Internet geladen. Der Absender ist in der Regel ein Nutzer, der bereits infiziert wurde.
Dazu sagt Raphael Labaca Castro, Security Researcher bei Eset:
„Nemucod lädt wie viele Trojaner-Downloader ganz gezielt Ransomware aus dem Internet, darunter TeslaCrypt oder den Locky-Trojaner“
„Wie bei Ransomware üblich verschlüsselt Nemucod daraufhin Bilder, Videos oder Office-Dateien auf dem infizierten PC und fordert den Nutzer zur Zahlung eines bestimmten Betrags auf, um die persönlichen Dateien wiederherzustellen. In Deutschland konnten wir in den vergangenen Monaten einen deutlichen Anstieg von Trojaner-Downloadern erkennen, die JavaScript verwenden. Diese Art von Malware wird immer beliebter und ist hierzulande inzwischen regelmäßig unter den Top 10.“
Globale Verbreitung registriert
In einigen Ländern waren die Erkennungsraten besonders hoch, doch auch global lässt sich ein Anstieg verzeichnen. Das lässt darauf schließen, dass der Angriff nicht auf ein bestimmtes Land abzielt, sondern weltweit so viele Nutzer wie möglich treffen soll. Die Erkennungsrate dieser Malware-Kampagne ist ungewöhnlich hoch. Weltweit konnte Eset Spitzen von über 10 Prozent erkennen, in einigen Ländern lag der Einfluss sogar noch darüber. Die höchste, bisher erkannte Infektionsrate hatte aber mit Abstand Japan zu verzeichnen: Innerhalb von etwas mehr als zwei Tagen schossen die Erkennungsraten von Nemucod auf über 75 Prozent.
ESET Tipps zum Schutz vor Ransomware:
- Keine E-Mail-Anhänge von unbekannten Absendern öffnen.
- Kollegen warnen, die regelmäßig E-Mails von externen Absendern erhalten, wie beispielsweise Buchhaltung oder HR-Abteilung.
- Ein regelmäßiges Backup der Daten durchführen. Im Falle einer Infektion können so alle Daten wiederhergestellt werden.
- Externe (Backup-)Festplatten sollten nicht dauerhaft mit dem Computer verbunden sein, um eine Infektion durch den Filecoder zu vermeiden. Wird der PC von Ransomware befallen, können die verschlüsselten Daten mit dem Backup einfach wieder hergestellt werden.
- Das Betriebssystem sowie verwendete Software mit regelmäßigen Updates auf dem neuesten Stand halten. Windows-Nutzer, die noch immer mit Windows XP arbeiten, sollten einen Wechsel zu einem anderen, moderneren Microsoft-Betriebssystem wie Windows 7 oder 10 in Erwägung ziehen.
- Eine aktuelle Security-Software wie die ESET Smart Security verwenden und mit automatischen Updates aktuell halten.
- Eset-Nutzer können das Sicherheitsmaß zusätzlich erhöhen, wenn sie das LiveGrid Reputation System aktiviert haben. Diese Technologie schützt die Geräte des Nutzers proaktiv vor Ransomware, indem sie die auffälligen Prozesse der Schadsoftware aktiv blockiert.
