Kriminelle schleusten manipulierte Webseite ein
Am Samstag wurde der Dienst für mehrere Stunden vom Netz genommen. Laut einem Statement von Crunchyroll haben Kriminelle es geschafft, bei der vorgeschalteten Instanz Cloudflare den DNS-Dienst dahingegen zu manipulieren, dass Besucher von Crunchyroll auf eine von Kriminellen hinterlegte Webseite umgeleitet wurden. Auf dieser von Kriminellen manipulierten Webseite wurde den Besuchern ein neuer „Crunchyroll-Viewer“ in Form einer Malware zum Download angeboten, wie blog.botfrei.de dazu ausführte.
Die gefährliche Malware „Crunchyroll-Viewer“ soll laut Sicherheitsexperten in der Lage sein, das System zu infizieren und diverse Hintertüren zu öffnen. Zudem soll es damit gelingen:
- Alle Dateien auf der Festplatte zu verschlüsseln
- Das gesamte System unbrauchbar zu machen
Bereits am Samstagabend war alles wieder beim Alten und das Portal ohne Probleme erreichbar. Crunchyroll bewertet den Angriff als einzelnen Übergriff auf die Cloudflare-Ebene und nicht auf die eigene Infrastruktur des Streaming-Portals. Laut Crunchyroll waren somit keine Nutzerdaten oder -informationen einem Risiko ausgesetzt. Dennoch nimmt der Streaming-Dienstleiter diesen Angriff ernst, im Bereich “Einschaltung der Behörden und Verfolgung der Kriminellen”, bietet der Dienst eine “Schritt für Schritt” -Anleitung zur Entfernung der Malware an.
Crunchyroll bietet Hilfe zur Selbshilfe
Windows-Nutzer, die die Malware im Zeitraum von 11:30 Uhr bis 17:00 Uhr heruntergeladen haben, sollen folgende Schritte durchführen:
Wurde die Datei nur heruntergeladen, aber nicht ausgeführt, ist der Rechner nicht infiziert.
- Die Datei “CrunchyViewer.exe” (in der Regel unter Downloads) löschen.
- Anschliessend den Rechner mit einen Antivirus-/Anti-Malware-Software überprüfen. (z.B. mit unseren kostenfreien EU-Cleaner)
Falls der “CrunchyViewer.exe” heruntergeladen und ausgeführt wurde:
- Die Datei “CrunchyViewer.exe” (in der Regel unter Downloads) löschen.
- Den bösartigen “Java” Registrierungsschlüssel entfernen (Weitere Informationen findet ihr in der Support-Datenbank von Microsoft).
- Öffnet Regedit und geht zu: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Den Java-Schlüssel löschen.
- Die bösartige Binärdatei löschen, dazu über Explorer zu: %appdata%\Roaming (Beispiel: C:\Benutzer\DeinNutzername\AppData\Roaming\) navigieren.
- Dort die Datei ‘svchost.exe’ löschen.
- Anschliessend den Rechner mit einen Antivirus-/Anti-Malware-Software überprüfen. (z.B. mit unseren kostenfreien EU-Cleaner)
