Erpressungs Trojaner - fünf Porträts von TeslaCrypt, Chimera, BKA-Trojanern & Co.

TeslaCrypt: Version ist noch kein Kraut gewachsen

TeslaCrypt ändert sich ständig — die neueste Version des Verschlüsselungstrojaners konnte noch nicht entschlüsselt werden. Die verschlüsselten Dateien erhalten die Endung.vvv. Betroffen sind ausschließlich Windows-Nutzer.

Infektionsweg. Die Ransomware tarnt sich als Attachment in einer ZIP-Datei von Mails und  kommt als JavaScript-Inhalt auf die Rechner der Opfer. Beim Neustart wird ein Lösegeld in Form von Bitcoins gefordert, um wieder Zugriff auf die Dateien zu erhalten.

Beseitigung möglich? Antivirensoftware kann die neue TeslaCrypt-Variante zwar entfernen, jedoch momentan noch nicht die verschlüsselten Dateien wiederherstellen. Die Anti-Malware-Hersteller arbeiten mit hoher Sicherheit an den Entschlüsselungs-Tools. Cisco hatte zwar ein Entschlüsselungs-Tool herausgebracht, das aber nur in älteren Versionen der Ransomeware funktioniert. Andere Möglichkeiten der Entfernung bzw. Entschlüsselung erfordern erhebliche Kenntnisse und Eingriffe in die Windows-Software-Architektur. Der gewöhnliche Internetnutzer sollte hier nicht selbst Hand anlegen.

Bitcryptor (vormals CoinVault): Kein Geld zahlen, holländische Cyberkriminelle sitzen in Haft

Die holländischen Autoren der beiden Verschlüsselungs-Viren konnten im Herbst 2015 ausfindig und dingfest gemacht werden. Im Zuge der Vernehmungen gaben die beiden Ransomware-Schöpfer die Schlüssel heraus und Kaspersky konnte daraus ein Tool mit 14.000 Entschlüsselungs-Codes basteln, das den Internet-Nutzer aus dem Zangengriff der Schad-Software befreit. Das bedeutet für Betroffene: kein Lösegeld zahlen! Bisher wurde die Zahlung von 1 Bitcoin, ca. 250 US-Dollar, binnen 66 Stunden verlangt.

Infektionsweg. Betriebssysteme werden über verseuchte E-Mails, Exploit Kits und gefälschte flashbasierte-Downloads infiziert. Nach der Einnistung werden sämtliche Dateien mit Endungen wie .doc, .docx, .xls, .xlsx, .ppt, .pptx, .mp3, .jpeg, .gif, .bmp, .txt verschlüsselt. Betroffen sind Windows-Versionen inklusive XP, Vista.

Beseitigung möglich? Kaspersky stellt das rettende Entschlüsselungs-Tool Ransomware Decryptor gratis unter https://noransom.kaspersky.com/ zum Download bereit.

Chimera: Business Attack – Daten verschlüsseln und veröffentlichen

Die Ransomware Chimera geht weit über die reine Verschlüsselung hinaus und droht imageschädigende Benutzerdaten im Web zu veröffentlichen — eine völlig neue Dimension der Cyber-Erpressung. Untersuchungen von Trend Micro zu Chimera haben gezeigt, dass die Schadsoftware keine Funktion besitzt, um die Daten eines Opfers an einen Befehlsserver zu verschicken. Sie sende lediglich eine selbst generierte Opfer-ID, eine Bitcoin-Adresse und den privaten Schlüssel. Insofern ist von der Zahlung von Lösegeld abzuraten. Chimera attackiert bislang ausschließlich Business-Rechner und suchte speziell Personalabteilungen als Opfer aus — auch deswegen stellt der Chimera-Schädling eine neue aufsehenerregende Form von Ransomware dar.

Infektionsweg. Die Cyberkriminellen tarnen sich als Bewerber und kontaktieren Unternehmen mit Bewerbungs-E-Mails. Es werden bislang ausschließlich Windows-Rechner angegriffen. Die Infektion mit dem Trojaner erfolgt über Anhänge mit Endungen wie Bewerbungsmappe.PDF.exe oder vermeintliche Dropbox-Download-Links zu den Bewerbungsunterlagen. Chimera verschlüsselt Dateien auf den lokalen Rechnern und dringt auch in Firmen-Netzwerke ein. Die Trojaner verschlüsseln die Dateien mit der Endung .crypt. Nach dem Rebooting poppen Meldungen auf, nach denen die Opfer aufgefordert werden, Bitcoins im Wert von mehr als 600 Euro zu zahlen. Falls man nicht zahlt, wird damit gedroht, sämtliche privaten Daten im Netz zu veröffentlichen. Unternehmen sollten ihre IT-Abteilung und ihre Mitarbeiter dringend für solche Ransomware-Attacken sensibilisieren.

Beseitigung möglich? Einige Antivirenprogramme wie Kaspersky und Avira erkennen den Schädling, andere nicht. Wie Sie den Schädling loswerden erfahren Sie im YouTube Kanal „entfernenspyware“.

Simplocker: Cyber-Erpressung über Android-Smartphones und Tablets

Es war absehbar, dass die Ransomeware-Programmierer aufgrund der steigenden Reichweite von mobilen Endgeräten auch vor Smartphones und Tablet nicht halt machen. Einem Bericht von Heise zufolge hat der Anti-Malware-Spezialist Eset einen Android-Erpressungstrojaner entdeckt, der Smartphones über die SD-Karten kontaminiert und anschließend Media-Daten und Office-Dokumente verschlüsselt.

Betroffen sind momentan vor allem noch russische Android-Nutzer, das muss aber nicht so bleiben. Die Sperrung wird mit dem Konsum pädophiler Webseiten und entsprechender Inhalte begründet und es wird ein Lösegeld von ca. 16 Euro verlangt. Es soll über ein Payment-System namens MoneX und in ukrainischen Hrywnja bezahlt werden. Eset empfiehlt nicht zu zahlen, da es unwahrscheinlich erscheint, dass die Daten tatsächlich entschlüsselt werden. Auch für den BKA-Trojaner (siehe unten) kursierte zuletzt bereits eine mobile Trojaner-Version, die Android-Hardware befallen hatte.

Infektionsweg. Die Infektion erfolgt über die gängigsten Infektionswege außerhalb des Google Playstores. Der Schädling kommuniziert als versteckter Service im Netzwerk des Anonymisierungsdienstes Tor.

Beseitigung möglich? Das Entwicklungslabor von Bitdefender hat eine Lösung vorgestellt, mit der Betroffene die Android-Erpresser manuell loswerden können. Allerdings ist dafür Schnelligkeit erforderlich und Fingerfertigkeit, denn es bleiben nach der Ransomware-Warnung und der Aktivierung des Home-Buttons nur fünf Sekunden Zeit, um die Anwendung zu deinstallieren. Alternative: Deinstallation im laufenden Boot-Prozess. Mehr dazu lesen Sie hier.

Bundespolizei-/GEMA-/GVU-/BKA-Trojaner: Hier spricht nicht die Polizei

Bei dieser Ransomware steckt keine deutsche Behörde dahinter. Selbst unerfahrene Internet-Nutzer dürften nicht glauben, dass eine deutsche Behörde wie das BKA oder die GEMA Geld von den Bürgern über digitale Erpressungs-Instrumenteverlangen würde. Mehrere Oberflächen-Varianten des Verschlüsselungs-Trojaners rufen in teilweise schlechtem Deutsch dazu auf, Paysafe- oder Ukash-Codes in das jeweilige Eingabefeld einzugeben. Würde das nicht klappen, könne man den Code auch an eine angegebene Mail-Adresse zwecks Freischaltung senden, wie zum Beispiel einzahlung@landes-kriminalt.net.

Die Erpresser versuchen ihre Glaubwürdigkeit zu erhöhen, indem per Script ausgelesene Daten wie das Betriebssystem, verwendete Browser und die eigene IP-Adresse mit angezeigt werden. Das Logo des Bundeskriminalamts und die Logos bekannter IT-Sicherheitsunternehmen sollen die Seriosität unterstreichen. Dem Nutzer wird stets vorgeworden, in kriminelle Machenschaften verwickelt zu sein — beispielsweise von der jeweiligen IP-Seite kinderpornografisches oder gewaltverherrlichende Inhalte aufgerufen und verbreitet zu haben.

Infektionsweg/Beseitigung möglich? Die Internet-Seite BKA-Trojaner.de hat eine Vielzahl Screenshots von diversen Versionen des BKA-Trojaners online gestellt und unterstützt je nach Variante des Trojaners mit Hilfe-Foren. Die Spezialseite empfiehlt die Nutzung der HitmanPro.Kickstart EU-Cleaner Edition, um die Ransomeware zu entfernen. Die Anwendung lässt sich vom USB-Stick starten. Darüber hinaus gibt die Hilfe-Seite Bundespolizei-Virus.de eine gute Hilfestellung, wie sich die amtlich getarnte Verschlüsselungs-Malware wieder entfernen lässt.