Neu ist die Aufmachung der Lösegeldforderung. Die Angreifer fordern dazu auf die Lösegeldinformationen per E-Mail bei den kriminellen Drahtziehern anzufordern! Unter dem bekannten Motto „All your Main files were encrypted“ werden die Bedingungen der Verschlüsselung erläutert. Sie enden mit dem Hinweis, dass man unbedingt per E-Mail Kontakt aufnehmen sollte, da sonst die Dateien nicht entschlüsselt werden. Als Kontakt-Adressen sind angegeben:
E-Mail1:umbredecrypt@engineer.com
E-Mail2:umbrehelp@consultant.com
UmbreCrypt soll, ähnlich wie die Ransomware „LeChiffre“, manuell über gehackte Terminal Services oder per Remote-Desktop auf dem kompromittierten Systemen installiert und von den Angreifern selbst ausgeführt werden.
Sicherheitsexperten raten die Ereignisprotokolle auf fehlgeschlagene Anmeldeversuche zu überprüfen, um die Konten zu bestimmen, die möglicherweise gehackt wurden.
Wie geht „UmbreCrypt“ vor?
Die Vorgehensweise von „UmbreCrypt“ beschreiben die Sicherheitsexperten wie folgt:
Wird „UmbreCrypt“ auf kompromittierten Systemen ausgeführt, werden alle angebundenen Laufwerke gezielt auf bestimmte Datei-Erweiterungen überprüft und anschließend über AES (Advanced Encryption Standard, eine Blockchiffre) verschlüsselt. Die verschlüsselten Daten werden durch Anhängen der Erweiterung „umbrecrypt_ID_ [victim_id]“ z.B. in „dateiname.jpg.umbrecrypt_ID_abdag113″ umbenannt. Allerdings spart der Verschlüsselungs-Trojaner bei seiner Verschlüsselungsaktion einige Ordner auf dem System aus (sogenannte Whitelist: Windows, Programme, Dateien, Programme, Program Files (x86), Programme (x86), Windows, Program), hinterlässt aber in jedem Ordner eine „Readme DECRYPT UMBRE_ID_ [Opfer id] .txt“ Textdatei mit Informationen für das Opfer.
Wie es heißt gibt es bislang keinerlei Hinweise oder Informationen, ob die Kriminellen auf Anfragen per E-Mail der Opfer reagieren bzw. verschlüsselte Daten wiederhergestellt haben. Opfer sollten trotzdem niemals einer Lösegeldzahlung nachkommen.
Empfohlene Schutzmaßnahmen der Sicherheitsexperten
Zu diesem Zeitpunkt gibt es noch keine Maßnahmen bzw. Möglichkeiten, die verschlüsselten Dateien wiederherzustellen, erstellen Sie zu Ihrer Sicherheit regelmäßig ein Backup Ihrer persönlichen Daten bzw. vom ganzen System.
Die Experten von botfrei.de raten zu einem optimalen Rechnerschutz, der folgende Schwerpunkte umfassen sollte:
Überprüfen Sie Ihren Rechner mit den kostenfreien EU-Cleanern von botfrei
Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immer “up-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
Machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Im Infektionsfall sollten Sie diese immer griffbereit haben.
Verwenden Sie unbedingt eine professionelle Antivirensoftware, auch auf einem Mac!
Ob Ihr Browser aktuell ist, oder Sie schon Teil eines Botnetzes sind erfahren Sie im Browsercheck.
Weiterführende Links:
Beachten Sie auch unsere informativen Beiträge zum Thema Ransomware
Ransomware: die neue Masche der Cyber-Kriminalität
