Die dunkle Seite von Hogwarts: Salazar-Slytherin10 verschlüsselt Dateien

Keine Kommentare
 

Ausgerechnet nach einem Zauberer aus den Harry-Potter-Büchern haben Cyberkriminelle einen neuen Verschlüsselungstrojaner getauft, der seit kurzem das Internet unsicher macht. Anders als sein Namensgeber Salazar Slytherin beherrscht “Salazar-Slytherin10” keine dunklen Zauberkünste. Seine Fähigkeit, Dateien auf dem angegriffenen Rechner zu verschlüsseln, um anschließend ein Lösegeld zu erpressen, dürfte bei den betroffenen Nutzern allerdings ähnlich starkes Unbehagen hervorrufen. Und er ist nicht allein: Österreichische Behörden glauben, eine ganze Ransomware-Familie mit identischer Code-Basis entdeckt zu haben.


Wörter Salat

Die dunkle Seite von Hogwarts: Salazar-Slytherin10 verschlüsselt Dateien (pixabay.com/tumbeldore)

Das österreichische BKA und das Bundesministerium für Inneres benennen auf ihrer Internetpräsenz neben Salazar-Slytherin10 eine Malware namens “Vegclass” als weitere Variante. Die beiden Schädlinge unterscheiden sich hauptsächlich durch das Anzeigen unterschiedlicher E-Mail-Adressen, die nach der Verschlüsselung auf dem Bildschirm angezeigt werden, voneinander. Diese E-Mail-Adressen kommen auch als Bestandteil neu angehängter Datei-Endungen bei verschlüsselten Dateien zum Einsatz. Eine solche Endung könnte für Salazar-Slytherin10 etwa “Salazar-Slytherin10@yahoo.com.xtbl” und für Vegclass entsprechend “vegclass@aol.com.xtbl” lauten. Dies macht deutlich, wie simpel das Erstellen künftiger “neuer Varianten” der Schadsoftware wäre.

Salazar-Slytherin10: Ransomware “Troldesh” dient als Basis

Die Endung “.xtbl” ist das Markenzeichen eines Verschlüsselungstrojaners namens Troldesh, der aus Russland stammt und den die Behörden als Basis für die neue Ransomware-Familie sehen. Troldesh und seine Abkömmlinge verschlüsseln Dateien auf sämtlichen mit dem PC verbundenen Datenträgern sowie im gesamten Netzwerk. Anschließend wird dem Nutzer ein Lockscreen angezeigt. Im Falle der “Vegclass”-Variante existieren Screenshots, die belegen, dass Nutzer drei verschlüsselte Dateien an die angezeigte E-Mail-Adresse senden sollen. Vermutlich werden ihnen diese in entschlüsselter Form und mitsamt einer Lösegeldforderung wieder zurückgeschickt. Nach dem Kenntnisstand der österreichen Behörden liegt diese Forderung aktuell bei etwa 4 Bitcoins, was umgerechnet 2500 Euro entspricht.

Die Behörden sprechen von einem starken Verschlüsselungsalgorithmus; die Entschlüsselung von Dateien auf eigene Faust dürfte unmöglich sein. Dennoch wird geraten, den von Salazar-Slytherin10, Vegclass und Co. geforderten Betrag keinesfalls zu zahlen, da keinerlei Garantie besteht, dass im Anschluss tatsächlich eine Zusendung des Keys erfolgt. Der beste Schutz besteht in vorbeugenden Maßnahmen wie dem regelmäßigen Durchführen von Backups sowie der Verwendung schützender Browser-Plugins und Anti-Viren-Software. Da bislang unklar ist, wie die neue Ransomware auf den PC gelangt, ist generell erhöhte Vorsicht beim Surfen im Web sowie beim Öffnen von E-Mail-Anhängen geboten.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen