ZCryptor: Erpresser-Trojaner trifft Computerwurm

Keine Kommentare
 

Im firmeneigenen Threat Research & Response Blog warnt Microsoft seit Ende Mai vor einem neuen Verschlüsselungstrojaner. Die durch den Windows Defender als Ransom:Win32/ZCryptor.A erkannte Malware gilt nicht nur deshalb als gefährlich, weil sie mehr als 80 verschiedene Dateitypen verschlüsseln kann: Dank ihrer wurmartigen Verbreitungstechnik ist darüber hinaus auch die Infektionsgefahr ganzer Heim- und Firmennetzwerke groß.


Binär Code

ZCryptor: Erpresser-Trojaner trifft Computerwurm (pixaby.com/geralt)

Bereits seit Ende der 80er Jahre sind Computerwürmer in der Lage, sich mittels Kopien ihrer selbst auf mehreren Systemen auszubreiten. Neu ist allerdings die Anwendung dieses Prinzips durch – im Englischen auch als Ransomware bezeichnete – Erpresser Trojaner. Im Falle von ZCryptor geschieht die initiale Verbreitung sowohl durch Spam-Mails als auch durch getarnte Adobe Flash Player Updates. Nach der einmaligen Ausführung durch den nichtsahnenden User beginnt der Schädling mit der Dateiverschlüsselung und der Darstellung einer Erpresserbotschaft. Zugleich sorgt er für die Infektion sämtlicher an den PC angeschlossener Wechseldatenträger.

Asymmetrische Verschlüsselung und Replikation per Autorun

Die Dateiverschlüsselung erfolgt mittels eines asymmetrischen Verschlüsselungsverfahrens mit einem Private und einem Unique Key. Der zur Wiederherstellung der verschlüsselten Dateien benötigte Private Key verbleibt dabei auf dem Server der Malware-Programmierer und wird von diesen nur gegen eine Zahlung von 1,2 Bitcoins herausgegeben. Dieser Betrag, der umgerechnet etwa 500 Euro entspricht, erhöht sich nach Ablauf von vier Tagen auf 5 Bitcoins, also etwa 2135 Euro. Nach 7 Tagen droht laut der am Bildschirm angezeigten Warnmeldung die Löschung des Unique Key vom PC – und damit auch der endgültige Datenverlust.

Während der Nutzer noch über eine Zahlung oder über Möglichkeiten zur Malware-Entfernung nachdenkt, arbeitet der Erpresser Trojaner im Hintergrund bereits an der Infektion des nächsten Systems. Er kopiert sich unter den Namen system.exe und zcrypt.exe auf USB-Sticks, externe Festplatten und SD-Karten und sorgt durch eine Änderung der Dateieigenschaften dafür, dass die Kopien für den User unsichtbar sind. Eine separate Autorun-Datei sorgt für den automatischen Start des Erpresser Trojaners beim erneuten Anschließen des jeweiligen Datenträgers.

Einspielen von Backups bislang einzige Lösung

Obgleich bislang noch keine Möglichkeit besteht, die verschlüsselten Daten ohne eine Zahlung wiederherzustellen, rät Microsoft dringend davon ab, sich auf ein Geschäft mit den Cyberkriminellen einzulassen. Schließlich sei ungewiss, ob im Anschluss an die Zahlung tatsächlich auch eine Entschlüsselung erfolge. Als vorbeugende Maßnahme empfehlen sich – neben der stets angedachten Aufmerksamkeit beim Surfen im Netz und dem Verzicht auf das Öffnen verdächtiger E-Mail-Anhänge – regelmäßige Backups sowie das Deaktivieren der Remote Desktop und der Autoplay Funktion. Die automatische Ausführung von Makros ist in neueren Microsoft Office Versionen standardmäßig deaktiviert, sollte aber dennoch überprüft werden. Regelmäßige automatische oder manuelle Updates des Betriebssystems tragen zusätzlich zum Schutz vor Sicherheitslücken bei.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen