Mails von update@microsoft.com bringen Trojaner mit

SicherheitVirus
Trojaner (Bild: Shutterstock/Blue Island)

Die gefälschten E-Mail versprechen in der Betreffzeile ein “Windows 10 Free Update”. Im Anhang enthalten sie eine Datei namens Win10Installer. Dahinter verbirgt sich jedoch der Trojaner CBT-Locker, der Dateien der Nutzer verschlüsselt und ein Lösegeld zu erpressen versucht.

Cisco hat vor einer E-Mail mit Malware im Anhang gewarnt, bei der sich Kriminelle die Markteinführung von Windows 10 zunutze machen. Die E-Mails scheinen vom Absender update@microsoft.com zu kommen und versprechen Empfängern in der Betreffzeile ein “Windows 10 Free Update”. Im Anhang bringen sie eine Datei namens “Win10Installer” mit, die jedoch nicht das neue Betriebssystem, sondern den Trojaner CTB-Locker installiert, der dann umgehend die Dateien des Nutzers verschlüsselt.

Um Glaubwürdigkeit werben die Kriminellen, die laut Cisco vermutlich aus Thailand operieren, mit dem unter jeder Mail befindlichen Zusatz, sie sei mit “MailScanner” überprüft und von dem programm für virenfrei befunden wurde. Außerdem ahmen sie beim Design von Microsoft für die Bewerbung von Windows 10 verwendete Stilmittel nach und nutzen dasselbe Blau als Hintergrund. Allerdings sollten zahlreiche Darstellungsfehler Nutzer dennoch misstrauisch machen.

Nachdem Kriminelle Ransomware zunächst vor allem in Russland und dessen Nachbarländern verwendeten, breitet sich diese Form der Cyberkriminalität inzwischen weltweit aus. Vor knapp einem Jahr hat zum Beispiel das Bundeskriminalamt in seiner Statistik einen erheblichen Anstieg bei Ransomware festgestellt.

Auch in diesem Jahr sorgten bereits einige Attacken mir Ransomware für Aufsehen. Gleich Anfang des Jahres tauchte eine neue Version von Cryptowall auf. Sie wurde ebenfalls über E-Mails, aber auch über Online-Anzeigen verteilt. Die Cryptowall 3.0 genannte Variante verschlüsselt ebenfalls die Dateien der betroffenen Nutzer. Die Schadsoftware zeigt dann eine Website an, auf der sie ihn zur Lösegeldzahlung auffordert.

Klicken Nutzer in der vermeintlich von MIcosoft stammneden Mail auf den Anhang, verschlüsselt die Ransomware CTB-Locker ihre Dateien (Screenshot: Cisco).
Klicken Nutzer in der vermeintlich von Microsoft stammneden Mail auf den Anhang, verschlüsselt die Ransomware CTB-Locker ihre Dateien (Screenshot: Cisco).

Im Mai wurde dann vor einer Ransomware gewarnt, die sich das Interesse an der Serie Breaking Bad zunutze machte und selektiv Bilder, Videos sowie Office-Dateien verschlüsselte. Im Juni stellten Experten von Trend Micro fest, dass mit dem Exploit-Kit Magnitude eine kurz zuvor geschlossene aber eben noch nicht übrall gepatchte Lücke im Flash Player ausgenutzt wurde, um Ransomware einzuschleusen. Damit waren die Angreofer nicht mehr darauf angewiesen, dass Nuztzer auf falsche Versprechungen in einer Mail hereinfallen, um deren Rechner zu infiziern

Betroffenen empfehlen Experten grundsätzlich, nicht zu zahlen. Denn der Schlüssel zur Dechiffrierung würde nur in den seltensten Fällen tatsächlich preisgegeben. Eine Möglichkeit ist es, das im Mai vom Sicherheitsforscher Jada Cyrus zusammengestellte Ransomware Response Kit zu nutzen. Es enthält Entfernungstools mehrerer Anbieter und ist vor allem für Systemadministratoren und IT-Profis gedacht, setzt also einige Erfahrung voraus. Sie sollten nach Möglichkeit zunächst eine Kopie für spätere Analysen anfertigen. Alternativ sollte geprüft werden, ob Backups für eine Wiederherstellung eines Zustands vor der Infektion vorhanden sind. Für Entschlüsselungsversuche ist es erforderlich, die Identität des Schadprogramms zu kennen, da Dateien sonst unbrauchbar werden könnten.

[mit Material von Andre Borbe, silicon.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen