Shade erpresst Nutzer und verseucht Rechner mit weiterer Malware

SicherheitVirus
Kaspersky Lab (Bild: Kaspersky)

Die Erpressersoftware Shade attackiert laut Kaspersky besonders häufig Anwender im deutschsprachigen Raum und in Russland. Alle Versionen der Ransomware verschlüsseln Dateien auf infizierten Systemen und ergänzen sie um die Endungen .xtbl und .ytbl. Außerdem liefert sie im Hintergrund weitere Malware an die Rechner der Opfer aus.

Experten von Kaspersky Lab haben vor der Malware Shade gewarnt. Sie gehört zu der in letzter Zeit verstärkt auch in Westeuropa und den USA auftretenden Ransomware und versucht wie andere Vertreter der Gattung, betroffene Nutzer durch Verschlüsselung von Dateien zur Zahlung eines Gelbetrages zu erpressen. Laut Kaspersky werden außer in Russland besonders oft Nutzer im deutschsprachigen Raum attackiert. Shade verschlüsselt deren Dateien dann und ergänzen die Dateinamen um die Endungen .xtbl und .ytbl.

Wie andere Erspressersoftware wird auch Shade über Spam-Mails und darin enthaltene infizierte Anhänge verbreitet. Zusätzlich nutzen die Hintermänner aber auch die Möglichkeit, die Malware über sogenannte Drive-by-Downloads, bei denen es reicht, wenn Nutzer eine legale, aber kompromittierte Webseite besuchen, zu verbreiten. Shade nutzt dazu Schwachstellen im Web-Browser aus, das Opfer muss die schädliche Datei in der Regel nicht einmal ausführen.

Die Erpressersoftware Shade wurde bislang besonders häufig in Russland und im deutschsprachigen Raum beobachtet (Grafik: Kaspersky).
Die Erpressersoftware Shade wurde bislang besonders häufig in Russland und im deutschsprachigen Raum beobachtet (Grafik: Kaspersky)..

“Im Falle von Trojan-Ransom.Win32.Shade haben wir nicht nur typische Erpressungstechniken beobachtet, sondern auch ein Bot-ähnliches Verhalten“, so Fedor Sinizyn, Senior Malware Analyst bei Kaspersky Lab. Das heißt, die Schadsoftware fordert im Hintergrund bei einem Kommandoserver den Nachschub zusätzlicher Schadsoftware an. Dazu zählt auch ein Trojaner, der gezielt für Bruteforce-Attacken verwendet wird, um Passwörter für Webseiten zu knacken.

Die Shade-Hintermänner nutzen das anonymisierte Tor-Netzwerk. Auch den RSA-3072-Schlüssel, mit dem Dateien auf dem befallenen Rechner verschlüsselt werden, erhält Shade auf diesem Wege vom Befehlsserver. Kommt keine Verbindung mit dem Command-and-Control-Server zustande, nutzt Shade laut Kaspersky einen von 100 Schlüsseln, die er bereits mitbringt.

Um einer Infektion mit Shade vorzubeugen, empfiehlt Kaspersky Anwender, keine Anhänge von unbekannten E-Mails zu öffnen, Betriebssystem und Software stets aktuell zu halten und ein aktuelles Virenschutzprogramm einsetzen. Ohne eine gründliche Desinfektion verbleibe zudem auch nach der Entfernung von Shade auf dem System eine Reihe von Schadprogrammen.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen