Die Ransomware verschlüsselt Daten und erpresst die Besitzer anschließend zur Bezahlung eines Geldbetrages mittels BitCoin zur Erlangung des Entschlüsselungs-Codes. [...]
Das Cybercrime Competence Center des Bundesministerium für Inneres warnt vor neuer Ransomware. Aktuell ist eine neue Welle von Mails mit gefährlichem Inhalt unterwegs. Nunmehr gibt die Mail vor vom Energieanbieter „Verbund Österreich“ zu stammen und gibt Ihnen die Möglichkeit aufgrund der dargestellten Rechnungsübersicht, sich die Online-Rechnung ansehen zu können.
Bei dem über einen blauen Balken in der Mail zu öffnenden Link wird man auf eine Webseite weitergeleitet, auf welcher die vermeintliche Rechnung als ZIP-Datei zum Download bereit steht. Darin verbirgt sich ein getarntes JavaScript, welches nach Aktivierung die entsprechende Schadsoftware nachlädt. Von der Schadsoftware werden Benutzerdaten auf dem lokalen System, verbundene Server-Shares sowie angeschlossene, beschreibbare USB-Laufwerke durch die Ransomware „Crypt0L0cker“ verschlüsselt. Für den Erhalt des für die Entschlüsselung notwendigen Keys ist die Bezahlung eines Lösegeldes mittels BitCoin erforderlich. Die Anweisungen für die Kontaktaufnahme erfolgen auf dem Bildschirm des Benutzers.
Da nahezu jeder Haushalt und jede Firma in Österreich Energie-Konsument ist und tatsächlich zahlreiche Firmen auf die online-Rechnung umsteigen oder damit werben, erscheint die derzeitige Zusendung als äußerst plausibel und wird gerade im Firmen und Geschäftsbereich als tatsächliche Forderungsmitteilung angesehen. Tatsächlich steht natürlich Verbund Österreich in keinem Zusammenhang mit den versandten E-Mails und warnt bereits auch auf seiner Webseite und auf Facebook vor derartigen E-Mails.
Wir raten derart geforderte Zahlungen nicht zu leisten. Die Bezahlung sollte das allerletzte Mittel sein, wenn Sie auf die verschlüsselten Daten keinesfalls verzichten können. Besser beraten sind Sie, wenn Sie zeitgerecht die finanziellen Mittel in eine entsprechende BackUp-Lösung und Strategie investieren. Eine Wiederherstellung oder Entschlüsselung der Daten ohne den erforderlichen Key ist auf Grund der hohen Qualität der Verschlüsselung derzeit nahezu unmöglich.
Zudem können unter Umständen von der Schadsoftware in der Windows-Registry gespeicherte Zugangsdaten und Passwörter, unter anderem für FTP und E-Mail-Accounts ausgelesen und per Mail an eine vom Täter adressierte Stelle im Internet versandt werden. Bei neueren Versionen der Schadsoftware erfolgt ebenfalls zu diesem Zeitpunkt die Löschung der sogenannten „Shadow Copy“, welche bei Vorversionen dieser Schadsoftware in manchen Fällen noch eine Teilwiederherstellung der Daten zuließ.
Empfohlene Vorgangsweisen
- Seien Sie vorsichtig beim Erhalt von E-Mails, deren Absender Sie nicht kennen oder wenn Sie keine entsprechenden Mitteilungen erwarten.
- Kontrollieren Sie nach Möglichkeit die tatsächliche Absenderadresse, achten Sie auf Ungereimtheiten. Bei angeführten Weblinks legen Sie den Mauszeiger über den entsprechenden Link, ohne diesen zu aktivieren. Sollte die Web-Link-Adresse aufscheinen, kontrollieren Sie, ob diese tatsächlich zum Absender gehört.
- Achten Sie auf die Schreibweise und Rechtschreibung solcher Nachrichten, Täter verwenden hier gerne Übersetzungsprogramme, wodurch der Betrug leicht erkennbar ist.
- Öffnen Sie keinesfalls Ihnen unbekannte Dateianhänge, ohne sich vorher von deren Echtheit zu überzeugen.
- Wenn Sie sich unsicher sind, öffnen Sie derartige Dateien in einer gesicherten Umgebung (Sandbox, virtuelle Systeme mit Option auf Rücksetzung) oder bedienen Sie sich unterstützender Seiten im Internet (z.B. Virustotal.com).
- Ändern Sie regelmäßig Ihre Zugangsdaten, verwenden Sie unterschiedliche und komplexe Passwörter für verschiedene Accounts und Anwendungen.
- Legen Sie sich eine BackUp-Strategie für Ihre Daten zu. Trennen Sie das BackUp-Medium nach der Sicherung vom System und lösen Sie Share-Links zu BackUp Servern nach erfolgter Sicherung wieder auf, um ein Übergreifen durch die Schadsoftware zu verhindern.
- Beschränken Sie die Benutzerrechte der jeweiligen User so weit als möglich und arbeiten Sie nur unter dem Administrator-Account, wenn dies unbedingt notwendig ist.
- Wir raten den geforderten Betrag nicht zu bezahlen, es sei denn, dass die Wiederherstellung der Daten für Sie unumgänglich ist. Eine Garantie auf eine solche, selbst nach Bezahlung, gibt es nicht, jedoch liegt es im Geschäftsmodell der Täter, einer solchen nachzukommen! Eine letztendliche Entscheidung darüber müssen Sie für sich selbst treffen.
- Beachten Sie die Sicherheitshinweise und Tipps, für einen Sicheren Umgang mit dem Internet und Schutz vor IT-Kriminalität der Kriminalprävention: http://www.bmi.gv.at.
Be the first to comment