Internetanwender im deutschsprachigen Raum sollten sich vor der Ransomware Shade in Acht nehmen, warnt Kaspersky Lab. [...]
Am verbreitetsten ist der Schädling jedoch in Russland. Alle Versionen des Erpresser-Trojaners verschlüsseln Dateien auf den infizierten Opfersystemen und ergänzen deren Namen um die Endungen „.xtbl“ und „.ytbl“. Der Schädling ist besonders bösartig, weil dieser neben seiner Erpressungsfunktion ein ganzes Arsenal an gefährlichen im Hintergrund aktiven Trojanern an die Rechner der Opfer ausliefert.
Shade verbreitet sich über Spam-Mails und darin enthaltene infizierte Anhänge. Daneben nutzt er den Infektionsweg über Drive-by-Downloads: Der Schädling gelangt auf ein Opfersystem, indem der Nutzer eine legale, aber kompromittierte Webseite besucht. Shade wird hierbei über Exploit Kits (insbesondere Nuclear EK) verteilt.
„Crypto-Ransomware hat sich in letzter Zeit zu einer der herausragendsten Cyberbedrohungen entwickelt. Die Kriminellen, die hinter diesen Trojanern stecken, versuchen ständig mehr Profit mit ihren Opfern zu machen“, so Fedor Sinizyn, Senior Malware Analyst bei Kaspersky Lab. „Im Falle von Trojan-Ransom.Win32.Shade haben wir nicht nur typische Erpressungstechniken beobachtet, sondern auch ein Bot-ähnliches Verhalten (über C&Cs ausgelöste Zufuhr von zusätzlicher Schadsoftware in das infizierte System). Um diese Schadsoftware zu bekämpfen, sollten aktuelle Browser und Sicherheitslösungen verwendet und vorsichtig mit E-Mails von unbekannten Absendern umgegangen werden. Außerdem sollten regelmäßig Backups von den wichtigen Daten auf dem PC erstellt werden.“
Gelangt Shade auf ein System, verbindet er sich mit einem Command-and-Control-Server (C&C) aus dem anonymisierten Tor-Netzwerk. Anschließend erhält der Schädling von seinem C&C-Server einen RSA-3072-Schlüssel, mit dem dann Dateien auf dem Opferrechner verschlüsselt werden. Kommt keine Verbindung mit dem C&C zustande, nutzt Shade einen von hundert Schlüsseln, die er im Falle derartiger Verbindungsprobleme implementiert hat.
Sind die Dateien auf einem Opfersystem verschlüsselt, setzt Shade den betroffenen Nutzer davon in Kenntnis und fordert für weitere Instruktionen die Zusendung eines bestimmten Codes an eine E-Mail-Adresse. Der maliziöse Prozess wird jedoch nicht beendet, sondern Shade agiert als Downloader und installiert weitere Schädlinge heimlich auf dem Opfersystem. Zu den von Shade nachgelieferten Schadprogrammen zählt auch ein Trojaner, der gezielt für Bruteforce-Attacken verwendet wird, um Passwörter für Webseiten zu knacken.
Weitere Details zu Shade, den die Produkte von Kaspersky Lab als Trojan-Ransom.Win32.Shade klassifizieren (andere Antiviren-Anbieter identifizieren die Malware sie als Trojan.Encoder.858, Ransom:Win32/Troldesh), haben die Security-Experten unter http://www.viruslist.com/de/analysis?pubid=200883890 gesammelt. (rnf)
Be the first to comment