Shade: Erpresser-Software attackiert Nutzer im deutschsprachigen Raum

14. September 2015

Kaspersky Lab warnt vor der Erpresser-Software Shade [1]. Die Ransomware attackiert besonders häufig Internetanwender im deutschsprachigen Raum. Am verbreitetsten ist der Schädling in Russland. Alle Versionen des Erpresser-Trojaners verschlüsseln Dateien auf den infizierten Opfersystemen und ergänzen deren Namen um die Endungen „.xtbl“ und „.ytbl“. Der Schädling ist besonders bösartig, weil dieser neben seiner Erpressungsfunktion ein ganzes Arsenal an gefährlichen im Hintergrund aktiven Trojanern an die Rechner der Opfer ausliefert.

Kaspersky Lab warnt vor der Erpresser-Software Shade ^[1]. Die Ransomware attackiert besonders häufig Internetanwender im deutschsprachigen Raum. Am verbreitetsten ist der Schädling in Russland. Alle Versionen des Erpresser-Trojaners verschlüsseln Dateien auf den infizierten Opfersystemen und ergänzen deren Namen um die Endungen „.xtbl“ und „.ytbl“. Der Schädling ist besonders bösartig, weil dieser neben seiner Erpressungsfunktion ein ganzes Arsenal an gefährlichen im Hintergrund aktiven Trojanern an die Rechner der Opfer ausliefert.

Shade verbreitet sich über Spam-Mails und darin enthaltene infizierte Anhänge. Daneben nutzt er den Infektionsweg über Drive-by-Downloads: Der Schädling gelangt auf ein Opfersystem, indem der Nutzer eine legale, aber kompromittierte Webseite besucht. Shade wird hierbei über so genannte Exploit Kits, die Schwachstellen im Web-Browser ausnutzen, auf einen Opfer-Rechner gebracht. Im Gegensatz zum Spam-Angriff muss das Opfer in diesem Fall nicht einmal die schädliche Datei ausführen.

„Crypto-Ransomware hat sich in letzter Zeit zu einer der herausragendsten Cyberbedrohungen entwickelt. Die Kriminellen, die hinter diesen Trojanern stecken, versuchen ständig mehr Profit mit ihren Opfern zu machen“, so Fedor Sinizyn, Senior Malware Analyst bei Kaspersky Lab. „Im Falle von Trojan-Ransom.Win32.Shade haben wir nicht nur typische Erpressungstechniken beobachtet, sondern auch ein Bot-ähnliches Verhalten (über C&Cs ausgelöste Zufuhr von zusätzlicher Schadsoftware in das infizierte System). Um diese Schadsoftware zu bekämpfen, sollten aktuelle Browser und Sicherheitslösungen verwendet und vorsichtig mit E-Mails von unbekannten Absendern umgegangen werden. Außerdem sollten regelmäßig Backups von den wichtigen Daten auf dem PC erstellt werden.“ Gelangt Shade auf ein System, verbindet er sich mit einem Command-and-Control-Server (C&C) aus dem anonymisierten Tor-Netzwerk. Anschließend erhält der Schädling von seinem C&C-Server einen RSA-3072-Schlüssel, mit dem dann Dateien auf dem Opferrechner verschlüsselt werden. Kommt keine Verbindung mit dem C&C zustande, nutzt Shade einen von 100 Schlüsseln, die er im Falle derartiger Verbindungsprobleme implementiert hat.

Shade: gefährliche Aktivitäten im Hintergrund

Sind die Dateien auf einem Opfersystem verschlüsselt, setzt Shade den betroffenen Nutzer davon in Kenntnis und fordert für weitere Instruktionen die Zusendung eines bestimmten Codes an eine E-Mail-Adresse. Der maliziöse Prozess wird jedoch nicht beendet, sondern Shade agiert als Downloader und installiert weitere Schädlinge heimlich auf dem Opfersystem. Zu den von Shade nachgelieferten Schadprogrammen zählt auch ein Trojaner, der gezielt für Bruteforce-Attacken verwendet wird, um Passwörter für Webseiten zu knacken.

Wird Shade auf einem Computer gefunden, sollte umgehend ein vollständiger Virenscan über eine aktuelle Sicherheitslösung wie Kaspersky Internet Security – Multi-Device 2016 ^[2] durchgeführt werden. Ohne eine gründliche Desinfizierung bleibt das System durch verschiedene Schadprogramme, die über Shade geladen wurden, infiziert und somit akut gefährdet. Um einer Shade-Infektion vorzubeugen, sollten Anwender keine Anhänge von unbekannten E-Mails öffnen, Betriebssystem und Software stets aktuell halten und beim Surfen ein aktuelles Virenschutzprogramm einsetzen, das vor Cyberbedrohungen in Echtzeit schützt.

Mehr zu Shade kann unter http://www.viruslist.com/de/analysis?pubid=200883890 abgerufen werden.

^[1]http://www.viruslist.com/de/analysis?pubid=200883890; Kaspersky Lab kennt den Schädling unter der Bezeichnung „Trojan-Ransom.Win32.Shade“; Die Analyse von Kaspersky Lab basiert auf anonymen Daten, die aus dem cloudbasierten Kaspersky Security Network (KSN) gewonnen werden. Am KSN können Kaspersky-Kunden auf freiwilliger Basis teilnehmen. Die von Kaspersky Lab erhobenen Daten werden anonym und vertraulich behandelt. Es werden keine persönlichen Daten wie zum Beispiel Passwörter gesammelt. Über das KSN erhält Kaspersky Lab Informationen über Infizierungsversuche und Malware-Attacken. Die dabei gewonnenen Informationen helfen vor allem den Echtzeitschutz für Kaspersky-Kunden zu verbessern. Ausführliche Informationen über das KSN sind in einem Whitepaper aufgeführt, das unter http://www.kaspersky.com/images/KESB_Whitepaper_KSN_ENG_final.pdf abrufbar ist.

^[2]http://www.kaspersky.com/de/multi-device-security

Nützliche Links:

Blog: http://www.viruslist.com/de/analysis?pubid=200883890
Kaspersky Internet Security – Multi-Device 2016: http://www.kaspersky.com/de/multi-device-security

Shade: Erpresser-Software attackiert Nutzer im deutschsprachigen Raum

Kaspersky

Über Kaspersky

Kaspersky ist ein global agierendes Unternehmen, das im Jahr 1997 gegründet wurde und Lösungen für die Cybersicherheit und den Schutz der Privatsphäre im Internet anbietet. Kaspersky revolutioniert die Branche mit seinem Sicherheitsansatz auf Basis des Prinzips der Cyberimmunität und schützt Verbraucher, Unternehmen, kritische Infrastrukturen und Behörden vor Cyberbedrohungen, mit bis heute über einer Milliarde geschützter Geräte.

Kaspersky sorgt für Cybersecurity True to Business und konzentriert sich auf die Bereitstellung klarer Ergebnisse, den Schutz des Umsatzes, Reduzierung der Arbeitsbelastung und Vermeidung von Ausfallzeiten. Kasperskys umfassendes Know-how im Bereich Threat Intelligence und Sicherheit fließt ständig in innovative Lösungen und Dienste für Unternehmen jeder Größe ein, von kleinen bis hin zu Großunternehmen, die bewährte KI-gesteuerte Schutztechnologien mit einfacher Verwaltung und fachkundigem Support kombinieren.

Kaspersky wurde in unabhängigen Tests ausgezeichnet und wird von Millionen von Menschen weltweit sowie fast 200.000 Unternehmen als vertrauenswürdig eingestuft. Kaspersky hilft dabei, Bedrohungen früher zu erkennen, schneller zu reagieren und mit größerer Sicherheit und Freiheit zu arbeiten, und schützt so, was für unsere Kunden am wichtigsten ist. Weitere Informationen erhalten Sie unter www.kaspersky.de.

Shade: Erpresser-Software attackiert Nutzer im deutschsprachigen Raum

Shade: gefährliche Aktivitäten im Hintergrund

Nützliche Links:

Shade: Erpresser-Software attackiert Nutzer im deutschsprachigen Raum

Über Kaspersky

Verwandter Artikel Pressemitteilungen

Gefälschte KI-Tools: Angriffe auf KMU haben sich verfünffacht

Kaspersky-Lösungen für Unternehmen und Verbraucher mit vier Awards von SE Labs ausgezeichnet

Nachhaltigkeitsreport 2024-2025 zeigt: Kaspersky setzt sich für eine sicherere Cyberwelt für Menschen, Unternehmen und die Gesellschaft ein

WhatsApp als Einfallstor: Kaspersky warnt vor mehrsprachiger Malware-Kampagne

Kaspersky erweitert Threat-Hunting-Training für SOC-Teams

Kaspersky beim BSI gemäß NIS-2-Richtlinie EU-weit registriert

Kaspersky Container Security um neue Funktionen für moderne DevOps-Umgebungen erweitert

Romance Scam: In Deutschland grassiert Liebesbetrug über Messenger

Digitale Gewalt nimmt zu: Fast jeder Zweite erlebt Übergriffe

Lagebild zur industriellen Cybersicherheit im deutschsprachigen Raum