Neue Ransomware TeslaCrypt zielt auf Spieledateien

23 Mrz 2015

Eine neue Ransomware ist hinter den Spielern von etwa 40 Online-Spielen her und will anscheinend vor allem jüngere Computernutzer infizieren.

GamerAls Ransomware bezeichnet man Schadprogramme, die Anwenderdateien auf den infizierten Computern verschlüsseln und für die Herausgabe des entsprechenden Entschlüsselungs-Keys ein Lösegeld verlangen. Nach der für die Zahlung angegebenen Zeitspanne zerstören die Angreifer meist den Entschlüsselungs-Key.

Über das Schadprogramm wurde zunächst von Bleeping Computer berichtet, einer technischen Support- und Schulungsseite, die sich immer mehr als erste Quelle mit Informationen zu Verschlüsselungs-Trojanern und Ransomware etabliert. Bleeping Computer nannte den Schädling TeslaCrypt, wobei die Sicherheitsfirma Bromium einen eigenen, unabhängigen Bericht dazu veröffentlicht hat, in dem das schädliche Programm als neue Variante von CryptoLocker bezeichnet wird. Bleeping Computer nennt Fabian Wosar von Emsisoft als Entdeckter von TeslaCrypt.

Der beste Schutz vor solchen und ähnlichen Ransomware-Angriffen sind regelmäßig angelegte Sicherungskopien.

Laut Bleeping Computer zielt TeslaCrypt auf Dateien ab, die mit Spielen und Spieleplattformen wie RPG Maker, League of Legends, Call of Duty, Dragon Age, StarCraft, MineCraft, World of Warcraft, World of Tanks und anderen beliebten Online-Spielen zu tun haben. Das ist eine Abkehr von bisherigen Maschen, die eher auf Dokumente, Bilder, Videos und andere Standarddateien auf den infizierten Computern losgehen. TeslaCrypt nutzt AES-Verschlüsselung, so dass die Opfer die Spieledateien nicht ohne den Entschlüsselungs-Key retten können. Dieser Key kostet die Opfer übrigens 500 Dollar, wenn sie per Bitcoin dafür bezahlen, und sogar 1.000 Dollar, wenn sie das Lösegeld über eine PayPal-My-Cash-Karte zahlen.

Während Bleeping Computer hier die Führungsrolle übernommen hat, fügte Bromium der Geschichte noch etwas hinzu, indem das Unternehmen feststellte, wie TeslaCrypt verteilt wird: Die Cyberkriminellen packen den Schädling – nicht überraschend – in das Angler Exploit Kit. Exploit Kits sind Software-Pakete für die Kompromittierung von Computern. Sie enthalten Exploits für Sicherheitslücken und die Angreifer können, wie bei der legitimen Software-as-a-Service-Branche, für die Freischaltung und Nutzung einzelner Exploits zahlen. Exploit Kits bieten den Kriminellen einfache Möglichkeiten, Schadprogramme auf die Computer der Opfer zu laden. Jahrelang war BlackHole das wichtigste Exploit Kit, allerdings fiel es bei den Cyberkriminellen in Ungnade, nachdem sein Autor die Weiterentwicklung einstellte und etwas später in Russland verhaftet wurde. Seitdem hat Angler in den letzten eineinhalb Jahren die Lücke gefüllt und konstant die aktuellsten Zero-Day-Lücken sowie Exploits dafür integriert.

Nach einer Infizierung ändert der Schädling den Bildschirmhintergrund des Computers zu einer Benachrichtigung, die die Opfer darüber informiert, dass Dateien verschlüsselt wurden. Die Nachricht enthält Anweisungen, wie und wo das Opfer den privaten Key für die Entschlüsselung der Dateien kaufen kann. Ein Teil dieses Prozesses ist das Herunterladen des Tor-Browser-Pakets. Interessanterweise gibt es eine versteckte Service-Seite, auf der infizierte Nutzer technischen Support von den Cyberkriminellen zur Zahlung und zur Entschlüsselung der Dateien bekommen können. Die Nachricht enthält auch einen Termin, zu dem der private Key zerstört werden wird und die Dateien nicht mehr wiederhergestellt werden können.

Diese Warnung ähnelt der des berühmt-berüchtigten CryptoLocker, weshalb Bromium die beiden Schadprogramme als verwandt bezeichnet. Wie Bromium anmerkt, sind die technischen Ähnlichkeiten der beiden Programme vernachlässigbar, dennoch glauben die Forscher, dass TeslaCrypt der CryptoLocker-Marke angehört und diese weiterführt.

Wie immer können wir niemandem guten Gewissens raten, das Lösegeld zu zahlen. Denn damit werden die Cyberkriminellen nur ermutigt. Der beste Schutz vor solchen und ähnlichen Ransomware-Angriffen sind regelmäßig angelegte Sicherungskopien. Auf einem Mac ist die Time Machine ein idealer Dienst, der automatische Sicherungskopien auf angeschlossenen Speichermedien anlegt. Wenn Sie dann infiziert werden sollten, können Sie einfach die Time Machine öffnen und den Computer auf den Stand vor der Infizierung zurücksetzen. Windows-Computer bieten eine ähnliche Funktion, mit der die Rechner auf frühere Punkte zurückgesetzt werden können. Am besten ist, all Ihre wichtigen Dateien und Programme mehrmals pro Monat auf eine externe Festplatte zu sichern. Auf diese Art können Sie die verschlüsselten Dateien einfach löschen, mit einer zuverlässigen Antivirus-Lösung das Schadprogramm entfernen und dann die Dateien von der externen Festplatte wieder herstellen.

Natürlich sollten Sie auch immer Updates für das Betriebssystem, die Software, verwendete Programme und Browser installieren, denn der Großteil der Exploit Kits missbraucht bekannte und bereits geschlossene Sicherheitslücken.

Wir haben es schon oft gesagt: Verschlüsselnde Ransomware wird nicht verschwinden und das ist eine schlechte Nachricht, also sollten Sie regelmäßig einige Zeit opfern, um Sicherungskopien zu erstellen. Und wie Sie am technischen Support und der Markenpflege sehen, haben die Hintermänner solcher Schadprogramme ein Auge auf das Geschäft und das Marketing. Mit anderen Worten: Sie werden immer besser, infizierte Nutzer davon zu überzeugen, für die Entschlüsselung der Dateien zu bezahlen. Und das in einer Welt, in der wir immer mehr Dinge mit dem Internet vernetzen, so dass die Gefahr nur zunehmen wird.