Erpresserschädling TeslaCrypt 2.0: stärker und gefährlicher

14 Jul 2015

Cyberkriminelle lernen laufend voneinander. Ein Beispiel dafür ist TeslaCrypt, eine relativ neue Ransomware-Familie, die im Februar 2015 entdeckt wurde. Die besondere Funktion der frühen TeslaCrypt-Versionen war, dass das Schadprogramm nicht nur auf die üblichen Dateien losging, also vor allem Dokumente, Bilder und Videos, sondern auch auf Spieledateien. Damals war es ein eher schwaches Schadprogramm, da es einige technische Fehler enthielt.

Auch wenn die Hintermänner ihre Opfer mit einem beängstigenden RSA-2048-Algorithmus bedrohten, war die Verschlüsselung in Wirklichkeit gar nicht so stark. Zudem speicherte das Schadprogramm während der Verschlüsselung den Entschlüsselungs-Key in einer Datei auf dem Opfercomputer, so dass es möglich war, den Schlüssel abzurufen, indem die Verschlüsselung unterbrochen oder der Schlüssel extrahiert wurde, bevor der entsprechende Bereich auf der Festplatte überschrieben wurde.

Aber wie schon erwähnt, lernen die Kriminellen auch dazu. Die aktuelle Version 2.0 von TeslaCrypt, die kürzlich von den Kaspersky-Experten entdeckt wurde, enthält neue Funktionen, die es verhindern, dass verschlüsselte Dateien entschlüsselt und die Command&Control-Server des Schadprogramms entdeckt werden können.

So haben die Kriminellen die höher entwickelte Elliptic-Curve-Verschlüsselung der Entwickler des berühmt-berüchtigten Erpresser-Schädlings CTB-Locker übernommen und zudem die Speichermethode des Schlüssels verändert: Jetzt verwenden sie die System-Registry statt einer Datei auf der Festplatte. Und sie haben die Webseite, die den Opfern angezeigt wird, nachdem deren Dateien von der Ransomware verschlüsselt wurden, von einer anderen Ransomware-Familie gestohlen – von CryptoWall. Natürlich wurden alle Zahlungsinformationen geändert, aber der Rest des Texts, der aus Sicht des „Verkaufens“ sehr effektiv ist, wurde komplett kopiert. Übrigens ist das Lösegeld für die verschlüsselten Daten recht hoch: Beim aktuellen Bitcoin-Wechselkurs sind es etwa 500 Euro.

Die Schadprogramme der TeslaCrypt-Familie sind dafür bekannt, über Exploit-Kits wie Angler, Sweet Orange und Nuclear verbreitet zu werden. Das funktioniert folgendermaßen: Wenn ein Opfer eine infizierte Webseite besucht, nutzt der schädliche Code eines Exploits Sicherheitslücken im Browser (meist in Plugins) aus, um das Schadprogramm im System zu installieren.

Zu den am häufigsten von TeslaCrypt angegriffenen Ländern gehören Deutschland, die USA, Großbritannien, Frankreich, Italien und Spanien. Die Kaspersky-Produkte entdecken die Schadprogramme der TeslaCrypt-Familie, inklusive der aktuellsten Version, unter der Bezeichnung Trojan-Ransom.Win32.Bitman. Unsere Kunden sind also nicht in Gefahr.

Zum Schutz vor TeslaCrypt und anderen Erpresser-Schädlingen geben wir folgende Tipps:

  • Erstellen Sie regelmäßig Sicherungskopien all Ihrer wichtigen Dateien. Die Kopien sollten auf einer Festplatte gespeichert werden, die außer zur Erstellung der Sicherungskopien nicht direkt an den Computer angeschlossen ist. Das ist enorm wichtig, da TeslaCrypt und andere Ransomware-Arten neben der eingebauten Festplatte auch angeschlossene externe Laufwerke verschlüsseln. 
  • Halten Sie all Ihre Software, vor allem den Browser und seine Plugins, auf dem aktuellen Stand und installieren Sie alle Updates gleich wenn diese veröffentlicht werden. 
  • Sollte dennoch einmal ein schädliches Programm auf Ihrem Computer landen, ist es am besten, dies von der aktuellsten Version einer Sicherheits-Software, bei der die Datenbanken und Schutzmodule aktualisiert wurden, löschen zu lassen.