TeslaCrypt: Runde Drei

15 Dez 2015

Die Entwicklung von Schadprogrammen und unseren Kampf für die Sicherheit der Anwender kann man manchmal mit einer anspruchsvollen Fernsehserie vergleichen: Der Zuschauer kann mitverfolgen, wie die Charaktere neue Fähigkeiten erwerben, Probleme überwinden und Errungenschaften machen. Und im Fall der erpresserischen Ransomware TeslaCrypt scheinen wir nun in der dritten Staffel der Serie angelangt zu sein.

teslacrypt-ransomware-news-featured

TeslaCrypt wurde zum ersten Mal im Februar 2015 beschrieben, als der Trojaner PCs bestimmter Online-Spieler infizierte und deren Dateien verschlüsselte. Der Schädling forderte etwa 500 Euro Lösegeld, um die Daten wieder freizugeben.

Der damals neue Trojaner war auf Basis einer anderen, gefährlichen Ransomware namens CryptoLocker entwickelt worden. Die Täter nutzten damals eine relativ schwache Verschlüsselung, die geknackt werden konnte. Zudem speicherte der Trojaner die Entschlüsselungs-Keys in einer separaten Datei auf der Festplatte des Opfers, so dass man sie ohne großen Aufwand herausfinden konnte. Schließlich entwickelten Nutzer des BleepingComputer-Forums die Software TeslaDecoder, die den Opfern dabei half, ihre Dateien auch ohne Lösegeldzahlung wieder zu bekommen.

Schön wäre, wenn diese erste Staffel ein Flop gewesen und die Serie damit eingestellt worden wäre. Doch die Cyberkriminellen erweiterten das Schadprogramm und veröffentlichten TeslaCrypt 2.0, der im Juli 2015 von Kaspersky Lab entdeckt wurde. Diese Version verwendet einen enorm verbesserten Verschlüsselungsmechanismus, der nicht gehackt werden kann. Zudem speichert die neue Version des Schädlings die Keys nicht in einer separaten Datei, sondern in der System Registry.

Opfer des Trojaners, die den Key irgendwie finden, können nach wie vor den TeslaDecoder nutzen, um ihre Dateien zu retten. Doch ohne den Key ist auch diese Software machtlos.

Und kürzlich gab es eine neue <s>Staffel</s> Epidemie. TeslaCrypt 2.2.0 trat auf die Bühne. Derzeit läuft damit eine schädliche Mail-Kampagne: Nutzer in aller Welt erhalten gefälschte Zahlungserinnerungen. Wer sich davon täuschen lässt, installiert unwissentlich das Angler-Exploit-Kit, das eine neue Version von TeslaCrypt herunterlädt. Vor allem viele Anwender in Firmen fallen auf diese gefälschten Mails herein, da es in Firmen ganz alltäglich ist, dass einmal eine Rechnung übersehen wird.

Davon abgesehen starteten die Cyberkriminellen eine groß angelegte Kampagne, um WordPress-Seiten zu infizieren, inklusive dem Blog der englischen Tageszeitung The Independent. Angler war auch bei dieser Aktion beteiligt. Der Exploit lud entweder TeslaCrypt oder eine anderen Trojaner names BEDEP herunter, der wiederum die berüchtigte Ransomware herunterlud.

Laut einem Bericht von Trend Micro, wurde das Blog am 21. November infiziert. Mitarbeiter lösten das Problem und am 9. Dezember leiteten sie die Besucher auf die Startseite der Zeitung um. Sprecher des Independent sagten dazu, dass nur wenige Besucher auf der infizierten Seite waren, da diese bereist sehr alt war, und es keine Anzeichen dafür gäbe, dass sich jemand auf der Seite mit dem Trojaner infiziert hat. Man muss aber dazusagen, dass pro Tag über 4.000 Anwender auf diese Seite mit dem Trojaner kamen. Wenn diese keine aktuellen Flash-Updates installiert hatten, könnte Angler die Sicherheitslücke darin ausgenutzt und den Computer infiziert haben.

Und nun haben die Cyberkriminellen ihr Ziel geändert und gehen nicht mehr auf Heimanwender, sondern auf Firmen los. Laut Heimdal Security, terrorisiert neue Ransomware europäische Firmen. Wir haben in Japan eine sehr starke Aktivität festgestellt – und es ist unmöglich, vorherzusagen, welches Land als nächstes im Fokus der Täter stehen wird.

Wenn Sie sich vor Ransomware schützen möchten, empfehlen wir folgende Tipps:

  1. Verwenden Sie eine aktuelle Sicherheitslösung. Kaspersky Internet Security und Kaspersky Total Security enthalten zum Beispiel den System Watcher, der die Verschlüsselung von Daten durch Ransomware blockiert und Sie damit vor Schädlingen wie TeslaCrypt schützt.
  1. Installieren Sie immer alle Software-Updates. Laufend werden Fehler und Sicherheitslücken in Programmen gefunden – von Office-Programmen über Browser bis zu Adobe Flash. Updates und Patches, die Sicherheitslücken schließen, werden ebenso regelmäßig veröffentlicht. Aktuelle Updates erhöhen Ihre Sicherheit um ein Vielfaches.
  1. Erstellen Sie regelmäßig Sicherungskopien. Kaspersky Total Security kann Ihnen dabei helfen. Selbst wenn alle Sicherheitsmaßnahmen versagen und Ihr Computer infiziert werden sollte, können Sie dann Ihre Dateien über die Sicherungskopien wiederherstellen.

Wenn Sie zum Opfer von Ransomware werden, müssen wir Ihnen leider sagen, dass es keine universelle Lösung gibt. Wenn Sie den Entschlüsselungs-Key kennen, sollten Sie auf jeden Fall den bereits erwähnten TeslaDecoder oder eines der ähnlichen Tools von Cisco ausprobieren.

Ohne Key ist es fast unmöglich, das Problem zu lösen. Dennoch empfehlen wir, das Lösegeld nicht zu bezahlen, falls das möglich ist. Denn wenn die Opfer nicht bezahlen, wird das illegale Erpressergeschäft für die Cyberkriminellen zu unprofitabel und sie werden keine neue Staffel von Ransomware starten.