{"id":19999,"date":"2019-08-29T11:47:20","date_gmt":"2019-08-29T09:47:20","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=19999"},"modified":"2019-11-22T12:01:19","modified_gmt":"2019-11-22T10:01:19","slug":"ransomware-in-fortnite-cheats","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ransomware-in-fortnite-cheats\/19999\/","title":{"rendered":"Ransomware Syrk lauert im Fortnite Cheat Pack"},"content":{"rendered":"<p>Cyberkriminelle versuchen, m\u00f6glichst viele Dinge zu kapitalisieren, die \u00f6ffentliche Beliebtheit genie\u00dfen: dazu geh\u00f6ren auch popul\u00e4re Spiele. Malware gibt oft vor, die <a href=\"https:\/\/www.kaspersky.de\/blog\/malware-in-pirated-games\/18563\/\" target=\"_blank\" rel=\"noopener\">Raubkopie<\/a> oder <a href=\"https:\/\/www.kaspersky.de\/blog\/fortnite-security\/17584\/\" target=\"_blank\" rel=\"noopener\">mobile Version<\/a> eines Spiels zu sein, insbesondere dann, wenn <a href=\"https:\/\/www.kaspersky.de\/blog\/apex-legends-mobile-fakes\/18649\/\" target=\"_blank\" rel=\"noopener\">dieses nicht offiziell ver\u00f6ffentlicht<\/a> wurde.<\/p>\n<p>Vor kurzer Zeit wurde eine Kryptoransomware namens Syrk aus dem Boden gestampft. <a href=\"https:\/\/threatpost.com\/fortnite-ransomware-masquerades-as-an-aimbot-game-hack\/147549\/\" target=\"_blank\" rel=\"noopener nofollow\">Unter dem Deckmantel eines angeblichen Cheat Packs<\/a> f\u00fcr Fortnite \u2013 ein Spiel, f\u00fcr das sich in weniger als 2 Jahren mehr als 250 Millionen Nutzer begeistern konnten \u2013 verspricht Syrk den Spielern zwei Cheats in einem Paket: Aimbot (ein Autoaiming-Tool) und WH (auch bekannt als ESP, ein Cheat mit dem die Standorte anderer Spieler aufgedeckt werden k\u00f6nnen). In Wirklichkeit verschl\u00fcsselt das Cheat Pack jedoch die Dateien des Opfers und verlangt daraufhin ein saftiges L\u00f6segeld.<\/p>\n<h2>So funktioniert die Ransomware Syrk<\/h2>\n<p>Forschern von Cyren zufolge handelt es sich bei Syrk im Wesentlichen um eine intakte Kopie einer Open-Source-Ransomware. Sobald diese ausgef\u00fchrt wurde, stellt die Software eine Verbindung zu einem Command-and-Control-Server her und deaktiviert die folgenden Programme:<\/p>\n<ul>\n<li>Windows Defender,<\/li>\n<li>UAC (System, das Benutzerrechte f\u00fcr Administratoraktionen anfordert),<\/li>\n<li>Process-Monitoring-Apps mit denen eine Infektion erkannt werden kann, z. B. Task-Manager, Prozessmonitor und Prozess-Hacker.<\/li>\n<\/ul>\n<p>Dar\u00fcber hinaus f\u00fcgt sich der Verschl\u00fcsseler v\u00f6llig eigenst\u00e4ndig der Autoload-Liste hinzu, sodass der Benutzer ihn nicht einfach durch einen Neustart des Computers entfernen kann. Wenn USB-Laufwerke mit dem Rechner verbunden sind, versucht Syrk auch diese zu infizieren.<\/p>\n<p>Die Malware beginnt dann mit der Suche nach Mediendateien, Textdokumenten, Tabellen und Pr\u00e4sentationen, ZIP- und RAR-Archiven sowie Photoshop- und Microsoft Visual-Studio-Dateien und verschl\u00fcsselt diese mit der Erweiterung .SYRK.<\/p>\n<p>Anschlie\u00dfend wird dem Nutzer eine nicht schlie\u00dfbare L\u00f6segeldforderung angezeigt.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Syrk Ransomware seems inspired by a Fortnite Hacktool, terminates task manager, process hacker, really good at being persistent and annoying. Does encrypt but might still be in development. 30\/67 in VT<a href=\"https:\/\/t.co\/x7Y6Tz4NB1\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/x7Y6Tz4NB1<\/a> <a href=\"https:\/\/t.co\/6e9wI8XTQR\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/6e9wI8XTQR<\/a><\/p>\n<p>\u2014 Leo (@leotpsc) <a href=\"https:\/\/twitter.com\/leotpsc\/status\/1156875558174769152?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">August 1, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Dem Text mit Guy Fawkes-Maske im Hintergrund zufolge k\u00f6nnen die Dateien nur wiederhergestellt werden, indem die Kriminellen per E-Mail kontaktiert und bezahlt werden. Daf\u00fcr hat das Opfer jedoch nur eine begrenzte Zeit: Denn Syrk l\u00f6scht alle zwei Stunden verschl\u00fcsselte Dateien \u2013 zun\u00e4chst aus dem Fotoordner, dann vom Desktop und schlie\u00dflich aus den pers\u00f6nlichen Dokumenten des Nutzers.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-trial-ransomware\">\n<h3>Daten v\u00f6llig kostenlos entschl\u00fcsseln<\/h3>\n<p>Die gute Nachricht ist: Obwohl Syrk bereits in Ihren Computer eingedrungen ist und Ihre Dateien verschl\u00fcsselt hat, muss das L\u00f6segeld nicht bezahlt werden. Denn die aktuelle Version der Kryptoransomware speichert den Schl\u00fcssel zur Entschl\u00fcsselung der Dateien direkt auf dem infizierten Computer. Der Schl\u00fcssel befindet sich im Ordner C:UsersDefaultAppDataLocalMicrosoft, in a file called -pw+.txt or +dp-.txt.<\/p>\n<p>Um Ihre Dateien wiederherzustellen:<\/p>\n<ul>\n<li>Kopieren Sie den Schl\u00fcssel,<\/li>\n<li>Klicken Sie im L\u00f6segeldfenster auf <em>Show My ID<\/em> und dann auf <em>Enter the krey to Decrypt your Files<\/em>.<\/li>\n<li>Kopieren Sie den Schl\u00fcssel in das entsprechende Feld und klicken Sie <em>Decrypt my Files<\/em>.<\/li>\n<\/ul>\n<p>Das Programm stellt die verschl\u00fcsselten Fotos und Dokumente wieder her und erstellt und f\u00fchrt dann zwei EXE-Dateien aus, mit denen die verbleibende Malware beseitigt wird.<\/p>\n<h3>Sch\u00fctzen Sie sich vor Ransomware<\/h3>\n<p>Den Forschern zufolge sind vermutlich auch die von Syrk gel\u00f6schten Daten wiederherstellbar, obwohl professionelle Hilfe erforderlich sein k\u00f6nnte. Das Wiederherstellen der Dateien mit einem lokal gespeicherten Schl\u00fcssel funktioniert vorerst, doch m\u00f6glicherweise \u00fcberarbeiten die Malware-Entwickler ihr Tool in naher Zukunft, um zu verhindern, dass Nutzer ihre Dateien entschl\u00fcsseln, ohne das geforderte L\u00f6segeld zu zahlen. Wie immer ist die beste Taktik: Vorsorge ist besser als Nachsorge!<\/p>\n<ul>\n<li>Laden Sie keine Programme aus nicht vertrauensw\u00fcrdigen Quellen herunter; besonders dann nicht, wenn Ihnen besonders tolle Gameplay-Vorteile versprochen werden.<\/li>\n<li>Erstellen Sie Backups Ihrer Dateien und speichern Sie diese so, dass nicht direkt \u00fcber Ihren Computer darauf zugegriffen werden kann. Sollten Sie externe HDDs oder USB-Sticks verwenden, verbinden Sie diese nur w\u00e4hrend des Backups mit dem Rechner.<\/li>\n<li>Installieren Sie eine zuverl\u00e4ssige Sicherheitsl\u00f6sung. <a href=\"https:\/\/www.kaspersky.de\/plus?icid=de_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kplus___\" target=\"_blank\" rel=\"noopener\">Kaspersky Internet Security<\/a>entdeckt Syrk als sch\u00e4dliches Objekt und kann deshalb niemals auf Ihre Dateien zugreifen; auch dann nicht, wenn Sie versuchen sollten, den Ransomware-Verschl\u00fcsseler herunterzuladen oder auszuf\u00fchren.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-trial-ransomware\">\n","protected":false},"excerpt":{"rendered":"<p>Die Ransomware Syrk lauert im Fortnite Cheat Pack: Erfahren Sie mehr \u00fcber die Kryptoware und wie Sie verschl\u00fcsselte Dateien wiederherstellen k\u00f6nnen.<\/p>\n","protected":false},"author":2484,"featured_media":20000,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[274,3367,3093,3366,535,1653,169],"class_list":{"0":"post-19999","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-bedrohungen","9":"tag-cheats","10":"tag-fortnite","11":"tag-kryptoware","12":"tag-ransomware","13":"tag-security","14":"tag-spiele"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ransomware-in-fortnite-cheats\/19999\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ransomware-in-fortnite-cheats\/16558\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ransomware-in-fortnite-cheats\/13950\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ransomware-in-fortnite-cheats\/6454\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ransomware-in-fortnite-cheats\/18497\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ransomware-in-fortnite-cheats\/16590\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ransomware-in-fortnite-cheats\/15221\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ransomware-in-fortnite-cheats\/19135\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ransomware-in-fortnite-cheats\/17850\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ransomware-in-fortnite-cheats\/23449\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ransomware-in-fortnite-cheats\/6367\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ransomware-in-fortnite-cheats\/28104\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ransomware-in-fortnite-cheats\/12156\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ransomware-in-fortnite-cheats\/12265\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/ransomware-in-fortnite-cheats\/11103\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/ransomware-in-fortnite-cheats\/10155\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ransomware-in-fortnite-cheats\/23971\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/ransomware-in-fortnite-cheats\/24184\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ransomware-in-fortnite-cheats\/18920\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ransomware-in-fortnite-cheats\/23267\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ransomware-in-fortnite-cheats\/23190\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/fortnite\/","name":"Fortnite"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19999","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2484"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=19999"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19999\/revisions"}],"predecessor-version":[{"id":20774,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19999\/revisions\/20774"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/20000"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=19999"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=19999"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=19999"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}