{"id":5802,"date":"2015-07-14T11:54:57","date_gmt":"2015-07-14T11:54:57","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=5802"},"modified":"2022-05-26T18:19:21","modified_gmt":"2022-05-26T16:19:21","slug":"teslacrypt-20-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/teslacrypt-20-ransomware\/5802\/","title":{"rendered":"Erpressersch\u00e4dling TeslaCrypt 2.0: st\u00e4rker und gef\u00e4hrlicher"},"content":{"rendered":"

Cyberkriminelle lernen laufend voneinander. Ein Beispiel daf\u00fcr ist TeslaCrypt, eine relativ neue Ransomware-Familie, die im Februar 2015 entdeckt wurde. Die besondere Funktion der fr\u00fchen TeslaCrypt-Versionen war, dass das Schadprogramm nicht nur auf die \u00fcblichen Dateien losging, also vor allem Dokumente, Bilder und Videos, sondern auch auf Spieledateien<\/a>. Damals war es ein eher schwaches Schadprogramm, da es einige technische Fehler enthielt.<\/p>\n

Auch wenn die Hinterm\u00e4nner ihre Opfer mit einem be\u00e4ngstigenden RSA-2048-Algorithmus bedrohten, war die Verschl\u00fcsselung in Wirklichkeit gar nicht so stark. Zudem speicherte das Schadprogramm w\u00e4hrend der Verschl\u00fcsselung den Entschl\u00fcsselungs-Key in einer Datei auf dem Opfercomputer, so dass es m\u00f6glich war, den Schl\u00fcssel abzurufen, indem die Verschl\u00fcsselung unterbrochen oder der Schl\u00fcssel extrahiert wurde, bevor der entsprechende Bereich auf der Festplatte \u00fcberschrieben wurde.<\/p>\n

Aber wie schon erw\u00e4hnt, lernen die Kriminellen auch dazu. Die aktuelle Version 2.0 von TeslaCrypt, die k\u00fcrzlich von den Kaspersky-Experten entdeckt wurde<\/a>, enth\u00e4lt neue Funktionen, die es verhindern, dass verschl\u00fcsselte Dateien entschl\u00fcsselt und die Command&Control-Server des Schadprogramms entdeckt werden k\u00f6nnen.<\/p>\n

So haben die Kriminellen die h\u00f6her entwickelte Elliptic-Curve-Verschl\u00fcsselung<\/a> der Entwickler des ber\u00fchmt-ber\u00fcchtigten Erpresser-Sch\u00e4dlings CTB-Locker<\/a> \u00fcbernommen und zudem die Speichermethode des Schl\u00fcssels ver\u00e4ndert: Jetzt verwenden sie die System-Registry statt einer Datei auf der Festplatte. Und sie haben die Webseite, die den Opfern angezeigt wird, nachdem deren Dateien von der Ransomware verschl\u00fcsselt wurden, von einer anderen Ransomware-Familie gestohlen \u2013 von CryptoWall. Nat\u00fcrlich wurden alle Zahlungsinformationen ge\u00e4ndert, aber der Rest des Texts, der aus Sicht des \u201eVerkaufens\u201c sehr effektiv ist, wurde komplett kopiert. \u00dcbrigens ist das L\u00f6segeld f\u00fcr die verschl\u00fcsselten Daten recht hoch: Beim aktuellen Bitcoin-Wechselkurs sind es etwa 500 Euro.<\/p>\n

Die Schadprogramme der TeslaCrypt-Familie sind daf\u00fcr bekannt, \u00fcber Exploit-Kits wie Angler, Sweet Orange und Nuclear verbreitet zu werden. Das funktioniert folgenderma\u00dfen: Wenn ein Opfer eine infizierte Webseite besucht, nutzt der sch\u00e4dliche Code eines Exploits Sicherheitsl\u00fccken im Browser (meist in Plugins) aus, um das Schadprogramm im System zu installieren.<\/p>\n

Zu den am h\u00e4ufigsten von TeslaCrypt angegriffenen L\u00e4ndern geh\u00f6ren Deutschland, die USA, Gro\u00dfbritannien, Frankreich, Italien und Spanien. Die Kaspersky-Produkte<\/a> entdecken die Schadprogramme der TeslaCrypt-Familie, inklusive der aktuellsten Version, unter der Bezeichnung Trojan-Ransom.Win32.Bitman. Unsere Kunden sind also nicht in Gefahr.<\/p>\n

Zum Schutz vor TeslaCrypt und anderen Erpresser-Sch\u00e4dlingen geben wir folgende Tipps:<\/p>\n