{"id":5927,"date":"2015-08-07T06:36:29","date_gmt":"2015-08-07T06:36:29","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=5927"},"modified":"2018-05-18T11:15:46","modified_gmt":"2018-05-18T09:15:46","slug":"erpresser-software-teslacrypt-attackiert-gamer-in-deutschland","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/erpresser-software-teslacrypt-attackiert-gamer-in-deutschland\/5927\/","title":{"rendered":"Erpresser-Software Teslacrypt attackiert Gamer in Deutschland"},"content":{"rendered":"

Kaspersky Lab warnt deutsche Nutzer vor dem Sch\u00e4dling Teslacrypt \u2013 einer Erpresser-Software (Ransomware<\/a>), die es speziell auf Gamer auch in Deutschland abgesehen hat. Von allen seit Beginn des Jahres 2015 weltweit von Kaspersky Lab abgewehrten Teslacrypt-Attacken gingen 19,07 Prozent auf das Konto deutscher Kaspersky-Kunden. Zudem weist Kaspersky Lab\u00a0auf eine neue Entwicklung bei Teslacrypt hin: So gibt sich die Version 2.0 der unter Gamern ber\u00fcchtigten Erpresser-Software im Internet als die bekanntere und gef\u00fcrchtete Ransomware Cryptowall 3.0 aus.<\/p>\n

\"Kaspersky_tesla_crypt_0.4.0\"<\/p>\n

\n

Offenbar versprechen sich die hinter Teslacrypt steckenden Cyberkriminellen so ein h\u00f6heres Bedrohungspotenzial: Denn mit Teslacrypt verschl\u00fcsselte Dateien lie\u00dfen sich in der Vergangenheit mit Tricks wiederherstellen, ohne auf die Forderungen einzugehen, w\u00e4hrend Cryptowall nicht entschl\u00fcsselt werden konnte. Das L\u00f6segeld f\u00fcr die Entschl\u00fcsselung betr\u00e4gt 500 US-Dollar, also etwa 450 Euro. Es verdoppelt sich, wenn die Opfer nicht rechtzeitig reagieren.<\/p>\n

Erpresser-Software #Teslacrypt attackiert #Gamer in Deutschland. So sch\u00fctzt Du Dich davor<\/p>Tweet<\/a><\/blockquote>\n

\u201eTeslacrypt wurde erstmals im Februar 2015 entdeckt. Von Beginn an standen Gamer im Fokus. Der Trojaner verschl\u00fcsselt vor allem diverse, f\u00fcr Spiele genutzte lokale Dateien, die jedoch nicht gr\u00f6\u00dfer als 268 Megabyte sind\u201c, sagt Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab. \u201eNeben Spielst\u00e4nden werden auch Dateiarten verschl\u00fcsselt, die zur Ausf\u00fchrung des Spiels erforderlich sind. Solange der Sch\u00e4dling nicht hundertprozentig von einem System entfernt ist, helfen auch Neuinstallationen von Spielen nicht, da die betreffenden Dateien sofort wieder verschl\u00fcsselt werden.\u201c<\/p>\n

Weltweite Kaspersky-Top-10 der Teslacrypt-Attacken
\n<\/strong>Bei allen seit Beginn des Jahres 2015 von Kaspersky Lab auf seine Kunden abgewehrten Infizierungsversuche des Sch\u00e4dlings Teslacrypt (alle Varianten) vereinten deutsche Nutzer im Untersuchungszeitraum Januar bis Juli 2015 fast jede f\u00fcnfte Attacke auf sich. Nur Gamer in Frankreich wurden im Untersuchungszeitraum weltweit h\u00e4ufiger attackiert.<\/p>\n

\"tesla_crypt_de_12sm\"<\/p>\n

Die weltweite Top-10 bez\u00fcglich der von Kaspersky Lab von Januar bis Juli 2015 verhinderten Teslacrypt-Attacken (alle Versionen) sieht wie folgt aus:
\n1.\u00a0\u00a0\u00a0\u00a0 Frankreich: 27.26 Prozent
\n2.\u00a0\u00a0\u00a0\u00a0 Deutschland: 19.07 Prozent
\n3.\u00a0\u00a0\u00a0\u00a0 USA: 9.22 Prozent
\n4.\u00a0\u00a0\u00a0\u00a0 Indien: 5.76 Prozent
\n5.\u00a0\u00a0\u00a0\u00a0 Italien: 5.18 Prozent
\n6.\u00a0\u00a0\u00a0\u00a0 Gro\u00dfbritannien: 4.44 Prozent
\n7.\u00a0\u00a0\u00a0\u00a0 Spanien: 4.32 Prozent
\n8.\u00a0\u00a0\u00a0\u00a0 China: 2.11 Prozent
\n9.\u00a0\u00a0\u00a0\u00a0 Russland: 1,61 Prozent
\n10.\u00a0 Kanada: 1,53 Prozent<\/p>\n

So operiert Teslacrypt
\n<\/strong>Teslacrypt erzeugt bei jeder Infektion eine neue Bitcoin-Adresse, \u00fcber die dann die L\u00f6segeldzahlung abgewickelt wird. Im Gegenzug wird dem Opfer anschlie\u00dfend der Schl\u00fcssel zur Entschl\u00fcsselung angeboten. Dabei verwendet Teslacrypt in der Version 2.0 zwei Arten von Schl\u00fcsseln: Die \u201eMaster-Schl\u00fcssel\u201c werden einmalig pro infiziertem System vergeben, w\u00e4hrend \u201eSession-Schl\u00fcssel\u201c bei jedem Neustart des Schadprogramms neu generiert werden. Der f\u00fcr die Verschl\u00fcsselung der Dateien verwendete Schl\u00fcssel wird nicht auf der Festplatte gespeichert, was die Entschl\u00fcsselung deutlich erschwert. Die von Teslacrypt genutzten Command-and-Control-Server (C&C) liegen im Tor-Netzwerk.<\/p>\n

Die Malware der Teslacrypt-Familie verbreitet sich \u00fcber die Exploit-Kits Angler, Sweet Orange und Nuclear, welche auf legitime Webseiten durch Hacks platziert werden. Die Exploit Kits tragen oftmals eine Vielfalt von Schadcodes, welche Schwachstellen von Browsern oder Browser-Plugins ausnutzen, und so die Malware verbreiten.
\n\"Christian<\/p>\n

\u201eTeslacrypt will Nutzer, insbesondere Gamer, in erster Linie t\u00e4uschen und einsch\u00fcchtern. So gab bereits eine fr\u00fchere Version vor, die Dateien seien mit dem Algorithmus RSA-2048 verschl\u00fcsselt worden, um deutlich zu machen, dass an der L\u00f6segeld-Zahlung kein Weg vorbei f\u00fchrt. Tats\u00e4chlich wurde jedoch die symmetrische Verschl\u00fcsselung AES-256 verwendet. Die Angreifer finden wohl Gefallen an der gezielten T\u00e4uschung der Opfer\u201c \u201e, erkl\u00e4rt Christian Funk. \u201eIn der Version 2.0 gibt Teslacrypt vor, die Opfer seien von Cryptowall infiziert worden. In diesem Fall w\u00e4re eine Entschl\u00fcsselung nach derzeitigem Stand unm\u00f6glich. Alle Links f\u00fchren aber zu einem Teslacrypt-Server, denn die Urheber von Teslacrypt wollen ihre L\u00f6segelder nat\u00fcrlich nicht an die kriminelle Konkurrenz abf\u00fchren.\u201c<\/p>\n

So k\u00f6nnen sich Gamer sch\u00fctzen:<\/strong><\/p>\n