{"id":7889,"date":"2016-06-02T11:45:02","date_gmt":"2016-06-02T11:45:02","guid":{"rendered":"https:\/\/kasperskydaily.com\/germany\/?p=7889"},"modified":"2020-02-26T18:43:39","modified_gmt":"2020-02-26T16:43:39","slug":"zcryptor-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/zcryptor-ransomware\/7889\/","title":{"rendered":"ZCryptor: Ein Wurm auf Eroberungszug"},"content":{"rendered":"<p>Analysten und Forscher sind sich einig, dass 2016 das Jahr der Ransomware ist. Cyberkriminelle brauchten nicht lange, um den potenziellen Wert von Cryptolockern zu erkennen und haben Ransomware nun bereitwillig in ihr Arsenal aufgenommen. Forscher von Cisco Systems <a href=\"http:\/\/blog.talosintel.com\/2015\/10\/threat-spotlight-cisco-talos-thwarts.html\" target=\"_blank\" rel=\"noopener nofollow\">berichteten<\/a> 2015, dass ein einziges Angler-<a href=\"https:\/\/www.kaspersky.de\/blog\/exploits-problem-explanation\/5905\/\" target=\"_blank\" rel=\"noopener\">Exploit-Kit<\/a> Cyberkriminellen Gewinne im Wert von bis zu 54,5 Millionen Euro j\u00e4hrlich, oder durchschnittlich 4,5 Millionen pro Monat einbringt.<\/p>\n<p>Die \u00fcblichen Verd\u00e4chtigen der modernen Ransomware-Szene \u2014 Petya und ihre Freundin Mischa, sowie deren entfernte Verwandte Locky \u2014 machen derzeit Jagd auf Nutzer in \u00fcber 100 L\u00e4ndern. In letzter Zeit jedoch richten Hacker ihre Aufmerksamkeit vermehrt auf Unternehmen und Organisationen, die \u00fcber wertvolle Daten verf\u00fcgen: k\u00fcrzlich fiel eine Reihe von US-amerikanischen Krankenh\u00e4usern verschiedenen <a href=\"https:\/\/www.kaspersky.de\/blog\/locky-ransomware\/7295\/\" target=\"_blank\" rel=\"noopener\">Ransomware-Angriffen<\/a> zum Opfer.<\/p>\n<h3><strong>Der Aufstieg der Cryptow\u00fcrmer<\/strong><\/h3>\n<p>Cyberkriminelle versuchen immer mehr Geld zu erbeuten, und das so schnell wie m\u00f6glich; deswegen suchen sie nach Wegen, um ihre Angriffe auszuweiten und somit weitere Verschl\u00fcsselungsviren zu verbreiten. Kampagnen mit sch\u00e4dlichem Spam funktionieren zwar noch, sind aber nicht mehr so effizient wie vorher: in den Medien wird \u00fcber Cyberbedrohungen jeder Art berichtet und vielen Nutzern sind die h\u00e4ufigsten Tricks bekannt.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>#ZCryptor: Ransomware, die sich wie ein Wurm selbst verbreitet<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2F1baf&amp;text=%23ZCryptor%3A+Ransomware%2C+die+sich+wie+ein+Wurm+selbst+verbreitet+\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Eine weitere wichtige Entwicklung besteht darin, dass Webbrowser und Antivirussoftware gelernt haben, sch\u00e4dliche URLs oder Malware, die durch Spam verbreitet wird, zu blockieren. Die Reaktion seitens der Hacker war, dass sie nach und nach ihre \u00fcbliche Vorgehensweise der \u201efl\u00e4chendeckenden Bombardierung\u201c zur Verbreitung von Malware eingestellt haben. Stattdessen greifen sie auf Methoden zur\u00fcck, die vor langer Zeit genutzt wurden in den weitverbreitetsten und effizientesten Kampagnen: die guten alten <a href=\"https:\/\/www.kaspersky.de\/blog\/kleines-schadprogramm-lexikon\/1886\/\" target=\"_blank\" rel=\"noopener\">W\u00fcrmer<\/a>.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Meet the <a href=\"https:\/\/twitter.com\/hashtag\/cryptoworm?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#cryptoworm<\/a>\u2026 the future of <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ransomware<\/a> via <a href=\"https:\/\/twitter.com\/zpring?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@zpring<\/a> <a href=\"https:\/\/twitter.com\/threatpost?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@threatpost<\/a> <a href=\"https:\/\/t.co\/zndtXFulGB\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/zndtXFulGB<\/a> <a href=\"https:\/\/t.co\/BYRjQG8X7j\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/BYRjQG8X7j<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/719845187548246016?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">April 12, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Forscher prognostizieren, dass die n\u00e4chste Stufe der Ransomware-Entwicklung sogenannte Cryptow\u00fcrmer hervorbringen wird \u2013 eine hochaggressive Kreuzung aus Malware, die sich selbst verbreitet, und Ransomware. Diese neue Malwaregattung vereint die spezifischen Merkmale beider in sich, und wird so zu einer neuen Art Ransomware, die sich \u00fcber infizierte Computer selbst kopieren und verbreiten kann, effizient Daten verschl\u00fcsselt und L\u00f6segeld fordert.<\/p>\n<p>Die erste Malware dieser Art, die auf der Bildfl\u00e4che erschien, war <a href=\"https:\/\/threatpost.com\/meet-the-cryptoworm-the-future-of-ransomware\/117330\/\" target=\"_blank\" rel=\"noopener nofollow\">SamSam<\/a>. Sie schlich sich in eine Reihe von Unternehmensnetzwerken ein und infizierte sowohl die Computer im Netzwerk als auch die Cloud-Speicher mit den Sicherheitskopien.<\/p>\n<h3><strong>ZCryptor<\/strong><\/h3>\n<p>Diese Woche entdeckte Microsoft eine neue Version eines Cryptowurms, die ZCryptor getauft wurde. Seine Besonderheit liegt darin, dass er sowohl Daten verschl\u00fcsselt als auch sich selbst auf Computern und Netzwerkger\u00e4ten verbreitet, ohne sch\u00e4dlichen Spam oder ein Exploit-Kit zu benutzen. Die Malware kopiert sich selbst auf vernetzte Computer und tragbare Ger\u00e4te.<\/p>\n<p>Um das erste Opfer zu infizieren, benutzt ZCryptor gew\u00f6hnliche Techniken, z. B. gibt sich die Malware als Installationsprogramm eines bekannten Programms aus (z.B. Adobe Flash), oder aber er dringt \u00fcber b\u00f6sartige Makros einer Microsoft-Office-Datei in das System ein.<\/p>\n<p>https:\/\/twitter.com\/campuscodi\/status\/736148705120751616<\/p>\n<p>Ist der Cryptowurm erst einmal ins System gelangt, infiziert er externe Festplatten und Flashlaufwerke und kann so weiter auf andere Computer verbreitet werden; dann beginnt er damit, die Daten zu verschl\u00fcsseln. ZCryptor ist im Stande, \u00fcber 80 Datenformate zu verschl\u00fcsseln (einige Quellen sprechen von \u00fcber 120 Formaten), indem er die Endung .zcrypt an den Dateinamen anh\u00e4ngt.<\/p>\n<p>Danach erwartet die Nutzer ein altbekanntes Szenario: sie sehen eine HTML-Seite, die sie dar\u00fcber informiert, dass ihre Dateien verschl\u00fcsselt wurden und gegen ein L\u00f6segeld von 1,2 Bitcoins (ca. 600 Euro) wieder freigegeben werden. Wenn die Kriminellen das L\u00f6segeld nicht innerhalb von vier Tagen erhalten, erh\u00f6ht sich die Summe auf 5 Bitcoins (\u00fcber 2.300 Euro).<\/p>\n<p>Leider waren Sicherheitsexperten nicht in der Lage, einen Weg zu finden, um die Daten zu entschl\u00fcsseln, so dass die betroffenen Nutzer die Option der L\u00f6segeldzahlung umgehen h\u00e4tten k\u00f6nnen. Das hei\u00dft, momentan ist h\u00f6chste Vorsicht geboten.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">10 tips to protect your files from ransomware <a href=\"https:\/\/t.co\/o0IpUU9CHb\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/o0IpUU9CHb<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/iteducation?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#iteducation<\/a> <a href=\"https:\/\/t.co\/I47sPIiWFF\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/I47sPIiWFF<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/671348678607642624?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 30, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>Schutzma\u00dfnahmen<\/strong><\/p>\n<p>Wenn Sie von ZCryptor-Angriffen verschont bleiben wollen, beachten Sie folgende Tipps:<\/p>\n<ul>\n<li>Aktualisieren Sie Ihr Betriebssystem und Ihre Software regelm\u00e4\u00dfig, beseitigen Sie Schwachstellen, um so zu vermeiden, dass der Cryptowurm in Ihr Netzwerk eindringt.<\/li>\n<li>Seien Sie wie immer wachsam und vermeiden Sie verd\u00e4chtige Webseiten. \u00d6ffnen Sie keine Anh\u00e4nge fragw\u00fcrdiger Herkunft. Beachten Sie generell die Grundregeln der digitalen Hygiene.<\/li>\n<li>Deaktivieren Sie Makros in Microsoft Word \u2014 sie erfreuen sich bei Cyberkriminellen wieder gro\u00dfer Beliebtheit als Methode zur Verbreitung von Malware.<\/li>\n<li>Fertigen Sie regelm\u00e4\u00dfig Sicherheitskopien von Ihren Dateien an und bewahren Sie eine davon auf einer externen Festplatte auf, die nach dem Backupvorgang von Ihrem Computer getrennt werden sollte. Selbstverst\u00e4ndlich sch\u00fctzt eine Sicherheitskopie Ihre Dateien nicht vor einer Infizierung mit Ransomware. Aber sie stellt einen wirksamen Schutz dar: wenn Ihre wertvollen Daten sicher in der Schublade liegen, kann niemand Sie zur Zahlung eines L\u00f6segelds erpressen.<\/li>\n<li>Nat\u00fcrlich sollten Sie eine verl\u00e4ssliche Sicherheitssoftware benutzen. <a href=\"https:\/\/www.kaspersky.com\/de\/internet-security\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Internet Security<\/a> erkennt ZCryptor als Trojan-Ransom.MSIL.Geograph und sch\u00fctzt Nutzer vor dieser Bedrohung.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>ZCryptor ist eine Kreuzung aus Ransomware und Wurm: er verschl\u00fcsselt Daten und kopiert sich selbst in externe Medien.<\/p>\n","protected":false},"author":40,"featured_media":7892,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6],"tags":[2078,1650,535,2109,257,2108,2107],"class_list":{"0":"post-7889","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-cryptor","10":"tag-malware","11":"tag-ransomware","12":"tag-selbst-verbreitend","13":"tag-trojaner","14":"tag-wurm","15":"tag-zcryptor"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/zcryptor-ransomware\/7889\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/zcryptor-ransomware\/7240\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/zcryptor-ransomware\/7202\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/zcryptor-ransomware\/8425\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/zcryptor-ransomware\/8308\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/zcryptor-ransomware\/12114\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/zcryptor-ransomware\/12268\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/zcryptor-ransomware\/5723\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/zcryptor-ransomware\/6329\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/zcryptor-ransomware\/11646\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/zcryptor-ransomware\/12114\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/zcryptor-ransomware\/12268\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/zcryptor-ransomware\/12268\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/cryptor\/","name":"Cryptor"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/7889","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=7889"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/7889\/revisions"}],"predecessor-version":[{"id":23074,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/7889\/revisions\/23074"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/7892"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=7889"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=7889"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=7889"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}