ZCryptor: Ein Wurm auf Eroberungszug

ZCryptor ist eine Kreuzung aus Ransomware und Wurm: er verschlüsselt Daten und kopiert sich selbst in externe Medien.

Analysten und Forscher sind sich einig, dass 2016 das Jahr der Ransomware ist. Cyberkriminelle brauchten nicht lange, um den potenziellen Wert von Cryptolockern zu erkennen und haben Ransomware nun bereitwillig in ihr Arsenal aufgenommen. Forscher von Cisco Systems berichteten 2015, dass ein einziges Angler-Exploit-Kit Cyberkriminellen Gewinne im Wert von bis zu 54,5 Millionen Euro jährlich, oder durchschnittlich 4,5 Millionen pro Monat einbringt.

Die üblichen Verdächtigen der modernen Ransomware-Szene — Petya und ihre Freundin Mischa, sowie deren entfernte Verwandte Locky — machen derzeit Jagd auf Nutzer in über 100 Ländern. In letzter Zeit jedoch richten Hacker ihre Aufmerksamkeit vermehrt auf Unternehmen und Organisationen, die über wertvolle Daten verfügen: kürzlich fiel eine Reihe von US-amerikanischen Krankenhäusern verschiedenen Ransomware-Angriffen zum Opfer.

Der Aufstieg der Cryptowürmer

Cyberkriminelle versuchen immer mehr Geld zu erbeuten, und das so schnell wie möglich; deswegen suchen sie nach Wegen, um ihre Angriffe auszuweiten und somit weitere Verschlüsselungsviren zu verbreiten. Kampagnen mit schädlichem Spam funktionieren zwar noch, sind aber nicht mehr so effizient wie vorher: in den Medien wird über Cyberbedrohungen jeder Art berichtet und vielen Nutzern sind die häufigsten Tricks bekannt.

Eine weitere wichtige Entwicklung besteht darin, dass Webbrowser und Antivirussoftware gelernt haben, schädliche URLs oder Malware, die durch Spam verbreitet wird, zu blockieren. Die Reaktion seitens der Hacker war, dass sie nach und nach ihre übliche Vorgehensweise der „flächendeckenden Bombardierung“ zur Verbreitung von Malware eingestellt haben. Stattdessen greifen sie auf Methoden zurück, die vor langer Zeit genutzt wurden in den weitverbreitetsten und effizientesten Kampagnen: die guten alten Würmer.

Forscher prognostizieren, dass die nächste Stufe der Ransomware-Entwicklung sogenannte Cryptowürmer hervorbringen wird – eine hochaggressive Kreuzung aus Malware, die sich selbst verbreitet, und Ransomware. Diese neue Malwaregattung vereint die spezifischen Merkmale beider in sich, und wird so zu einer neuen Art Ransomware, die sich über infizierte Computer selbst kopieren und verbreiten kann, effizient Daten verschlüsselt und Lösegeld fordert.

Die erste Malware dieser Art, die auf der Bildfläche erschien, war SamSam. Sie schlich sich in eine Reihe von Unternehmensnetzwerken ein und infizierte sowohl die Computer im Netzwerk als auch die Cloud-Speicher mit den Sicherheitskopien.

ZCryptor

Diese Woche entdeckte Microsoft eine neue Version eines Cryptowurms, die ZCryptor getauft wurde. Seine Besonderheit liegt darin, dass er sowohl Daten verschlüsselt als auch sich selbst auf Computern und Netzwerkgeräten verbreitet, ohne schädlichen Spam oder ein Exploit-Kit zu benutzen. Die Malware kopiert sich selbst auf vernetzte Computer und tragbare Geräte.

Um das erste Opfer zu infizieren, benutzt ZCryptor gewöhnliche Techniken, z. B. gibt sich die Malware als Installationsprogramm eines bekannten Programms aus (z.B. Adobe Flash), oder aber er dringt über bösartige Makros einer Microsoft-Office-Datei in das System ein.

Ist der Cryptowurm erst einmal ins System gelangt, infiziert er externe Festplatten und Flashlaufwerke und kann so weiter auf andere Computer verbreitet werden; dann beginnt er damit, die Daten zu verschlüsseln. ZCryptor ist im Stande, über 80 Datenformate zu verschlüsseln (einige Quellen sprechen von über 120 Formaten), indem er die Endung .zcrypt an den Dateinamen anhängt.

Danach erwartet die Nutzer ein altbekanntes Szenario: sie sehen eine HTML-Seite, die sie darüber informiert, dass ihre Dateien verschlüsselt wurden und gegen ein Lösegeld von 1,2 Bitcoins (ca. 600 Euro) wieder freigegeben werden. Wenn die Kriminellen das Lösegeld nicht innerhalb von vier Tagen erhalten, erhöht sich die Summe auf 5 Bitcoins (über 2.300 Euro).

Leider waren Sicherheitsexperten nicht in der Lage, einen Weg zu finden, um die Daten zu entschlüsseln, so dass die betroffenen Nutzer die Option der Lösegeldzahlung umgehen hätten können. Das heißt, momentan ist höchste Vorsicht geboten.

Schutzmaßnahmen

Wenn Sie von ZCryptor-Angriffen verschont bleiben wollen, beachten Sie folgende Tipps:

  • Aktualisieren Sie Ihr Betriebssystem und Ihre Software regelmäßig, beseitigen Sie Schwachstellen, um so zu vermeiden, dass der Cryptowurm in Ihr Netzwerk eindringt.
  • Seien Sie wie immer wachsam und vermeiden Sie verdächtige Webseiten. Öffnen Sie keine Anhänge fragwürdiger Herkunft. Beachten Sie generell die Grundregeln der digitalen Hygiene.
  • Deaktivieren Sie Makros in Microsoft Word — sie erfreuen sich bei Cyberkriminellen wieder großer Beliebtheit als Methode zur Verbreitung von Malware.
  • Fertigen Sie regelmäßig Sicherheitskopien von Ihren Dateien an und bewahren Sie eine davon auf einer externen Festplatte auf, die nach dem Backupvorgang von Ihrem Computer getrennt werden sollte. Selbstverständlich schützt eine Sicherheitskopie Ihre Dateien nicht vor einer Infizierung mit Ransomware. Aber sie stellt einen wirksamen Schutz dar: wenn Ihre wertvollen Daten sicher in der Schublade liegen, kann niemand Sie zur Zahlung eines Lösegelds erpressen.
  • Natürlich sollten Sie eine verlässliche Sicherheitssoftware benutzen. Kaspersky Internet Security erkennt ZCryptor als Trojan-Ransom.MSIL.Geograph und schützt Nutzer vor dieser Bedrohung.
Tipps