Ransomware „TorrentLocker“

VIRENDEFINITION

Virentyp: Malware / Ransomware

Was ist TorrentLocker?

TorrentLocker (Trojan-Ransom.Win32.Rack in der Kaspersky-Klassifizierung) ist eine Art kryptografischer Ransomware, die sich steigender Beliebtheit erfreut.

Die ersten Modifikationen dieser Malware-Familie wurden im Februar 2014 erkannt. Im Dezember 2014 wurden bereits mindestens fünf Versionen dieser Malware entdeckt.

Trojan-Ransom.Win32.Rack nutzt symmetrische Blockverschlüsselung mit AES-Algorithmus, um Dateien zu verschlüsseln, und verschlüsselt den entsprechenden AES-Schlüssel mit asymmetrischer RSA-Verschlüsselung. Versionen 1 bis 3 enthielten einen Fehler, der es unmöglich machte, die Dateien der Opfer wieder zu entschlüsseln. Dies wurde in unser Tool RannohDecryptor implementiert.

Leider haben die Malware-Entwickler diesen Fehler erkannt und ab Version 4 behoben, sodass diese Entschlüsselungsmethode nicht mehr wirksam ist. Aktuelle Versionen dieser Malware fordern Lösegeldzahlungen über das Bitcoin-System und hosten ihre Zahlungsseiten im Tor-Netzwerk.

Gegenmaßnahmen

Alle Versionen von TorrentLocker werden von verschiedenen Kaspersky-Technologien erkannt: verhaltensbasiert (meldet PDM:Trojan.Win32.Generic, HEUR:Trojan.Win32.Generic), signaturbasiert (meldet Trojan-Ransom.Win32.Rack.*) und Cloud-basiert per KSN (meldet UDS:DangerousObject.Multi.Generic).

Die effektivste Erkennung (verhaltensbasiert) wird von unserer vorausschauenden Komponente übernommen. Sie verlässt sich nicht auf den Inhalt einer Programmdatei, sondern fällt ihr Urteil anhand der Aktionen, die sie durchführt. So können unabhängig davon, ob die schädliche Probe neu oder bereits bekannt ist, Verschlüsselungsversuche erkannt werden. Darüber hinaus enthalten unsere Produkte ein neues System mit Gegenmaßnahmen zur Abwehr von Cryptomalware, das Änderungen an Benutzerdateien automatisch rückgängig machen kann. Weitere Informationen zu diesem System finden Sie in unserem Whitepaper.

Prevention

Sicherungskopien

Am besten schützen Sie wichtige Daten, indem Sie regelmäßig Backups anlegen. Neben der Regelmäßigkeit ist es auch wichtig, dass Sie die Kopien auf einem Datenträger anlegen, der nur während des Sicherungsprozesses verbunden ist (z. B. einen Wechseldatenträger, der nach Anlegen des Backups entfernt wird). Wenn Sie sich nicht an diese Empfehlungen halten, laufen Sie Gefahr, dass auch Ihre gesicherten Dateien gelöscht oder verschlüsselt werden – ganz wie die originalen Dateien.

Anti-Malware-Lösung

Selbst mit regelmäßigen Backups sind Ihre neuesten Dateien ungeschützt und könnten einem Ransomware-Angriff zum Opfer fallen. Hier kann eine Anti-Malware-Lösung mit aktuellen Datenbanken und verschiedenen aktiven Komponenten nicht nur Ihre Datensicherheit garantieren, sondern Ihr System auch vor anderen Arten von Cyberbedrohungen schützen.

Sicherheitsbewusstsein im Internet

Moderne Malware wird häufig über Social Engineering verbreitet. Deshalb ist es wichtig, die verschiedenen Tricks zu kennen, wie z. B. falsche E-Mail-Benachrichtigungen verschiedener weithin bekannter Services und Unternehmen. Diese E-Mail-Nachrichten enthalten häufig Malware und lassen sich oftmals nur schwer von legitimen Nachrichten unterscheiden. Deshalb sollten Sie auf jedes Detail achten, immer auf der Hut sein und Anhänge nur öffnen, wenn der Absender vertrauenswürdig ist, um sich vor einer Infektion zu schützen.