Zusammen erfolgreicher: Schadsoftware im Bundle

Wie der Security Blog von Trendmicro berichtet und wir auch bei Support-Anfragen im botfrei.de-Forum feststellen konnten, treten derzeit vermehrt Angriffe auf, bei denen verschiedene Kombinationen von Schadsoftware in einem einzigen Angriff zusammenarbeiten. So wird z.B. von Trendmicro der Angriff einer Kombination aus QUERVAR, Ransomware und SIREFEF/ZACCESS beschrieben.

Während QUERVAR angeschlossene Laufwerke nach .EXE-, Microsoft Excel- und Word-Dateien durchsucht, diese mit der Endung .SCR versieht und verschlüsselt, so dass man nicht mehr auf die Datei zugreifen kann, handelt es sich bei der Ransomware die bei Trendmicro als TROJ_RANSOM.CMY geführt wird, um einen klassischen FBI / BKA Trojaner. Dieser bringt einen vorgeblich vom FBI stammenden Warnhinweis auf den Schirm und sperrt den Rechner für den Anwender.

http://blog.trendmicro.com/trendlabs-security-intelligence/triple-threat-quervar-ransomware-and-zaccess-on-the-loose/

QUERVAR-FBI
Quelle : Trendmicro Blog

Bei SIREFEF/ZACCESS hingegen handelt es sich um ein Rootkit, welches Systemänderungen vor dem Benutzer verbergen soll. Dazu verändert es sowohl unter 32- als auch 64-Bit Systemen die services.exe und und beendet Windows Sicherheitsdienste um der Entdeckung zu entgehen.
Einen ausführlichen Artikel über mögliche Infektionswege findet man im Trendmicro-Blog.

zaccess Infektionsweg

Quelle : Trendmicro Blog

Während wir Sie bei Befall mit Ransomware unterstützen können um Ihren Rechner davon zu säubern, ist es zur Zeit nicht möglich die von QUERVAR verschlüsselten Dateien wieder herzustellen. Wir können nur empfehlen, von diesen Dateien Sicherheitskopien herzustellen und zu hoffen, dass in Zukunft ein Weg zur Wiederherstellung gefunden wird.
Anhand der Schwere der Infektion und den verschiedenen Angriffsvektoren müssen wir dringend raten, auf befallenen Systemen eine Neuinstallation des Betriebssystems vorzunehmmen. Hilfestellungen dazu finden Sie im botfrei.de-Forum.

Gerne unterstützen wir Sie im botfrei.de-Forum bei einem Schädlings-Befall und helfen Ihnen dabei Ihr System zurückzuerobern.

5 thoughts on “Zusammen erfolgreicher: Schadsoftware im Bundle”

  1. Schon seit einiger Zeit tauchen vermehrt Schadsoftware aus dem Bereich “Ransomware” auf. Einerseits sperren sie den Benutzer nur vom System aus (Tskmngr blockiert etc) und fordern per Ukash und co Geld zur Freischaltung ein. Andererseits blockieren sie nicht nur das System, sondern verschlüsseln zusätzlich auch Daten, je nachdem welche Version man sich “eingefangen” hat.
    Ich kann mich gar nicht mehr daran erinnern, wann es das letzte mal war, dass Malware so präsent war. Muss wohl Sasser und dessen Nebenbrut gewesen sein. Schlimm genug, dass nun alles miteinander kombiniert.

    Jedenfalls frage ich mich wie der erste Gegenschlag aussieht. Es muss doch schon etwas über die Urheber bekannt sein, zumal einige User tatsächlich bezahlen? Kann das Konto via Ukash nicht identifiziert werden? Außerdem beschränken sich die Angriffe nicht nur auf ein Land, sondern weltweit.
    Dann wird der Text + Bilder einfach angepasst.
    Bezüglich der Malware DNS-changer hat das FBI gehandelt, indem es betreffende Server abgeschaltet hat oder genauer: das Botnet. Wäre das nicht in diesem Fall die Lösung?

    1. Schau dir mal an was dieses Programm macht:
      -> Genau!
      Es gibt ein Bild aus… eine Textbox und ein Absendeknopf der einen HTTP befehlt auslöst und sich wie viele andere Programme in den Autostart setzt….
      Jetzt denk dir mal aus wieviele Programme das machen… genau viele!
      Also ist es mehr als bewunderswert das die Antivirenfirmen viele schon erkennen können!

      Und die folgen des DNS changers sind weit aus großer als 1000 kleinere die ein simples Tool verwenden…

      Einfach mal einen Tag in Fernsehen / Zeitung Radio verkünden das solche Trojaner sind … und keine echten Meldungen! und der Trojaner wäre für das Land tot …
      Macht aber auch keiner …

  2. Habe ein Notboock Asus auf dem ich das Bios auf auf ein USB Start ändern kann kann , Wie kann ich vorgehen?

    1. Hallo Edward Heidemmann,

      je nachdem ist das Notebook zu alt und kann nicht vom USB-Stick gestartet werden. Versuche mal F10 oder F12 zu drücken (mehrmals) – hier werden dann alle Bootmedien angezeigt. Evtl. wendest du dich an den Hersteller des Notebooks.

      Grüße,
      TB, ABBZ

Kommentare sind geschlossen.