Ransomware mit leistungsfähigen Password Stealer

Ransomware auch als “WinLocker” bekannt, sind nach wie vor in unserem digitalen Alltag gegenwärtig und wird zudem von Cyberkriminellen mit weiteren und komplexeren Funktionen ausgestattet. Um an Informationen zu Funktionen und evtl. Hintermänner dieser Ransomware zu gelangen, haben Experten von Avast bei der neusten Generation dieser Malware, Indizien zu leistungsfähigen Modulen u.a. zum Diebstahl von Passwort und Zugangsdaten gefunden.

Bildschirmfoto 2014-08-25 um 08.45.10

Ransomware (Beispiele: www.bka-trojaner.de)

Reveton gehört zur Familie der Ukash-Virus-Ransomware, und ist uns in den letzten Monaten nur zu gut als berüchtigter Cryptolocker im Gedächnis geblieben. Per “Drive-by-Download” infizieren sich Anwender über manipulierte Webseiten mit dieser Malware, welche ungeschlossene Schwachstellen in diverser Software ausnutzt. Nachdem die Cryptolocker-Malware auf dem System ausgeführt wurde, werden alle Dateien auf dem Rechner verschlüsselt und über eine Warnung, ein weiteres Arbeiten am Rechner blockiert. Des Weiteren werden vom hilflosen Benutzer Lösegelder in verschiedenen Höhen für dessen Freigabe und Entschlüsselung gefordert.

Bildschirmfoto 2014-08-25 um 09.12.15

Innenleben der Reveton Malware

Die Experten von Avast haben bei der Analyse einer Version des Reveton, das Modul “Pony Password Stealer” gefunden, welches in der Lage ist komplexe und verschlüsselte Passwörter, wie etwa von FTP, VPN und E-Mail-Clients, Web-Browser und Instant-Messaging-Programme, zu entschlüsseln. Weiterhin wird installierte Antiviren-Software deaktiviert und der Rechner zum Austausch und Manipulation in ein Botnetz integriert. Die untersuchte Version der Ransomware hat gezeigt, dass das Modul in der Malware das Surfverhalten des Anwenders über die Web-Browser-History und gespeicherten Cookies nach besuchten Online-Banking Seiten ausspäht. Die Experten fanden mind. 17 deutschen Banken im Quellcode.

Bildschirmfoto 2014-08-25 um 09.44.49Liste der Banken:
bank1saar.de, berliner-bank.de, comdirect.de, commerzbanking.de, cortalconsors.de, deutsche-bank.de, dkb.de, bawagpsk.com, fiducia.de, flessabank.de, gecapital.de, haspa.de, hypovereinsbank.de, norisbank.de, psd-bank.de, postbank.de, sparda.de

Weitere Funtionen des Reveton-Malware:

OS functions:
Deep System Info, ScreenSaver password, LSA local, Windows passwords and certificates, RAS, ASP/.NET credentials, Groups passwords, Proxy, WinSocks, WinInet pipe etc.

Mehr anzeigen
FTP Clients:
32bit, BulletProofFTP, BitKinex, ClassicFTP, CoffeeCup, CoreFTP, CuteFTP, DOpus, ExpanDrive, FAR, FFFTP, FTPCommander, FTPControl, FTPExplorer, FTPRush, FTPUploader, FileZilla, FlashFXP, Fling, FreeFTP, Frigate3, LeapFTP, NetDrive, SecureFX, SmartFTP, SoftX, TurboFTP, UltraFXP, WS_FTP, WebDrive, WebSitePublisher, WinSCP, Windows/Total Commander RDP/VPN

Clients:
Cisco, FreeCall, PC Remote Control, Remote Desktop Connection, WinVNCInstant Messaging Clients:AIM, AIMPRO, Astra, CamFrog, Digsby, Excite, Faim, GTalk, Gaim, Gizmo, ICQ2003, ICQ99b, IM2, JAJC, LiveMessenger, MSN, Miranda, MySpace, Odigo, PSI, PalTalk, Pandion, Pidgin, QIP, QIPOnline, R&Q, SIM4, Trillian, VypressAuvis,

YahooDialers/RAS:
DialerQueen, EDialer, FDialer, MDialer, VDialer

Download tools:
Download Master, FlashGet, GetRight, Internet Download Accelerator

Online Poker Clients:
888Poker, AbsoluteCommon, AbsolutePoker, CakePoker, FullTiltPoker, PartyPoker, PokerStars, TitanPoker, UltimateBet

PokerBrowser clients:
Chrome, Firefox, Flock, IE, Opera, Safari, SeaMonkey, Thunderbird, + Browser_History, Browser_Socks, System_Socks

Email Clients / Accounts:
Becky, Eudora, ForteAgent, Gmail, GroupMailFree, IncrediMail, MailCommander, Outlook, POPPeeper, PocoMail, Scribe, TheBat, Windows Mail, mail.ru

Experten von Avast gehen davon aus, dass die Entwickler des Reveton nun mehrgleisig fahren wollen und mit erweiterten Funktionen in Ihrer Malware, an die sensible Informationen des Anwenders (div. Zugangsdaten) zu gelangen, die Sie dann selber nutzen oder auf dem Schwarzmarkt verkaufen wollen. Berichten des FBI zufolge, soll Reveton mit der Malware Citadel gebündelt auf die Systeme verteilt werden, womit die Entfernung der Infektion extrem erschwert wird.

Tipps vom Botfrei-Team:
  1. Kommen Sie niemals diesen Lösegeldforderungen nach!
  2. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac!
  3. Ob Ihr Browser aktuell ist, oder Sie schon Teil eines Botnetzes sind erfahren Sie auf unserem kostenfreien Online-Check.
  4. Installieren Sie den HitmanPro.Alert. Diese Software unterstützt Ihr bestehendes Anti-Virus-Programm. Dieser Impfstoff agiert wie eine Alarm-Anlage und warnt Sie umgehend, falls verdächtige Aktivitäten oder Änderungen in der Registry entdeckt werden.
  5. Erstellen Sie regelmäßig Sicherungskopien ihrer Dateien, damit Sie von einer evtl. Lösegeldforderung nicht abhängig sind.
  6. Betreiben Sie eine Internetseite? Dann melden Sie sich kostenfrei unter www.initiative-s.de an und lassen Sie Ihren Webauftritt regelmäßig durch uns auf Schadsoftware untersuchen!

Haben Sie Probleme oder brauchen Hilfe bei der Entfernung von Infektionen auf dem Computer? Melden Sie sich kostenfrei in unserem Forum an und erstellen Sie einen Beitrag mit dem Problem, die Experten helfen Schritt für Schritt bei der Behebung und geben Ihnen Tipps bei der Absicherung des Rechners.

2 thoughts on “Ransomware mit leistungsfähigen Password Stealer”

Kommentare sind geschlossen.