CryptVault zeigt sich als AV-Quarantäne Dateien

Experten von Trend Micro haben eine neue Variante des Cryptolocker Erpressungs-Trojaner gefunden. CryptVault wie Sie die Malware nennen, verschlüsselt nicht nur die Dateien auf dem Rechner, sondern lässt diese zudem aussehen als wären es von der Antiviren-Software in Quarantäne gestellte Dateien.

Ausserdem wird der Desktop des Systems mit üblicher Warnmeldung und Einforderung eines Lösegeldes für weiteres Arbeiten gesperrt. Während der Anwender noch nicht versteht was vor sich geht, wird im Hintergrund weitere Malware in Form eines Infostealers auf den Computer geladen und installiert. Dieser Infostealer hat es besonders auf Zugangsdaten und Passwörter des Anwenders abgesehen, die dann an die C & C-Server der Angreifern gesendet werden.

Bildschirmfoto 2015-04-08 um 10.53.52

Bild: Trend Micro

Der Erpressungstrojaner CryptVault findet in diesem Fall den Weg über E-Mail Spamkampagnen mit infizierten Anhang auf unsere Rechner. Durch Öffnen des infizierten Anhangs, wird eine Javascript-Datei ausgeführt, die weitere vier Dateien, wie die Ransomware (BAT_CRYPVAULT.A) selbst, SDelete, GnuPG und eine GnuPG-Bibliothek auf das System lädt und ausführt. Während die Malware ihr Werk auf dem System verrichtet, werden gängige Dateitypen wie (*.xls, *.doc, *.pdf, *.rtf, *.psd, *.dwg, *.cdr, *.cd, *.mdb, *.1cd, *.dbf, *.sqlite, *.jpg, *.zip) auf dem Rechner über GnuPG mit einem RSA-1024 Key verschlüsselt. Verwendete Schlüsseldateien werden anschließend über heruntergeladenes Microsoft Sysinternals-Tool “SDelete” gelöscht, was es fast unmöglich macht, die Dateien wiederherzustellen.

Bildschirmfoto 2015-04-08 um 10.41.58

Bild: Trend Micro (Infektionsablauf – CryptoVault)

Nach der Verschlüsselung erhalten die Dateien die Dateierweiterung *.VAULT und das original Datei-Icon wird durch ein Vorhängeschloss-Icon ausgetauscht. Bei Ausführen der verschlüsselten Dateien erscheint eine Lösegeldforderung, welche zudem desktopfüllend mit detaillierter Forderung angezeigt wird. Da die Lösegeldforderung in russischer Sprache gehalten ist, vermuten die Experten das die Kampagne offensichtlich den russischen Raum anvisiert hat.

Cryptolocker:
Rufen wir uns noch einmal ins Gedächtnis, wie uns die Ransomware mit Verschlüsselungstechnik das Leben schwer gemacht hat – Die Malware CryptoLocker wurde in der Regel über diverse Spam Emails verbreitet, deren Anhang eine ausführbare Datei mit dem CryptoLocker-Downloader enthielt. Wurde der Trojaner ausgeführt, nahm die Malware Kontakt mit seinem Command und Control-Server auf und generierte einen nicht entschlüsselbaren RSA-Key und verschlüsselte mit diesem alle persönlichen Dateien, wie Fotos, Dokumente, Präsentationen, Musik auf dem infizierten Computer. Weiterhin verwehrte ein Sperrbildschirm mit einer Lösegeldforderung von mehreren hundert Euro das weitere Arbeiten an dem Computer. Zur Wiederherstellung der Dateien solle innerhalb von X Stunden das geforderte Geld in Form von Bitcoins an angegebene Adressen angewiesen werden. Eine Entschlüsselung nach Bezahlung wurde nie garantiert!

Bildschirmfoto 2015-04-08 um 12.07.49

Bild: Trend Micro (CryptoVault)

Angst und Einschüchterung ist hierbei die Motivation der Kriminellen:

Kommen Sie der Lösegeldzahlung bitte nicht nach!!

Anmerkung: Es wird dringend empfohlen die verschlüsselten Dateien nicht zu verändern! Weiterhin sollten Sie nicht den Hostnamen des PCs wechseln.

Wie kann ich meinen Rechner schützen?

Bildschirmfoto 2014-10-20 um 13.00.59

Installieren Sie unseren kostenfreien Cyber-Impfstoff. Dank der verbauten Funktion “CryptoGuard” erkennt unser Impfstoff auch Aktivitäten von Verschlüsselungstrojanern. Er schlägt immer dann an, wenn Dateien verändert werden sollen und wichtige Meta-Daten, wie z.B. die Eigenschaft ein Word-Dokument zu sein, verlieren. Um Sie vor der Verschlüsselung zu schützen, stoppt unser “Watchdog” den Prozess, der hierfür verantwortlich ist und spielt die zuvor angelegten und im Arbeitsspeicher gehaltenen Sicherheitskopien der Dateien auf Ihre Platte zurück. Anleitung>>

  1. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals deren Anhänge.
  2. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  3. Machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Im Infektionsfall sollten Sie diese immer griffbereit haben.
  4. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac!
  5. Ob Ihr Browser aktuell ist, oder Sie schon Teil eines Botnetzes sind erfahren Sie hier: www.check-and-secure.com.

Wenn Sie nicht weiterkommen, melden Sie sich in unseren kostenfreien Forum an und erstellen dazu einen Beitrag. Die Experten helfen Ihnen “Schritt für Schritt” bei der Behebung des Problems. 

1 thought on “CryptVault zeigt sich als AV-Quarantäne Dateien”

Kommentare sind geschlossen.