Verbreitung von TeslaCrypt über WordPress Seiten

Anfang des Jahres ist die Variante des Erpressungs-Trojaner Teslacrypt erstmalig in Erscheinung getreten. Diese Variante des Verschlüsselungs-Trojaner hatte es nicht nur auf die persönlichen Daten des Anwenders, vielmehr hatten es die Kriminellen diesmal auf die Videospieler unter den Anwendern abgesehen. Verbreitet wurde dieser Verschlüsselungs-Trojaner hauptsächlich über das Sweet Orange Exploit-Kit, dem Nuclear EK, sowie dem Angler EK welche auf kompromittierte Webseiten hinterlegt wurde. Per “Drive By-Infektion“, bzw. Auslieferung infizierter Werbebanner wurde die Infektion auf die Rechner der Anwender verteilt.

In einer neuen Kampagne erzeugen Kriminelle nun mit dem Exploit-Kit Reaktor diversen Schadcode, welcher laut Experten von Rackspace hauptsächlich auf von Hackern gekaperten WordPress-Seiten hinterlegt wurde. Hierbei haben die Experten herausgefunden, dass Reaktor EK speziell Sicherheitslücken in alten Versionen des Flash Player in Version 13.0.0.182 ausnutzen, um den Schadcode auf die Rechner zu bringen. Lesen Sie weiter: Cryptolocker hat es auf Spiele abgesehen>>

Bildschirmfoto 2015-04-17 um 09.59.45

Bild: InfoSec Community Forums – integrierter Schadcode om Webseiten-Code

Das hierbei von den Kriminellen genutzte Nuclear Exploit Kit ist seit Jahren bekannt. Platziert auf Webseiten haben es die eingebetteten Scripte auf Schwachstellen in Flash, Java und Silverlight abgesehen. Eine Wehrmutstropfen bleibt, das diese Scripte erfolgreich von installierten Antiviren-Produkten entdecket werden können.

Cryptolocker:
Rufen wir uns noch einmal ins Gedächtnis, wie uns die Ransomware mit Verschlüsselungstechnik das Leben schwer gemacht hat – Die Malware CryptoLocker wurde in der Regel über diverse Spam Emails verbreitet, deren Anhang eine ausführbare Datei mit dem CryptoLocker-Downloader enthielt. Wurde der Trojaner ausgeführt, nahm die Malware Kontakt mit seinem Command und Control-Server auf und generierte einen nicht entschlüsselbaren RSA-Key und verschlüsselte mit diesem alle persönlichen Dateien, wie Fotos, Dokumente, Präsentationen, Musik auf dem infizierten Computer. Weiterhin verwehrte ein Sperrbildschirm mit einer Lösegeldforderung von mehreren hundert Euro das weitere Arbeiten an dem Computer. Zur Wiederherstellung der Dateien solle innerhalb von X Stunden das geforderte Geld in Form von Bitcoins an angegebene Adressen angewiesen werden. Eine Entschlüsselung nach Bezahlung wurde nie garantiert!Bildschirmfoto 2015-04-17 um 08.06.50

Angst und Einschüchterung ist hierbei die Motivation der Kriminellen:

Kommen Sie der Lösegeldzahlung bitte nicht nach!!

Haben Sie eine Internetseite?

Dann melden Sie sich kostenfrei unter www.initiative-s.de an und lassen Sie Ihren Webauftritt regelmäßig durch uns auf Schadsoftware untersuchen!

Wie kann ich meinen Rechner schützen?

Bildschirmfoto 2014-10-20 um 13.00.59

Installieren Sie unseren kostenfreien Cyber-Impfstoff. Dank der verbauten Funktion “CryptoGuard” erkennt unser Impfstoff auch Aktivitäten von Verschlüsselungstrojanern. Er schlägt immer dann an, wenn Dateien verändert werden sollen und wichtige Meta-Daten, wie z.B. die Eigenschaft ein Word-Dokument zu sein, verlieren. Um Sie vor der Verschlüsselung zu schützen, stoppt unser “Watchdog” den Prozess, der hierfür verantwortlich ist und spielt die zuvor angelegten und im Arbeitsspeicher gehaltenen Sicherheitskopien der Dateien auf Ihre Platte zurück. Anleitung>>

  1. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals deren Anhänge.
  2. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  3. Machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Im Infektionsfall sollten Sie diese immer griffbereit haben.
  4. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac!
  5. Ob Ihr Browser aktuell ist, oder Sie schon Teil eines Botnetzes sind erfahren Sie hier: www.check-and-secure.com.

Wenn Sie nicht weiterkommen, melden Sie sich in unseren kostenfreien Forum an und erstellen dazu einen Beitrag. Die Experten helfen Ihnen “Schritt für Schritt” bei der Behebung des Problems.

Bilder: Infosec 

2 thoughts on “Verbreitung von TeslaCrypt über WordPress Seiten”

Kommentare sind geschlossen.