Ransomware Verschlüsselungs-Trojaner im Stil von Breaking Bad

Australische Anwender schauen nicht schlecht, wenn auf einmal im Stil der beliebten US-Serie “Breaking Bad” mit dem Zitat “Los Pollos Hermanos“, der Desktop des Computers gesperrt wurde und damit das weitere Arbeiten verwehrt wird.

Eine neue Version der Verschlüsselungs-Trojaner wurde von Experten von Symantec entdeckt, der z.Z. hauptsächlich den Fokus auf Anwender des 5. Kontinents gelegt hat. Innovativ leben die Kriminellen diesmal ihre Liebe zur US-Serie “Breaking Bad” aus, aber technische Neuerungen hat der Erpressungs-Trojaner gegenüber der bekannten Crypolocker nicht erhalten.

Bildschirmfoto 2015-05-12 um 09.00.39

Bild: symantec.com – “Breaking Bad”

Wie üblich versuchen Kriminelle über ausgerichtete Spam-Kampagnen mit gefälschten E-Mails von bekannten Unternehmen ihre potenziellen Opfer zu erreichen. Bei diesen gefälschten E-Mails wird wieder mit infizierten Anhängen in Form von selbst entpackenden Zip-Archiven gearbeitet. Wird das Archiv geöffnet, wird eine gefährliche Scriptdatei mit Namen “PENALTY.VBS” (VBS.Downloader.Trojan) ausgeführt. Diese öffnet zur Tarnung eine PDF-Datei, lädt aber im Hintergrund den eigentlichen Verschlüsselungstrojaner auf den Rechner und führt diesen aus.

ransomware_lospollos

Bild: symantec.com – Los Pollos – Erpressungstrojaner

Erste Analysen der Experten ergaben, dass verschiedene Module von Microsoft PowerShell genutzt wurden, um eigene Powershell-Skripte und somit den Verschlüsselungs-Trojaner auf dem System auszuführen. Während der Desktop mit den Lösegeld-Informationen gesperrt wird, werden im Hintergrund wieder sämtliche Daten des Anwenders mit Advanced Encryption Standard (AES) verschlüsselt. Dabei hat es die Malware auf diese Formate abgesehen: ai, .crt, .csv, .db, .doc, .docm, .docx, .dotx, .gif, .jpeg, .jpg, .lnk, .mp3, .msi, .ods, .one, .ost, .p12, .pdf, .pem, pps, .ppsx, .ppt, .pptx, .psd, .pst, .pub, .rar, .raw, .rtf, .tif, .txt, .vsdx, .wma, .xls, .xlsm, .xlsx, .xml, .zip.

Für die Wiederherstellung der Dateien soll laut Warnung und hinterlegten Anweisungen im Textformat, eine Zahlung in der Internetwährung Bitcoins entrichtet werden, Weiterhin zeigt eine Verlinkung in der Warnung ein legitimes YT-Video mit einer Anleitung für die Bezahlung – Eine Entschlüsselung, bzw. Freischaltung des Desktops nach Bezahlung wird aber nie garantiert!

Angst und Einschüchterung ist hierbei die Motivation der Kriminellen:

Kommen Sie der Zahlungsauforderung nicht nach! Es wird dringend empfohlen die verschlüsselten Dateien nicht zu verändern! Weiterhin sollten Sie nicht den Hostnamen des PCs wechseln.

Weitere Informationen zu AlphaCrypt, Tesla und CryproWall lesen sie im Bleeping Forum>>

Wie kann ich meinen Rechner schützen?

Bildschirmfoto 2014-10-20 um 13.00.59

Installieren Sie unseren kostenfreien Cyber-Impfstoff. Dank der verbauten Funktion “CryptoGuard” erkennt unser Impfstoff auch Aktivitäten von Verschlüsselungstrojanern. Er schlägt immer dann an, wenn Dateien verändert werden sollen und wichtige Meta-Daten, wie z.B. die Eigenschaft ein Word-Dokument zu sein, verlieren. Um Sie vor der Verschlüsselung zu schützen, stoppt unser “Watchdog” den Prozess, der hierfür verantwortlich ist und spielt die zuvor angelegten und im Arbeitsspeicher gehaltenen Sicherheitskopien der Dateien auf Ihre Platte zurück. Anleitung>>

  1. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals deren Anhänge.
  2. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  3. Machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Im Infektionsfall sollten Sie diese immer griffbereit haben.
  4. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac!

Wenn Sie nicht weiterkommen, melden Sie sich in unseren kostenfreien Forum an und erstellen dazu einen Beitrag. Die Experten helfen Ihnen “Schritt für Schritt” bei der Behebung des Problems.