Erpressungs-Trojaner über Remote Desktop installiert

Bildschirmfoto 2015-10-27 um 13.32.59Ransomware in aller Munde, es geht jetzt Schlag auf Schlag – Vor einigen Tagen ist den Forschern erneut eine Ransomware mit Namen “LowLevel04” ins Netz gegangen. Anders als bei bekannten Varianten der Erpresser-Trojaner, wird “LowLevel04” manuell von den Angreifern auf die System heruntergeladen und installiert. Dabei nutzen die Kriminellen den Remote Desktop Services (RDS) oder Terminal Service um sich mit dem Rechner des Opfers über das Netzwerk zu verbinden und das System mit dem Schadcode zu kompromittieren.

Remote Desktop Services bietet den Benutzern die Möglichkeit, sich mit anderen Computern sowie auf den Windows-Desktop des Anwenders, über das Netzwerk zu verbinden. Laut Berichten von Betroffen und dem Forscher Nathan Scott hacken sich die Kriminellen hauptsächlich auf Server-Systeme, um dann über Brute-Force-Attacken diverse Kennwörter von Benutzerkonten, die über RDS bzw. Terminal Service erreichbar sind, auszulesen.

Sobald der Angreifer Zugriff auf den Zielcomputer bekommen hat, lädt dieser ein Softwarepaket aus dem Netz herunter, welche u.a. die Ransomware beinhaltet. Einmal gestartet werden augenblicklich diverse Dateitypen im Hintergrund des Systems verschlüsselt, dabei unterwandert der Schadcode diverse Sicherheitsmechanismen, Programme und Systemereignisprotokolle. Es gibt zudem Grund zur Sorge, denn bis jetzt wird dieser Ransomware-Trojaner von keiner Antiviren-Lösungen erkannt. Zudem sichern sich die Kriminellen im Hintergrund diverse Dateien und den von RSA erzeugten Schlüssel, auf eigenem Temp-Ordner, über die Terminaldienst-Laufwerkszuordnung \\ tsclient \ c \ temp \.

Betroffene Dateierweiterungen werden mit RSA-2048 verschlüsselt!

Bildschirmfoto 2015-10-27 um 12.50.03

Diese Dateitypen stehen imm Fokus des LowLevel04

In jedem Order der verschlüsselten Daten wird zudem eine Lösegeldforderung in Form einer Textdatei “files.txt” abgelegt. Aus dieser geht hervor, dass die Kriminellen ein Lösegeld, für die Entschlüsselung der Daten, in Höhe von 4 Bitcoin (ca. $ 1.000) fordern.

Bildschirmfoto 2015-10-27 um 12.58.39

Lösegeldforderung “files.txt”

Neu ist, dass die Opfer über angegebene E-Mail Adressen ( entry122717@gmail.com und entry123488@india.com ) mit den Drahtziehern Kontakt aufnehmen können und sich als Beweis und Echtheit, eine der betroffenen Dateien entschlüsseln lassen können.

Laut den Experten wird diese Ransomware noch von keiner Antiviren-Lösung entdeckt und versteckt sich so gut im System, dass der Schadcode auch vor anderen Sicherheitseinstellungen und Programmen nicht entdeckt werden kann. Betroffene Anwender wird empfohlen ein Backup des Systems zurück zu spielen bzw. Volumeschattenkopie der Dateien wieder herzustellen.

Angst und Einschüchterung ist hierbei die Motivation der Kriminellen: Kommen Sie der Lösegeldzahlung bitte nicht nach!! 


Wie kann ich meinen Rechner schützen?

  1. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals deren Anhänge.
  2. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  3. Machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Im Infektionsfall sollten Sie diese immer griffbereit haben.
  4. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac!

Wenn Sie nicht weiterkommen, melden Sie sich in unseren kostenfreien Forum an und erstellen dazu einen Beitrag. Die Experten helfen Ihnen “Schritt für Schritt” bei der Behebung des Problems.

Bild: bleeping.com, freedigitalphotos.net