Ransomware – Die neue Jigsaw Variante und andere Probleme

wp_jigsaw_nNicht nur, dass wir fast täglich mehr und mehr Datendiebstähle verzeichnen müssen, auch weiterhin sind die Erpressungs-Trojaner auf dem Vormarsch. Und tatsächlich haben die Experten wieder eine neue Ransomware-Varianten aufgegriffen und bei der Ransomware “UltraDeCrypter” ein Problem im Bezahlsystem aufgedeckt.

So ist dem Sicherheits-Experte Michael Gillespie eine neue Version der Jigsaw-Ransomware ins Netz gegangen. Im Vorgehen nicht anders als bei vielen anderen Versionen der Erpresser-Trojaner auch, werden die Daten auf dem Rechner des Opfers verschlüsselt, wobei sie diesmal die Erweiterung .payms erhalten. Über eine Warnung sollen die Opfer, für die Auslösung der verschlüsselten Daten an die Kriminellen ca. 150 USD bezahlen.

payms

Bild: bleepingcomputer.com – Warnung der Erpresser

Gute Nachrichten für infizierte Systeme und deren Opfer

Genauso schnell wir die Ransomware entdeckt wurde, konnten die Experten den Jigsaw-Decryptor aktualisieren, sodass eine kostenfreie Wiederherstellung der Daten möglich ist. Wie sie mit dem Decryptor die Daten entschlüsseln können, lesen Sie in unserem Artikel “Ransomware Jigsaw löscht stündlich verschlüsselte Daten

Ransomware mit Problemen in den Bezahlsystemen

Neben der neuen Variante des Jigsaw-Ransomware erscheint noch ein Problem mit dem UltraDeCrypter. Konnten die beiden Versionen CryptXXX und UltraCrypter relativ schnell von den Experten ausgehebelt und ein kostenfreies Entschlüsselungs-Tool bereit gestellt werden, so ist jetzt bekannt geworden, dass das Bezahlsystem des UltraDeCrypter die Einzahlung der Opfer nicht erkennt und somit die Opfer den bezahlten Decryptor für die Wiederstellung der Daten nicht herunterladen konnten.

Auch wenn die Bezahlung des Lösegeldes immer nur das letzte Mittel sein sollte, gibt es einige Anwender und Unternehmen die durch die Infektion und Verschlüsselung der Daten mit dem Rücken zur Wand stehen und damit keine andere Wahl haben, als den Forderungen der Kriminellen nachzukommen.

Angst und Einschüchterung ist die Motivation der Kriminellen: Wir von Botfrei schließen uns der Meinung des BSI, dem BKA und Polizeibehörden an und raten dringend davon ab, dass Lösegeld an die Cyberkriminellen zu bezahlen!

Um so schlimmer ist es für die betroffenen Opfer, wenn das Bezahlsystem nicht richtig funktioniert. Die Zahlung wird getätigt aber nicht erkannt und kein Decryptor zum Download angeboten. Oder die Zahlung wird registriert, dennoch gibt es kein Entschlüsselungs-Tool. Zu guter Letzt läuft der Timer der Ransomware weiter und mit Ablauf der Frist verdoppelt sich das Lösegeld bzw. die verschlüsselten Daten auf dem System werden für immer gelöscht!

Probleme im Bezahlsystem von CryptXXX / UltraCrypter
Aufgrund dieser Probleme wird dringend von einer Lösegeldzahlen abgeraten!

Kriminelle stellen HelpDesk-System bereit

Um das Wissen der Probleme bei den Bezahlsystem des UltraDeCrypter-Ransomware, stellen die Kriminellen eine Helpdesk-Registerkarte zu Verfügung. Über ein bereitgestelltes Formular kann das Opfer bei entstehenden Problemen Kontakt mit dem Entwickler aufnehmen. Was von den Experten auch empfohlen wird!

Bildschirmfoto 2016-06-10 um 10.51.42

Bild: bleepingcomputer.com – Helpdesk Formular

Die Verbreitungsmethoden der Ransomware

Die Ransomware-Varianten verbreiten sich über die selben Wege wie die andere Malware auch. In der Regel werden unsere Systeme über die Ausführung infizierter Anhänge bei diversen Spam-Kampagnen infiziert, aber auch ganz gezielt über „Social Engineering“ das Umfeld ausgespäht. So werden z.B.  gefälschte Rechnungen an Unternehmen geschickt und deren Mitarbeiter dazu bewegt, Malware zu starten bzw. auf die Systeme zu laden. Weiterhin lauert Schadcode auf kompromittierten Webseiten auf den Besuch ahnungsloser Anwender. Während im Hintergrund der Browser bzw. das System auf Schachstellen abgeklopft wird, wird entsprechend Malware auf die Systeme gebracht und ausgeführt. Die hier genannten sind nur einige, aber sehr häufig verwendete Wege diverse Malware auf die Rechner zu bringen – Sorgen Sie jetzt vor und sichern Sie das System ab!

Ransomware Tracker>>

Maßnahmen die getroffen werden können, bevor Ransomware den Rechner infiziert.blind

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu Clonezilla an, oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht aufintegrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  6. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  7. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac
  8. Verhaltensbasierter Antiviren-Schutz wie der Malwarebytes Anti-RansomEmsisoft Anti-Malware und HitmanPro.Alert von Surfright bieten einen starken Schutz gegen aktuelle und künftige Bedrohungen von Ransomware.
Können Sie Ihre verschlüsselten Dateien nicht einordnen, lesen sie hier>>

Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers.

Darauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden!

Bild: bleepingcomputer.com