Ransomware CryLocker ruft physische Standortdaten ab

CryLockerUnd wieder versucht eine neue Variante einer Ransomware, im Namen einer Sicherheits-Organisation “Central Security Treatment Organization”, durch Verschlüsselung der Daten seine Opfer unter Druck zu setzen. Dabei sammelt der “CryLocker” nicht nur Informationen des Benutzers und des Systems, sondern lokalisiert auch den von ihm infizierten Computer über die Standortbestimmung von Google Maps.

Wurde der Computer zum Opfer von “CryLocker” (Ransom_MILICRY.A), welcher unter anderem über das “Exploit Kit Rig” ausgespielt und auf die Systeme der Anwender gebracht wird, macht sich die Ransomware mit einer großflächigen Warnung der “Central Security Treatment Organization” auf dem Desktop bemerkbar.

YOUR DOCUMENTS, DATABASES, PROJECT FILES, AUDIO AND VIDEO CONTENT AND OTHER CRITICAL FILES HAVE BEEN ENCRYPTED WITH A PERSISTENT MILITARY-GRADE CRYPTO ALGORITHM!!!

Bildschirmfoto 2016-09-07 um 16.38.07

Bild: bleepingcomputer.com – CryLocker -Warnung

Wie andere Ransomware Varianten auch, verschlüsselt CryLocker die Dateien auf dem System und fordert ein Lösegeld von 1,1 Bitcoins (ca. 598.40 Euro) für die Wiederherstellung der Daten. 

Während im Hintergrund die Verschlüsselung der Daten voranschreitet und die Daten die Erweiterung .cry erhalten, werden im Hintergrund Daten des Computers und des Benutzers gesammelt, in ein PNG-Bild verpackt und auf öffentlichen Seiten wie Imgur.com und Pastee.org abgelegt. Zudem werden Standortdaten über eine Google Map-API und in der Nähe liegende drahtlose Netzwerke und deren SSIDs abfragt, um den genauen Standort des Opfer zu bestimmen. Die gesammelten Daten werden zur Verschleierung des Standortes der C & C Server als UDP-Pakete zu mehr als 4096 verschiedene IP Adressen gesendet. Behörden haben wenig Chancen, den eingeschlagenen Weg zurück zu verfolgen und den Kontrollserver ausfindig zu machen.

Es ist noch nicht sicher wozu die gesammelten Daten und Informationen des Opfers verwendet werden. Anzunehmen ist, dass Profile der Opfer angelegt werden um die Opfer ordentlich einzuschüchtern, damit das Lösegeld auch bezahlt wird!

Angst und Einschüchterung ist die Motivation der Kriminellen: Wir von Botfrei schließen uns der Meinung des BSI, dem BKA und der Polizeibehörden an und raten dringend davon ab, Lösegeld an die Cyberkriminellen zu bezahlen!

YouTube: WinPatrol Plus  – CryLocker Ransomware

Bislang ist eine Wiederherstellung der verschlüsselten Daten nicht möglich. Diese Ransomware “CryLocker” ist derzeit noch nicht vollends auf Schwachstellen für Entschlüsselung der Daten analysiert worden. Daher empfehlen die Experten, dass Opfer die verschlüsselten Daten aufbewahren und auf weitere Informationen (zum Beispiel über bleepingcomputer.com) warten sollen.

Tipp: Machen Sie regelmäßig Backups von Ihren Daten und bewahren Sie diese getrennt vom System auf.

Maßnahmen die getroffen werden können, bevor Ransomware den Rechner infiziert.

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu Clonezilla an, oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht aufintegrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  6. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  7. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac
  8. Verhaltensbasierter Antiviren-Schutz wie der Malwarebytes Anti-RansomEmsisoft Anti-Malware und HitmanPro.Alert von Surfright bieten einen starken Schutz gegen aktuelle und künftige Bedrohungen von Ransomware.

Können Sie Ihre verschlüsselten Dateien nicht einordnen, lesen sie hier>>

Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers.

Darauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmelden und einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden!

Bild: bleepingcomputer.com