Ransomware HDDCryptor sperrt den kompletten Computer

RansomwareDer Erpressungs-Trojaner HDDCryptor geht besonders bösartig vor. Es werden nicht nur die Daten und Laufwerke des Benutzers verschlüsselt, sondern zusätzlich der Master Boot Record (MBR) verändert und somit das System daran gehindert ordnungsgemäß zu starten.

Laut den Experten von Bleepingcomputer.com ist diese Art einer Ransomware-Kompromittierung recht selten, wurde allerdings bei der Ransomware Petya im ersten Quartal des Jahres auch schon beobachtet. Die Ransomware HDDCryptor ist erstmalig im Januar in Erscheinung getreten, scheint sich aber erst jetzt massiv über “Drive by Download” zu verbreiten.

Nachdem das System nicht mehr in der Lage ist ordnungsgemäß zu booten, erscheint die Nachricht der Erpresser:

bildschirmfoto-2016-09-21-um-08-16-23

Das System bootet nicht mehr – Nachricht der Kriminellen

Dabei reicht schon der Besuch einer von Kriminellen präparierten Website aus, um das System zu infizieren. Nach Untersuchungen des Experten Renato Marinho von den Morphus Labs bedient sich die Ransomware einigen frei erhältlichen Open-Source-Tools wie DiskCryptor und Netpass. Wobei über Netpass u.a. die Zugangsdaten der angemeldeten Nutzer ausgelesen werden und für eigene Aktivitäten ein neues Konto angelegt wird. Anschliessend wird über den DiskCryptor, welcher diverse Verschlüsselungsalgorithmen, wie AES, Twofish u.a. unterstützt, die Dateien und Ordner auf der Festplatte verschlüsselt.

bildschirmfoto-2016-09-21-um-09-18-39

Erpresser-Nachricht

War die Verschlüsselung erfolgreich, überschreibt die Ransomware den Master Boot Record (MBR) des Systems, was den Neustart des Systems bereits ganz am Anfang unterbindet, aber dennoch eine Botschaft der Erpresser erscheinen lässt. Laut der Erpresser-Meldung wurde die Festplatte mit AES 2048Bit verschlüsselt und für die Freigabe wird nur die Bezahlung über die Internetwährung Bitcoins akzeptiert. So verlangen die Kriminellen ein Lösegeld von 1 Bitcoin (ca. 550 Euro) für die Freigabe und Entschlüsselung der Daten, welche “auf dem schnellsten Weg” über angegebene Zahlungsinformationen der Kriminellen angewiesen werden soll.

Zu diesem Zeitpunkt gibt es noch keine kostenfreie Wiederherstellung, bzw. Entsperrung der Systeme!

Obwohl scheinbar die ersten Opfer bereits das Lösegeld bezahlt haben, gibt es noch keine Informationen, dass die gesperrten Systeme wieder freigegeben wurden. Angst und Einschüchterung ist die Motivation der Kriminellen: Wir von Botfrei schließen uns der Meinung des BSI, dem BKA und Polizeibehörden an und raten dringend davon ab, Lösegeld an die Cyberkriminellen zu bezahlen!

Tipp: Machen Sie regelmäßig Backups von Ihren Daten und bewahren Sie diese getrennt vom System auf.

Maßnahmen die getroffen werden können, bevor Ransomware den Rechner infiziert.

  1. Wichtiger denn je, machen Sie regelmäßig Backups von ihren wichtigen Daten und bewahren Sie diese getrennt vom Rechner auf. Schauen Sie sich dazu Clonezilla an, oder lesen Sie hier, wie Dateien über Windows gesichert werden können>>
  2. Deaktivieren Sie Macros in Office, laden Sie Dokumente nur aus vertrauenswürdigen Quellen! Gut zu Wissen: Macro-Infektionen sind in alternativen Office-Anwendungen wie Libre-Office nicht funktionsfähig.
  3. Überprüfen Sie Ihren Rechner mit unseren kostenfreien EU-Cleanern>>
  4. Schützen Sie Ihren Computer vor einer Infektion, indem sie das System immerup-to-date” halten! Spielen Sie zeitnah Anti-Viren- und Sicherheits-Patches ein.
  5. Seien Sie kritisch beim Öffnen von unbekannten E-Mails. Klicken Sie nicht auf integrierte Links, bzw. öffnen Sie niemals unbekannte Anhänge.
  6. Arbeiten Sie immer noch am Computer mit Admin-Rechten? Ändern Sie die Berechtigungen beim täglichen Arbeiten auf ein Mindestmaß und richten Sie die Benutzerkontensteuerung (UAC) für ausführbare Programme ein.
  7. Verwenden Sie unbedingt eine professionelle Anti-Viren-Software, auch auf einem Mac
  8. Verhaltensbasierter Antiviren-Schutz wie der Malwarebytes Anti-RansomEmsisoft Anti-Malware und HitmanPro.Alert von Surfright bieten einen starken Schutz gegen aktuelle und künftige Bedrohungen von Ransomware.

Können Sie Ihre verschlüsselten Dateien nicht einordnen, lesen sie hier>>

Brauchen Sie dazu Hilfe? Das Botfrei-Team bietet ein kostenfreies Forum an. Experten helfen „Schritt für Schritt“ bei der Lösung, Entfernung und nachhaltigen Absicherung des Computers.

Darauf sollten Sie im Forum achten: Damit die Experten auf Sie aufmerksam werden und helfend unterstützen können, sollten Sie sich im Forum anmeldenund einen Beitrag erstellen in dem Sie Ihr Problem schildern. Nur dann kann individuell geholfen und die Infektion entfernt werden!

Bild: bleepingcomputer.com