Beiträge

Masterschlüssel für TeslaCrypt veröffentlicht

Laut einer Meldung von heise.de haben die Entwickler von Teslacrypt die Weiterentwicklung ein­ge­stellt und den Masterschlüssel für den Kryptotrojaner ver­öf­fent­licht. Betroffene, deren Syteme und Daten noch ver­schlüs­selt sind, kön­nen auf­at­men. Nach ersten Berichten funk­tio­niert der Master-Key und in Verbindung mit dem Tool Tesladecoder sind alle Varianten von Teslacrypt 1 bis 4 wie­der zu ent­schlüs­seln.

Rathaus Markt Schwaben durch Krypto-Trojaner verschlüsselt

Am 28.04.2016 ist es pas­siert. Ein unvor­sich­ti­ger Klick durch einen oder meh­re­re Mitarbeiter und einer der bekann­ten Krypto-Trojaner wur­de im Rathaus Markt Schwaben (Bayern) aktiv. Der Befall wur­de am frü­hen Donnerstagmorgen bereits bemerkt und der zustän­di­ge Systemadministrator hat sofort erste Schritte zur Eindämmung und Ursachenanalyse ein­ge­lei­tet. Oberstes Ziel ist es jetzt, den Ursprung zu loka­li­sie­ren, zu iso­lie­ren und zu ent­fer­nen. Am Freitag den 29.04.2016 blieb das Rathaus nach zuvor offi­zi­el­ler Ankündigung geschlos­sen. Glücklicherweise sind wohl nur ver­ein­zel­te Rechner betrof­fen. Auch aktu­el­le Virenschutzsoftware konn­te den Befall nicht ver­hin­dern.

Teslacrypt 4.0 mit Bugfixes und Neuerungen im Umlauf

Die Ransomware Teslacrypt, ein beson­ders erfolg­rei­cher Krypto-Trojaner der letz­ten Monate, wur­de laut bleepingcomputer.com in der nun vier­ten Generation “Teslacrypt 4.0” gesich­tet. Teslacrypt hat eini­ge Bugfixes und Neuerungen erfah­ren.

Wurden bis­her erkenn­ba­re Datei-Endungen an die ver­schlüs­sel­ten Dateien ange­hängt (wie .aaa .abc oder auch .mp3), wer­den die loka­len und über das Netz erreich­ba­ren Dateien jetzt unter Beibehaltung des Dateinamens ver­schlüs­selt. Von außen sieht also erst mal alles so aus, als wäre nichts pas­siert.

Auch die 4 Gigabyte (GB) Hürde ist gefal­len. Haben bis­he­ri­ge Teslacrypt-Versionen Dateien grö­ßer 4 GB ein­fach kor­rum­piert oder gelöscht, ver­schlüs­selt Teslacrypt 4.0 nun auch die­se.

Nach einer Meldung von heise.de zieht Teslacrypt 4.0 noch mehr gerä­te­spe­zi­fi­sche Merkmale wie DigitalProductID, MachineGuid und SystemBiosDate zur Generierung des indi­vi­du­el­len loka­len Schlüssels her­an.

Teslacrypt 4.0 wird nach Angaben von Heimdal Security zur Zeit haupt­säch­lich via Drive-by-Downloads ver­brei­tet.

Seit Version 3.0 von Teslacrypt gibt es kei­ne funk­tio­nie­ren­den Entschlüsselungstools für befal­le­ne Geräte. Sollte ein Befall mit V 3 oder V 4 vor­lie­gen, blei­ben nur die Hoffnung auf eine aktu­el­le und funk­tio­nie­ren­de Datensicherung für die Wiederherstellung oder der Versuch, mit­tels Lösegeldzahlung in Form von Bitcoins einen funk­ti­ons­fä­hi­gen Schlüssel für die Entschlüsselung zu erhal­ten.

ESET meldet rasante Verbreitung der Nemucod-Malware

Der Sicherheitssoftwarehersteller ESET mel­det einen rasan­ten Anstieg der Erkennung der Nemucod-Malware. Diese ist zwar bereits bekannt, jedoch nach wie vor heim­tückisch. Wie bei vie­len ande­ren Angriffen, kommt auch hier die Bedrohung per Email-Anhang ins Haus, Betreff unter ande­rem Rechnung oder auch Gerichtsvorladung. Der schad­haf­te Anhang (oft­mals ein getarn­tes ZIP-Archiv) ent­hält Javascript-Code. Dieser lädt nach Öffnen des Anhangs die Malware Nemucod her­un­ter und star­tet die­se. Nemucod selbst lädt dann bekann­te Vertreter wie Locky und Teslacrypt nach, und akti­viert die­se sogleich. Danach beginnt das übli­che Spiel mit Verschlüsselung und Lösegeldforderung.

Da sich Nemucod über die Adressbücher bereits infi­zier­ter Systeme wei­ter ver­brei­tet, ist daher selbst bei bekann­ten Absendern äußer­ste Vorsicht gebo­ten, wenn Datei-Anhänge per Email in Ihrem Postfach auf­schla­gen.

Unsere Tipps:

  • Email-Anhänge unbe­kann­ter Absender gene­rell nicht öff­nen
  • Email-Anhänge bekann­ter Absender nur mit äußer­ster Vorsicht öff­nen und auch nur, wenn es wirk­lich not­wen­dig ist (im Zweifel: Rufen Sie den Absender doch kurz an, was es mit der Email samt Anhang auf sich hat)
  • Für aus­rei­chen­de Awareness in der Organisation sor­gen (Newsletter, Schulungen etc.)
  • Im Rahmen einer durch­dach­ten Backupstrategie rele­van­te Daten regel­mä­ßig sichern. Wenn mög­lich, Sicherungsmedien ent­fer­nen oder bei Netzsicherung Verbindung unter­bre­chen nach Backup
  • Betriebssystem, Anwendungen und Virenscanner (Server und Client) stets aktu­ell hal­ten.

Infektion mit Locky und Teslacrypt jetzt auch über Werbeanzeigen (Malvertising)

Seit gerau­mer Zeit besteht auch durch sog. Drive-by-Downloads (Anzeige infi­zier­ter Webseiten im Browser) ein nicht uner­heb­li­ches Risiko, sich eine der aktu­el­len Versionen der Krypto-Trojaner wie Locky oder Teslacrypt zu fan­gen. Doch damit nicht genug, jetzt sind erste infi­zier­te Werbeanzeigen auf­ge­taucht. Diese Anzeigen, die über übli­che Werbenetzwerke ver­brei­tet wer­den, nut­zen aktiv Sicherheitslücken in Plugins wie Flash oder Silverlight aus, um das System des Webseitenbesuchers zu infi­zie­ren. Somit kann auch der Besuch seriö­ser Webseiten zu einer Infektion mit einem Krypto-Trojaner wie Locky oder Teslacrypt füh­ren. Bereits am 16.03.2016 mel­de­ten ame­ri­ka­ni­sche Sicherheitsforscher meh­re­re zehn­tau­send Infektionen durch den Besuch von Seiten wie BBC, MSN oder auch der New York Times. Die Bedrohung über die­se Seiten ist wohl mitt­ler­wei­le gestoppt, den­noch nicht zu Ende.

Unser Tipp:

  • Browser stets aktu­ell hal­ten
  • Plugins wie Flash oder Silverlight umge­hend deak­ti­vie­ren, noch bes­ser deinstal­lie­ren

Update 18.03.2016

Per Email erreich­ten uns eini­ge Anmerkungen, ohne Flash sei der größ­te Teil des Webangebots nicht zu nut­zen. Die mei­sten Anbieter ver­mei­den mitt­ler­wei­le die Gestaltung und Programmierung mit­tels sol­cher Zusatzsoftware. Die aktu­el­len HTML Standards bie­ten aus­rei­chend Alternativen. Unsere Meinung: wer meint, heu­te noch Intros oder Navigation mit Flash anbie­ten zu müs­sen, braucht sich über aus­blei­ben­de Besucher nicht wun­dern. Auf unse­ren Geräten wer­den sol­che regel­mä­ßig mit Sicherheitslücken aus­ge­stat­te­ten “Gimmicks” erst gar nicht instal­liert. Und es geht.

LKA NRW warnt vor Krypto-Trojanern

Uwe Jacob, Chef des Landeskriminalamts Nordrhein-Westfalen (NRW) in Düsseldorf äußert sich besorgt zur Bedrohung durch die aktu­el­len Krypto-Trojaner-Kampagnen:

Wir stel­len der­zeit eine qua­li­ta­ti­ve Veränderung sol­cher heim­tücki­scher Angriffe fest.”

Jacob wei­ter:

Wenn ein Krankenhaus die Notfallversorgung ein­stel­len und Operationen ver­schie­ben muss, wenn eine Stadtverwaltung kei­nen Zugriff mehr auf ihre Daten hat oder auch Unternehmen in ihrer Existenz bedroht sind, dann macht mir das gro­ße Sorgen!”

Die Vorsorge zur Abwehr sol­cher Attacken und auch deren Krisenbewältigung im Erfolgsfall sieht Jacob als kla­re Aufgabe des Spitzenmanagements einer Organisation, ganz unab­hän­gig davon, ob es sich dabei um eine öffent­li­che oder nicht-öffentliche Stelle han­delt. Daher geht sein Appell sowohl an Vorstände, Geschäftsführer und Unternehmer als auch an Bürgermeister, Landräte, Amts- und Geschäftsstellenleiter und alle ande­ren Führungskräfte:

Alle sind per­sön­lich gefor­dert und das ist ins­be­son­de­re die Aufgabe des Spitzenmanagements, der Oberbürgermeister und der Behördenleiter. Sie müs­sen Ihr Unternehmen, Ihre Behörde, Ihre Organisation und die Bürgerinnen und Bürger vor Schaden bewah­ren. Damit kön­nen wir nicht war­ten. Es ist höch­ste Zeit, jetzt die not­wen­di­gen Maßnahmen ein­zu­lei­ten.”

Die aktu­el­len Krypto-Trojaner (Ransomware) exi­stie­ren in so viel­fäl­ti­gen Varianten und wer­den dabei unter Inkaufnahme von Streuverlusten zigtausend- oder mil­lio­nen­fach ver­teilt, dass eine Abwehr fast nicht mög­lich scheint. Virenschutz ist erst eini­ge Stunden nach Neuerscheinung einer abge­wan­del­ten Version in der Lage, Schutz zu bie­ten. Die Trojaner ver­schlüs­seln ver­schie­de­ne Dateien und rich­ten so unmit­tel­ba­ren Schaden bei den Betroffenen an. Dabei wird Kryptographie ein­ge­setzt, die dem Stand der Technik ent­spricht. Somit sind die Chancen gering, die Verschlüsselung bre­chen zu kön­nen. Und die Liste der befal­le­nen Dateien wird täg­lich grö­ßer. Hinzu kom­men neue Infektionswege über Drive-by-Downloads und Malvertising-Kampagnen.

Arne Schönbohm, Präsident des BSI assi­stiert

Die IT-Sicherheitsvorfälle der letz­ten Wochen zei­gen, wie abhän­gig unse­re Gesellschaft von Informationstechnologie ist und wel­che Auswirkungen ein Cyber-Angriff auf die Verfügbarkeit Kritischer Infrastrukturen haben kann. Krankenhäuser sind auf­grund ihrer her­aus­ra­gen­den Bedeutung für das Wohlergehen der Bevölkerung ein wich­ti­ger Teil der Kritischen Infrastrukturen und soll­ten daher die poten­zi­el­len Risiken für die Funktionsfähigkeit ihrer Prozesse ken­nen und die­sen durch geeig­ne­te Maßnahmen der Prävention, Detektion und Reaktion begeg­nen.”

a.s.k. Datenschutz berät und unter­stützt bei der Auswahl und Einführung geeig­ne­ter Maßnahmen zur Risikominimierung sowie der Krisenbewältigung. Sprechen Sie uns an.

 

Locky: Jeder Dritte bereit Lösegeld zu zahlen

Nach einer aktu­el­len Studie ist jeder Dritte bereit, Lösegeld zu zah­len, um sei­ne von Locky oder ande­ren Krypto-Trojanern ver­schlüs­sel­ten Dateien wie­der ent­schlüs­seln zu kön­nen. Laut der Bitdefender-Studie sind poten­ti­el­le Opfer bereit, im Schnitt 211 Euro zu bezah­len.

Das BSI und wei­te­re Einrichtungen raten von Zahlungen an die Erpresser jedoch ab. Einerseits kann man nie sicher sein, einen funk­tio­nie­ren­den Schlüssel für die Entsperrung zu erhal­ten. Und wie ein Vertreter von Bitdefender wei­ter­hin anmerkt, unter­stützt man die Erpresser damit direkt — und lei­stet einer wei­te­ren Zunahme sol­cher Vorfälle im Zweifel Vorschub.

Steht der Privatanwender jedoch vor tau­sen­den ver­schlüs­sel­ten Bildern, Musikdateien und Dokumenten oder eine Organisation ist auf­grund der Verschlüsselung arbeits­un­fä­hig (wodurch finan­zi­el­le Verluste bin hin zur Existenzbedrohung ent­ste­hen kön­nen), dann sind sol­che Aussagen schnell rela­ti­viert. Ein Restrisiko bleibt jedoch. Aktuelle Fälle zei­gen, dass trotz erfolg­rei­cher Entschlüsselung zu Datenverlusten kom­men kann.

Stadt Dettelbach zahlt Lösegeld wegen Teslacrypt

Was Insider schon län­ger wuß­ten, ist nun offi­zi­ell. Die Stadt Dettelbach wur­de Opfer des Krypto-Trojaners Teslacrypt. Bereits vor eini­gen Tagen wur­de auf der Webseite der Stadtverwaltung ange­deu­tet, was sich ereig­net hat.

dettelbach-krypto-trojaner

Bereits am 08. Februar 2016 soll durch den Klick eines unvor­sich­ti­gen Mitarbeiters das Unheil sei­nen Lauf genom­men haben. Die Daten auf dem Server der Verwaltung wur­den ver­schlüs­selt. Nun hat man sich ent­schie­den, das gefor­der­te Lösegeld zu zah­len. Und obwohl das BSI und ande­re Einrichtungen von der Zahlung an die Erpresser abra­ten, hat­te die Stadtverwaltung Glück im Unglück. Der gekauf­te Schlüssel zur Entschlüsselung funk­tio­nier­te, zumin­dest teil­wei­se. Die rest­li­chen Daten ver­such­te man, aus einem Backup wie­der­her­zu­stel­len. Wie Spiegel Netzwelt berich­tet, gab es dabei wohl Probleme und Fehlentscheidungen, die einen weit­rei­chen­den Systemausfall und Datenverluste zur Folge hat­ten.

So for­dert die Stadt über die Webseite wohl nicht mehr wie­der­her­stell­ba­re Unterlagen und Informationen von den Kunden der Stadtwerke an.

dettelbach-teslacrypt

Die Kriminalpolizei Würzburg hat Ermittlungen wegen Erpressung auf­ge­nom­men.

Videobeitrag: Deutsches Unternehmen zahlt Lösegeld an Locky-Autoren

Und wer es immer noch nicht glau­ben kann, was zur Zeit bei Unternehmen und Behörden auf­grund der aktu­el­len Krypto-Trojaner-Welle los ist, hier ein inter­es­san­ter Beitrag aus der SWR Landesschau vom 23.02.2016.

Ein unvor­sich­ti­ger Mitarbeiter löst mit­tels Mausklick die Verschlüsselung inner­halb der Firma aus. Nach eini­ger Zeit sieht der Geschäftsführer nur noch einen Weg, um wie­der arbeits­fä­hig zu wer­den. Das Lösegeld in Form von Bitcoins wird bezahlt. Die Systeme wie­der ent­schlüs­selt. Einige wich­ti­ge Daten sind jedoch kor­rum­piert und kön­nen nicht mehr genutzt wer­den. Gut, wer dann noch auf ein funk­ti­ons­fä­hi­ges Backup zurück­grei­fen kann. Hier der Link zum Video-Beitrag des SWR.

http://www.swr.de/landesschau-aktuell/rp/trojaner-locky-eine-firma-unter-druck/-/id=1682/did=17005502/nid=1682/1rev2qn/

Erfolgreiche Krypto-Trojaner: US Krankenhaus zahlt 40 Bitcoins Lösegeld

Heise.de mel­det, Locky ist erfolg­reich. Ein US-Krankenhaus aus Los Angeles hat zur Entschlüsselung sei­ner Computer 40 Bitcoins Lösegeld an die Erpresser bezahlt. Die Krankenhaus-Leitung infor­mier­te dazu mit dem Hinweis “Das war die ein­fach­ste Lösung”. Die 40 Bitcoins ent­spre­chen zum Zeitpunkt der Zahlung unge­fähr 15.000 Euro.