IT-Rebellen Das Blog für IT- und Businessentscheider, die neue Wege gehen wollen.
Der Sicherheitsspezialist Kaspersky Lab warnt vor der Erpresser-Software Shade. Die Ransomware attackiert besonders häufig Internetanwender im deutschsprachigen Raum. Am verbreitetsten ist der Schädling in Russland. Alle Versionen des Erpresser-Trojaners verschlüsseln Dateien auf den infizierten Opfersystemen und ergänzen deren Namen um die Endungen „.xtbl“ und „.ytbl“. Der Schädling ist besonders bösartig, weil dieser neben seiner Erpressungsfunktion ein ganzes Arsenal an gefährlichen im Hintergrund aktiven Trojanern an die Rechner der Opfer ausliefert.
Hauptsächliches Verbreitungsgebiet der Erpresser-Software Shade ist Russland. Doch auch Deutschland ist zunehmend betroffen.
Shade verbreitet sich über Spam-Mails und darin enthaltene infizierte Anhänge. Daneben nutzt er den Infektionsweg über Drive-by-Downloads: Der Schädling gelangt auf ein Opfersystem, indem der Nutzer eine legale, aber kompromittierte Webseite besucht. Shade wird hierbei über so genannte Exploit Kits, die Schwachstellen im Web-Browser ausnutzen, auf einen Opfer-Rechner gebracht. Im Gegensatz zum Spam-Angriff muss das Opfer in diesem Fall nicht einmal die schädliche Datei ausführen.
„Crypto-Ransomware hat sich in letzter Zeit zu einer der herausragendsten Cyber-Bedrohungen entwickelt. Die Kriminellen, die hinter diesen Trojanern stecken, versuchen ständig mehr Profit mit ihren Opfern zu machen“, so Fedor Sinizyn, Senior Malware Analyst bei Kaspersky Lab. „Im Falle von Trojan-Ransom.Win32.Shade haben wir nicht nur typische Erpressungstechniken beobachtet, sondern auch ein Bot-ähnliches Verhalten (über C&Cs ausgelöste Zufuhr von zusätzlicher Schadsoftware in das infizierte System). Um diese Schadsoftware zu bekämpfen, sollten aktuelle Browser und Sicherheitslösungen verwendet und vorsichtig mit E-Mails von unbekannten Absendern umgegangen werden. Außerdem sollten regelmäßig Backups von den wichtigen Daten auf dem PC erstellt werden.“
Gelangt Shade auf ein System, verbindet er sich mit einem Command-and-Control-Server (C&C) aus dem anonymisierten Tor-Netzwerk. Anschließend erhält der Schädling von seinem C&C-Server einen RSA-3072-Schlüssel, mit dem dann Dateien auf dem Opferrechner verschlüsselt werden. Kommt keine Verbindung mit dem C&C zustande, nutzt Shade einen von 100 Schlüsseln, die er im Falle derartiger Verbindungsprobleme implementiert hat.
Gefährliche Aktivitäten im Hintergrund
Sind die Dateien auf einem Opfersystem verschlüsselt, setzt Shade den betroffenen Nutzer davon in Kenntnis und fordert für weitere Instruktionen die Zusendung eines bestimmten Codes an eine E-Mail-Adresse. Der maliziöse Prozess wird jedoch nicht beendet, sondern Shade agiert als Downloader und installiert heimlich weitere Schädlinge auf dem Opfersystem. Zu den von Shade nachgelieferten Schadprogrammen zählt auch ein Trojaner, der gezielt für Bruteforce-Attacken verwendet wird, um Passwörter für Webseiten zu knacken.
Wird Shade auf einem Computer gefunden, sollte umgehend ein vollständiger Virenscan durchgeführt werden. Ohne eine gründliche Desinfizierung bleibt das System durch verschiedene Schadprogramme, die über Shade geladen wurden, infiziert und somit akut gefährdet.
Mehr zu Shade kann unter http://www.viruslist.com/de/analysis?pubid=200883890 abgerufen werden.
