Kaspersky Lab warnt vor der Erpresser-Software Shade [1]. Die Ransomware attackiert besonders häufig Internetanwender im deutschsprachigen Raum. Am verbreitetsten ist der Schädling in Russland. Alle Versionen des Erpresser-Trojaners verschlüsseln Dateien auf den infizierten Opfersystemen und ergänzen deren Namen um die Endungen „.xtbl“ und „.ytbl“. Der Schädling ist besonders bösartig, weil dieser neben seiner Erpressungsfunktion ein ganzes Arsenal an gefährlichen im Hintergrund aktiven Trojanern an die Rechner der Opfer ausliefert.
Kaspersky Lab warnt vor der Erpresser-Software Shade [1]. Die Ransomware attackiert besonders häufig Internetanwender im deutschsprachigen Raum. Am verbreitetsten ist der Schädling in Russland. Alle Versionen des Erpresser-Trojaners verschlüsseln Dateien auf den infizierten Opfersystemen und ergänzen deren Namen um die Endungen „.xtbl“ und „.ytbl“. Der Schädling ist besonders bösartig, weil dieser neben seiner Erpressungsfunktion ein ganzes Arsenal an gefährlichen im Hintergrund aktiven Trojanern an die Rechner der Opfer ausliefert.
Shade verbreitet sich über Spam-Mails und darin enthaltene infizierte Anhänge. Daneben nutzt er den Infektionsweg über Drive-by-Downloads: Der Schädling gelangt auf ein Opfersystem, indem der Nutzer eine legale, aber kompromittierte Webseite besucht. Shade wird hierbei über so genannte Exploit Kits, die Schwachstellen im Web-Browser ausnutzen, auf einen Opfer-Rechner gebracht. Im Gegensatz zum Spam-Angriff muss das Opfer in diesem Fall nicht einmal die schädliche Datei ausführen.
„Crypto-Ransomware hat sich in letzter Zeit zu einer der herausragendsten Cyberbedrohungen entwickelt. Die Kriminellen, die hinter diesen Trojanern stecken, versuchen ständig mehr Profit mit ihren Opfern zu machen“, so Fedor Sinizyn, Senior Malware Analyst bei Kaspersky Lab. „Im Falle von Trojan-Ransom.Win32.Shade haben wir nicht nur typische Erpressungstechniken beobachtet, sondern auch ein Bot-ähnliches Verhalten (über C&Cs ausgelöste Zufuhr von zusätzlicher Schadsoftware in das infizierte System). Um diese Schadsoftware zu bekämpfen, sollten aktuelle Browser und Sicherheitslösungen verwendet und vorsichtig mit E-Mails von unbekannten Absendern umgegangen werden. Außerdem sollten regelmäßig Backups von den wichtigen Daten auf dem PC erstellt werden.“ Gelangt Shade auf ein System, verbindet er sich mit einem Command-and-Control-Server (C&C) aus dem anonymisierten Tor-Netzwerk. Anschließend erhält der Schädling von seinem C&C-Server einen RSA-3072-Schlüssel, mit dem dann Dateien auf dem Opferrechner verschlüsselt werden. Kommt keine Verbindung mit dem C&C zustande, nutzt Shade einen von 100 Schlüsseln, die er im Falle derartiger Verbindungsprobleme implementiert hat.
Shade: gefährliche Aktivitäten im Hintergrund
Sind die Dateien auf einem Opfersystem verschlüsselt, setzt Shade den betroffenen Nutzer davon in Kenntnis und fordert für weitere Instruktionen die Zusendung eines bestimmten Codes an eine E-Mail-Adresse. Der maliziöse Prozess wird jedoch nicht beendet, sondern Shade agiert als Downloader und installiert weitere Schädlinge heimlich auf dem Opfersystem. Zu den von Shade nachgelieferten Schadprogrammen zählt auch ein Trojaner, der gezielt für Bruteforce-Attacken verwendet wird, um Passwörter für Webseiten zu knacken.
Wird Shade auf einem Computer gefunden, sollte umgehend ein vollständiger Virenscan über eine aktuelle Sicherheitslösung wie Kaspersky Internet Security – Multi-Device 2016 [2] durchgeführt werden. Ohne eine gründliche Desinfizierung bleibt das System durch verschiedene Schadprogramme, die über Shade geladen wurden, infiziert und somit akut gefährdet. Um einer Shade-Infektion vorzubeugen, sollten Anwender keine Anhänge von unbekannten E-Mails öffnen, Betriebssystem und Software stets aktuell halten und beim Surfen ein aktuelles Virenschutzprogramm einsetzen, das vor Cyberbedrohungen in Echtzeit schützt.
Mehr zu Shade kann unter http://www.viruslist.com/de/analysis?pubid=200883890 abgerufen werden.
[1]http://www.viruslist.com/de/analysis?pubid=200883890; Kaspersky Lab kennt den Schädling unter der Bezeichnung „Trojan-Ransom.Win32.Shade“; Die Analyse von Kaspersky Lab basiert auf anonymen Daten, die aus dem cloudbasierten Kaspersky Security Network (KSN) gewonnen werden. Am KSN können Kaspersky-Kunden auf freiwilliger Basis teilnehmen. Die von Kaspersky Lab erhobenen Daten werden anonym und vertraulich behandelt. Es werden keine persönlichen Daten wie zum Beispiel Passwörter gesammelt. Über das KSN erhält Kaspersky Lab Informationen über Infizierungsversuche und Malware-Attacken. Die dabei gewonnenen Informationen helfen vor allem den Echtzeitschutz für Kaspersky-Kunden zu verbessern. Ausführliche Informationen über das KSN sind in einem Whitepaper aufgeführt, das unter http://www.kaspersky.com/images/KESB_Whitepaper_KSN_ENG_final.pdf abrufbar ist.
[2]http://www.kaspersky.com/de/multi-device-security
Nützliche Links:
- Blog: http://www.viruslist.com/de/analysis?pubid=200883890
- Kaspersky Internet Security – Multi-Device 2016: http://www.kaspersky.com/de/multi-device-security
