Ransomware nutzt TOR und will den berüchtigten Cryptolocker in den Schatten stellen

Eine neue Art erpresserischer Schadprogramme vertsteckt sich im anonymen TOR-Netzwerk und macht es für Cyberkriminelle sicherer, Geld von den Opfern zu erpressen.

ransomeware

Wahrscheinlich wissen Sie bereits, dass Cyberkriminelle immer häufiger verschlüsselnde Ransomware nutzen. Diese Art Schadprogramm versteckt sich nicht lange vor den Anwendern, sondern verschlüsselt stattdessen die Dateien der Anwender und verlangt für die Entschlüsselung ein Lösegeld. Berüchtigte Beispiele dafür sind unter anderem Cryptolocker und CryptoWall. Leider ist diese kriminelle Masche recht profitabel, so dass laufend neue und immer effizientere Verschlüsselungstrojaner auftauchen. Und heute müssen wir Sie vor der Ransomware „Onion“ warnen (auch bekannt unter dem Namen CTB-Locker), die das anonyme TOR-Netzwerk (The Onion Router) und Bitcoins nutzt, um die kriminellen Hintermänner, deren Profite und Schlüssel zu den verschlüsselten Dateien der Opfer besser vor den Strafverfolgungsbehörden zu schützen.

Durch die Nutzung von TOR machen es die Kriminellen den Behörden schwerer, ihre Aktivitäten nachzuverfolgen und die Control-Server des Schadprogramms zu beschlagnahmen. Und mit der anonymen Cryptowährung Bitcoins als einzige Zahlungsmöglichkeit, ist es auch schwer, den Weg des Geldes zu verfolgen. Was bedeutet das für normale Anwender? Zum einen können die Kriminellen das Schadprogramm wahrscheinlich für sehr lange Zeit nutzen. Zudem wird es in Underground-Foren verkauft und zieht internationale Aufmerksamkeit auf sich. Deshalb erwarten wir weitere Infizierungen in anderen Regionen – vor allem die USA, Großbritannien und andere europäische Länder haben sich als „gute Märkte“ für Ransomware gezeigt.

Der Onion-Erpresser ist ein hochentwickeltes Schadprogramm, das still und leise alle Dokumente des infizierten Anwenders verschlüsselt. Erst wenn das geschafft ist, lädt es Informationen zum Schlüssel per TOR auf den Control-Server hoch und zeigt eine Warnung mit 72-Stunden-Countdown auf dem Bildschirm an. Dem Opfer wird angeboten, 0,2-0,5 Bitcoins (etwa 90-260 Euro) zu zahlen, um den Schlüssel für die Dateien zu erhalten. Tut er das nicht innerhalb von 72 Stunden, müssen der Schlüssel (und alle verschlüsselten Dateien) als verloren angesehen werden. Doch die Cyberkriminellen sind sogar „hilflreich“ und geben Tipps zum Kauf von Bitcoins sowie eine Anleitung für den Fall, dass das Opfer die Lösegeldzahlung von einem anderen Computer aus machen muss.

„Dass der Command-and-Control-Server im anonymen TOR-Netzwerk versteckt ist, kompliziert die Suche nach den Cyberkriminellen, und die Nutzung einer unorthodoxen Verschlüsselung macht die Entschlüsselung der Daten unmöglich, selbst wenn die Kommunikation zwischen dem Trojaner und dem Server abgefangen wird. All das macht Onion zu einem der technologisch fortschrittlichsten Verschlüsselungstrojanern, die es gibt, und zu einer hochgefährlichen Bedrohung“, so Fedor Sinitsyn, Senior Malware Analyst bei Kaspersky Lab.

Der Schädling wird derzeit über die typischen kriminellen Tricks verbreitet: Webseiten mit Exploit-Kits starten den Trojaner-Download auf den Opfercomputer, der Trojaner lädt dann das Onion-Verschlüsselungsprogramm herunter. Eine detaillierte Analyse dazu finden Sie auf Securelist.com

So schützen Sie sich vor Onion und anderen Arten von Ransomware

Um eine Infizierung Ihres Computers zu vermeiden, sollten Sie regelmäßig alle kritischen Programme Ihres Computers aktualisieren: das Betriebssystem, den Browser und alle Add-Ons (Media-Player, Java, PDF-Reader und so weiter). Zusätzlich emfphielt sich die Nutzung einer zuverlässigen Sicherheitslösung. Ein kleiner Tipp: die aktuelle Version von Kaspersky Internet Security enthält spezielle Technologien zur Abwehr verschlüsselnder Ransomware. Zudem empfehlen wir, regelmäßige Sicherungskopien auf einem abnehmbaren und sicher gelagerten Datenträger anzufertigen, so dass Sie im Fall einer erfolgreichen Ransomware-Attacke, eines Diebstahls oder einer Naturkatastrophe Ihre Daten wieder herstellen können.

Tipps