post

Regelmässig entdeckten Forscher in diesem Jahr neue Arten von Ransomware und damit meist auch neue Wege, wie Kriminelle Opfer schädigen wollen. Vor kurzem wurde eine neue Entwicklung von Ransomware mit dem Namen Satana («Teufel») entdeckt, die Dateien verschlüsselt und den Start von Windows blockiert. Sobald Sicherheitsexperten Fortschritte in der Erkennung und Bekämpfung erzielen, sind von den Betrügern bereits neue Ransomware-Varianten einsatzbereit. 

Angriffsziele von Satana:

  1. Die Ransomware verschlüsselt sämtliche Dateien.
  2. Der Trojaner beschädigt den Master Boot Record (MBR) von Windows. Damit wird ein Windows-Bootvorgang nicht mehr möglich.

Es wurden bereits Trojaner entdeckt, die den MBR manipulieren. Die Ransomware Petya (siehe Beitrag) ist eine bekannter Vertreter solche Malware. Während Petya zur Unterstützung einen weiteren Trojaner einsetzte, kann Satana beide Aufgaben selber verwalten.

Was ist der MBR?

Der Master Boot Recovery (MBR) ist Bestandteil der Festplatte. Er enthält Informationen über das Dateisystem, das von diversen Festplattenpartitionen verwendet wird und auf welcher Partition das Betriebssystem gespeichert ist.

Wenn der MBR verschlüsselt oder beschädigt ist, weiss der Computer nicht welche Partition das Betriebssystem enthält. Der Computer kann nicht starten, solange  das Betriebssystem nicht gefunden wird. Die Cyberkriminellen nutzen diese Lücke bewusst aus.

Die Erpresser verlangen bei Satana 0,5 Bitcoins (entspricht ca. SFr. 315.00 ). Mit der Zahlung versprechen die Kriminellen den MBR zu entschlüsseln und den Code zur Entschüsselung der betroffenen Dateien bereitzustellen. Das Betriebssystem soll wiederhergestellt werden und alles sieht so aus wie zuvor, wird von den Hackern behauptet.

Sämtliche Dateiformate im Visier

Sobald sie sich einmal im System befindet, durchsucht Satana sämtliche Laufwerke und Netzwerkinstanzen und filtert nach entprechenden Dateiformaten, welche anschliessend verschlüsselt werden:

.bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, .asm

Dem Dateinamen wird eine E-Mail-Adresse und drei Unterstriche hinzugefügt (bild.jpg wäre zum Beispiel mustermax@gmail.com___bild.jpg). Die E-Mail-Adressen gelten als Kontaktinformationen für die Opfer. Über diesen Weg sollen Zahlungsanweisungen und der Entschlüsselungscode ausgetauscht werden. Nach Recherchen von Kaspersky Lab sollen sechs E-Mail-Adressen für diese Aktion existieren.

Handeln im Schadensfall

Die Blockierung kann teilweise umgangen werden. Mit den entsprechenden Kenntnisse kann der MBR repariert werden. Experten vom Blog „The Windows Club“ veröffentlichten eine detaillierte Anleitung für erfahrende Nutzer. Das Kernproblem besteht jedoch weiterhin. Selbst wenn Windows erfolgreich entsperrt wurde, bleiben die Dateien verschlüsselt. Hierfür gibt es bisher noch keine Lösung.

Aktuell scheint es, dass der Lebenszyklus von Satana noch im Anfangsstadium steckt. Die Malware ist nicht sehr verbreitet, und Recherchen haben einige Schwachstellen in ihrem Quelltext erkannt. Die Möglichkeit, dass sie sich mit der Zeit weiterentwickelt und schädlicher wird, ist gross.

Wichtige Handlungsempfehlungen für Anwender

1. Regelmässige Sicherheitskopien Ihrer Daten
Dies ist die wichtigste Absicherung. Im Fall eines erfolgreichen Ransomware-Angriffs kann das Betriebssystem einfach neu installiert werden. Dateien der Sicherungskopie werden wiederhergestellt und der PC ist wieder einsatzbereit. InfoSoft Systems plant für Sie eine professionelle Datensicherung. Kontaktieren Sie uns.

2. Immer aufmerksam sein, insbesondere bei Links und E-Mails.
Besuchen Sie keine verdächtigen Webseiten und öffnen Sie keine verdächtigen E-Mail-Anhänge, selbst wenn Sie den Link oder die E-Mail von jemandem erhalten, den Sie kennen. Es ist wenig über die Ausbreitungstechniken von dieser Ransomware bekannt. InfoSoft Systems konfiguriert Outlook, Exchange und Firewall für maximale Sicherheit. Kontaktieren Sie uns.

3. Professionelle und aktuelle Antivirenlösung verwenden
Stellen Sie sicher, dass Sie eine verlässliche Antivirenlösung verwenden. Kaspersky Internet Security erkennt Satana und erkennt die Ransomware als „Trojan-Ransom.Win32.Satan“. Die Verschlüsselung von Dateien und der Blockierung des Systems wird verhindert. InfoSoft Systems beschafft und installiert professionelle Antivirenlösungen. Kontaktieren Sie uns.

4. Besuchen Sie die INFONEWS und abonnieren Sie unseren Newsletter 
Wir versuchen Sie immer über die neuesten Bedrohungen zu informieren, damit Sie Malware nicht unvorbereitet trifft.

Quelle:
Kaspersky Lab Daily, www.blog.kaspersky.de (15.07.2016)