post

Diverse Meldungen in den letzten Tagen über die Schadsoftware TeslaCrypt an die Schweizerische Melde- und Analysestelle Informationssicherung MELANI zeugen von einer steigenden Verbreitung dieser Variante von Schadsoftware. Diese Schadsoftware (auch Ransomware genannt) verschlüsselt Daten und fordert anschliessend ein Lösegeld für die Wiederherstellung.

TeslaCrypt scheint sich fast ausschliesslich über infizierte E-Mail Anhänge (Ein Anhang des Typs „.zip“, der eine Datei des Typs „.js“ beinhaltet) zu verbreiten. Einmal installiert, verschlüsselt TeslaCrypt die Dateien, welche sich auf dem Computer befinden (beispielsweise Fotos, Excel- oder Word-Dateien). Dem Opfer wird anschliessend eine Meldung präsentiert, in der die Kriminellen eine Geldforderung stellen. Im Gegenzug soll das Opfer den Schlüssel erhalten mit dem die Dateien wiederhergestellt werden können (Erpressung). Ähnliche Vorgänge sind durch Schadsoftware Cryptolocker, Synolocker, Cryptowall etc. bekannt.

Schwierigkeit: Dateiwiederherstellung

Verschiedene Antiviren Produkte können die Schadsoftware finden und zerstören. Dann ist es aber meistens zu spät, weil die auf dem Computer vorhandenen Dateien bereits verschlüsselt wurden. In diesem Fall ist deshalb nicht die Entfernung der Schadsoftware das Problem, sondern die Wiederherstellung der ursprünglichen Daten. Im Moment scheint es keine Methode zu geben, die Daten ohne den Schlüssel, der nur den Erpressern bekannt ist, zu entschlüsseln. MELANI rät hier trotzdem davon ab, auf die Forderungen der Erpresser einzugehen und eine Zahlung zu leisten. Es gibt keine Garantie, dass die Kriminellen auch wirklich Wort halten und den für das Entschlüsseln der Dateien benötigten Schlüssel dem Opfer tatsächlich zusenden. Sie finanzieren gleichzeitig die Weiterentwicklung der Angreifer, welche einen nächsten noch wirksameren Angriff ermöglicht.

Massnahmen:

  • Wichtige Dateien sollten regelmässig auf externe Datenträger kopiert werden (Backup) und anschliessend getrennt aufbewahrt werden.
  • Seien Sie immer vorsichtig bei verdächtigen E-Mails, bei E-Mails, welche Sie unerwartet bekommen, oder welche von einem unbekannten Absender stammen. Befolgen Sie hier keine Anweisungen im Text, öffnen Sie keinen Anhang und folgen Sie keinen Links.
  • Sowohl Betriebssystem als auch installierte Applikationen (z.B. Browser, PDF Reader) müssen immer aktuell gehalten werden. Falls vorhanden, am besten mit der automatischen Update Funktion.
  • Ein Antivirenprogramm muss installiert sein und aktuell gehalten werden.
  • Eine Personal Firewall muss installiert sein und aktuell gehalten werden.
  • Detaillierte Empfehlungen finden Sie auf der MELANI Webseite unter der Rubrik „Wie schütze ich mich?“.

Im Falle einer Infektion

MELANI empfiehlt den Computer sofort von allen Netzwerken zu trennen. Eine Säuberung des Computers ist notwendig. Grundsätzlich ist eine Neuinstallation des Systems und das Ändern aller Passwörter ratsam. Diese Massnahme sollte zusammen mit einem Computerspezialisten durchgeführt werden. Nachdem diese Massnahmen erledigt wurden, können dann die Backup-Daten wieder zurückgespielt werden. Wenn kein Backup der Daten vorliegt, ist es empfehlenswert, die verschlüsselten Daten zu behalten und zu sichern, damit sie allenfalls später noch entschlüsselt werden können.

Folgende Dateitypen können von der Schadsoftware TeslaCrypt verschlüsselt werden:

.7z;.rar;.m4a;.wma;.avi;.wmv;.csv;.d3dbsp;.sc2save;.sie;.sum;.ibank;.t13;.t12;.qdf;.gdb;.tax;
.pkpass;.bc6;.bc7;.bkp;.qic;.bkf;.sidn;.sidd;.mddata;.itl;.itdb;.icxs;.hvpl;.hplg;.hkdb;
.mdbackup;.syncdb;.gho;.cas;.svg;.map;.wmo;.itm;.sb;.fos;.mcgame;.vdf;.ztmp;.sis;.sid;.ncf;
.menu;.layout;.dmp;.blob;.esm;.001;.vtf;.dazip;.fpk;.mlx;.kf;.iwd;.vpk;.tor;.psk;.rim;.w3x;.fsh;
.ntl;.arch00;.lvl;.snx;.cfr;.ff;.vpp_pc;.lrf;.m2;.mcmeta;.vfs0;.mpqge;.kdb;.db0;.DayZProfile;
.rofl;.hkx;.bar;.upk;.das;.iwi;.litemod;.asset;.forge;.ltx;.bsa;.apk;.re4;.sav;.lbf;.slm;.bik;.epk;
.rgss3a;.pak;.big;.unity3d;.wotreplay;.xxx;.desc;.py;.m3u;.flv;.js;.css;.rb;.png;.jpeg;.txt;.p7c;
.p7b;.p12;.pfx;.pem;.crt;.cer;.der;.x3f;.srw;.pef;.ptx;.r3d;.rw2;.rwl;.raw;.raf;.orf;.nrw;.mrwref;
.mef;.erf;.kdc;.dcr;.cr2;.crw;.bay;.sr2;.srf;.arw;.3fr;.dng;.jpe;.jpg;.cdr;.indd;.ai;.eps;.pdf;.pdd;
.psd;.dbfv;.mdf;.wb2;.rtf;.wpd;.dxg;.xf;.dwg;.pst;.accdb;.mdb;.pptm;.pptx;.ppt;.xlk;.xlsb;.xlsm;
.xlsx;.xls;.wps;.docm;.docx;.doc;.odb;.odc;.odm;.odp;.ods;.odt;

Nach der Verschlüsselung werden die ursprünglichen Dateierweiterungen durch die Erweiterung .ecc ersetzt. Ausserdem löscht die Ransomware alle Schattenkopien und sogar Wiederherstellungspunkte, damit Sie keine Systemwiederherstellung durchführen können.

Der Desktop-Hintergrund wird danach durch eine Nachricht von TeslaCrypt ersetzt und es erscheint eine neue Datei mit dem Namen „HELP_TO_DECRYPT_YOUR_FILES.txt“ auf dem Desktop. Dabei handelt es sich um eine Anleitung, wie das Lösegeld bezahlt werden kann und wie der Entschlüssler funktioniert. Ausserdem erhalten Sie eine Entschlüsselungsbestätigung, die besagt, dass Ihre Dateien entschlüsselt werden, nachdem Sie den geforderten Geldbetrag bezahlt haben.

Kunden

Wenn Ihnen ein Anhang verdächtig vorkommt oder Sie etwas ungewöhnliches feststellen, können Sie unseren technischen Support kontaktieren.

Weitere Informationen erhalten Sie auf www.melani.admin.ch

 

Beitrag teilen: