Shade: Kaspersky warnt vor Erpresser-Malware

(Bild: Tashatuvango / Shutterstock.com)

Vor allem PC-Nutzer aus dem deutschsprachigen Raum und Russland sollten wieder besondere Vorsicht walten lassen. Kaspersky Lab warnt derzeit vor "Shade", einer Ransomware, welche die Dateien des betroffenen Rechners verschlüsselt und das Opfer damit erpresst, den Befall erst gegen Zahlung eines Geldbetrags wieder rückgängig zu machen.

Konkret ergänzt „Shade“ zur Verschlüsselung die Endungen der Dateien in .xtbl und .ytbl. Verbreitet wird die Erpressersoftware wie so oft über infizierte Anhänge in Spam-Mails. Man kann sich in der Regel also zumindest in gewohnter Weise durch gesunden Menschenverstand davor schützen. Das wissen allerdings auch Kriminelle im Netz, weswegen die Hintermänner die Schadsoftware zusätzlich via Drive-by-Download auf den PC bringen. Dazu reicht es, eine legale, aber befallene Website aufzurufen, wenn der Browser Schwachstellen hat. Das Opfer muss in diesem Fall also gar nichts selbst tun, um sich zu infizieren.

Lies auch: NSA wollte Malware über Google Play Store verbreiten

„Im Falle von Trojan-Ransom.Win32.Shade haben wir nicht nur typische Erpressungstechniken beobachtet, sondern auch ein Bot-ähnliches Verhalten“, erklärt Fedor Sinizyn, Senior Malware Analyst bei Kaspersky Lab. Das heißt, die Schadsoftware fordert im Hintergrund bei einem Kommandoserver den Nachschub zusätzlicher Schadsoftware an. Dazu zählt auch ein Trojaner, der gezielt für Bruteforce-Attacken verwendet wird, um Passwörter für Webseiten durch Ausprobieren tausender Möglichkeiten zu knacken.

Die Autoren von Shade verwenden das anonymisierte Tor-Netzwerk. Auch den RSA-3072-Schlüssel, mit dem Dateien auf dem befallenen Rechner verschlüsselt werden, erhält Shade auf diesem Wege vom Befehlsserver. Kommt keine Verbindung mit dem Command-and-Control-Server zustande, setzt die Malware laut Kaspersky einen von 100 Schlüsseln ein, die sie bereits mitbringt.

Lies auch: Ins0mnia: Sicherheitslücke in iOS erlaubt Ausspionieren der Nutzer

Um einer Infektion mit Shade vorzubeugen, empfiehlt Kaspersky Anwendern, keine Anhänge von unbekannten E-Mails zu öffnen, Betriebssystem und Software stets auf dem neuesten Stand zu halten und ein aktuelles Virenschutzprogramm einzusetzen. Ohne eine gründliche Desinfektion verbleibe zudem auch nach der Entfernung von Shade auf dem System eine Reihe von Schadprogrammen.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Tags :Quellen:Kaspersky LabVia:Mit Material von Peter Marwan, ITespresso.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising