Kaspersky - Teslacrypt attackiert Gamer in Deutschland

Erstellt am 5. August 2015 von Eplaytv @eplaytv

Heute auf der Pressekonferenz von Kaspersky, mussten wir leider etwas schreckliches erfahren, was euch auch betrifft. Denn jedem kann dieses passieren und deshalb warnt Kaspersky davor und möchte euch dieses genauer Beschreiben.

Teslacrypt ist eine Erpresser-Software, die sich speziell an Gamer wendet. Von allen seit Beginn des Jahres 2015 weltweit von Kaspersky Lab abgewehrten Teslacrypt-Attacken gingen 19,07 Prozent auf das Konto deutscher Kaspersky-Kunden. Zudem weist der Cybersicherheitsexperte auf eine neue Entwicklung bei Teslacrypt hin: So gibt sich die Version 2.0 der unter Gamern berüchtigten Erpresser-Software im Internet als die bekanntere und gefürchtete Ransomware Cryptowall 3.0 aus.

Offenbar versprechen sich die hinter Teslacrypt steckenden Cyberkriminellen so ein höheres Bedrohungspotenzial: Denn mit Teslacrypt verschlüsselte Dateien ließen sich in der Vergangenheit mit Tricks wiederherstellen, ohne auf die Forderungen einzugehen, während Cryptowall nicht entschlüsselt werden konnte. Das Lösegeld für die Entschlüsselung beträgt 500 US-Dollar, also etwa 450 Euro. Es verdoppelt sich, wenn die Opfer nicht rechtzeitig reagieren.

"Teslacrypt wurde erstmals im Februar 2015 entdeckt. Von Beginn an standen Gamer im Fokus. Der Trojaner verschlüsselt vor allem diverse, für Spiele genutzte lokale Dateien, die jedoch nicht größer als 268 Megabyte sind", sagt Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab. "Neben Spielständen werden auch Dateiarten verschlüsselt, die zur Ausführung des Spiels erforderlich sind. Solange der Schädling nicht hundertprozentig von einem System entfernt ist, helfen auch Neuinstallationen von Spielen nicht, da die betreffenden Dateien sofort wieder verschlüsselt werden.“

So operiert Teslacrypt

Teslacrypt erzeugt bei jeder Infektion eine neue Bitcoin-Adresse, über die dann die Lösegeldzahlung abgewickelt wird. Im Gegenzug wird dem Opfer anschließend der Schlüssel zur Entschlüsselung angeboten. Dabei verwendet Teslacrypt in der Version 2.0 zwei Arten von Schlüsseln: Die „Master-Schlüssel“ werden einmalig pro infiziertem System vergeben, während "Session-Schlüssel“ bei jedem Neustart des Schadprogramms neu generiert werden. Der für die Verschlüsselung der Dateien verwendete Schlüssel wird nicht auf der Festplatte gespeichert, was die Entschlüsselung deutlich erschwert. Die von Teslacrypt genutzten Command-and-Control-Server (C&C) liegen im Tor-Netzwerk.

Die Malware der Teslacypt-Familie verbreitet sich über die Explit_kits Angler, Sweet Orange und Nuclear, welche auf legitime Webseiten durch Hacks platziert werden. Die Exploit Kits tragen oftmals eine Vielfalt von Schadcodes, welche Schwachstellen von Browsern oder Browser-Plugins aunutzen, und so die Malware verbreiten.

"Teslacrypt will Nutzer, insbesondere Gamer, in erster Linie täuschen und einschüchtern. So gab bereits eine frühere Version vor, die Dateien seien mit dem Algorithmus RSA-2048 verschlüsselt worden, um deutlich zu machen, dass an der Lösegeld-Zahlung kein Weg vorbei führt. Tatsächlich wurde jedoch die symmetrische Verschlüsselung AES-256 verwendet. Die Angreifer finden wohl Gefallen an der gezielten Täuschung der Opfer", erklärt Christian Funk. "In der Version 2.0 gibt Teslacrypt vor, die Opfer seien von Cryptowall infiziert worden. In diesem Fall wäre eine Entschlüsselung nach derzeitigem Stand unmöglich. Alle Links führen aber zu einem Teslacrypt-Server, denn die Urheber von Teslacrypt wollen ihre Lösegelder natürlich nicht an die kriminelle Konkurrenz abführen.“

So solltet ihr euch dagegen schützen

Kaspersky Lab rät, von allen wichtigen Dateien regelmäßig Backups anzufertigen und diese auf Speichermedien abzulegen, die ansonsten nicht mit dem System verbunden sind.

Nutzer sollten besonders Browser und deren Plugins sowie alle anderen Softwareprodukte immer aktuell halten und neue Versionen sofort installieren.

Sollte der Rechner trotzdem mit Schadsoftware konfrontiert werden, kann diese von einer installierten aktuellen Schutzlösung wie Kaspersky Internet Security – Multi-Device erkannt und unschädlich gemacht werden.

Die Lösungen von Kaspersky Lab identifizieren die Teslacrypt-Schadprogramme unter dem Namen „Trojan-Ransom.Win32.Bitman“. Zusätzlich verfügen sie über eine Technologie [3], die bei jedem verdächtigen Zugriff auf Dateien sofort eine Kopie anlegt, mit der die Daten im Ernstfall wiederhergestellt werden können.

Quelle: Pressemitteilung