Bundeskriminalamt

Startseite | Notrufnummern | Kontakt | Impressum

Wir über uns

Prävention

Betrug im Internet

Fahndung

Presse

Berichte und Statistiken

Kontakt und Meldestellen

Links

IT-Sicherheit

Neuer auftretender Verschlüsselungs-Trojaner (Ransomware) machen Daten unwiederbringlich unbrauchbar

Art der Bedrohung: Verschlüsselung von Privat- und Firmendaten mit anschließender Erpressung zur Bezahlung eines Geldbetrages in Form von BitCoin zur Erlangung des Entschlüsselungs-Codes/Programms.

Modus Operandi: Derzeit vergeht kaum eine Woche, in welcher nicht neue Arten von Schadsoftware in Österreich auftauchen. Während viele noch die Nachwirkungen von CryptoLocker und Cerber im Kopf haben, schlägt bereits eine in Österreich neue Schadsoftware zu.

Die derzeit auftretenden Varianten der Ransomware benennen sich Vegclass@aol.com, Salazar-Slytherin10@yahoo.com, usw., der eigentliche Schadcode dürfte dabei jedoch auf die aus Russland stammende Ransomware "Troldesh" zurück zu führen sein.

"Troldesh" verschlüsselt, ebenso wie die jetzt aktuellen Versionen der Ransomware, sämtliche Benutzerdaten mit einer ".xtbl-Extension", wobei die heutige Verschlüsselung sämtliche angeschlossene und beschreibbare Peripherie-Geräte sowie das gesamte Netzwerk betrifft.

Die nunmehrigen Versionen ergänzen dabei den Namen mit ihrer eigenen "Signatur", wie z.B. vegclass@aol.com.xtbl oder ecovector3@aol.com.xtbl. Obwohl verschiedene Varianten der Ransomware mit unterschiedlichen Mailadressen gemeldet wurden, wird von Experten angenommen, dass es sich aufgrund der Verwendung gleicher Hintergrundbilder und Vorgangsweise sowie dem sehr ähnlichen Schadcode, um die gleiche Tätergruppe(n) handelt.

Eine Infektion mit der angeführten Schadsoftware findet auf unterschiedlichste Art und Weise statt, zumeist aber durch aktives Zutun des Benutzers. Das Öffnen von unbekannten Anhängen in nicht vertrauenswürdigen E-Mails oder das Herunterladen von Dateien aus unbekannten Quellen wie z.B. einer fremden DropBox kann ebenso als Auslöser gelten, wie der Aufruf zu einem nicht verifizierten Web-Link, wie er zahlreich in SPAM-Mails oder den berichteten DHL- und Post-Verständigungs-Mails vorhanden ist.

Im Falle des vegclass@aol.com.xtbl wird der Geschädigte aufgefordert, eine E-Mail mit drei verschlüsselten Dateien im Anhang zu senden. Dies benutzen die Täter offensichtlich, um beweisen zu können, dass eine Entschlüsselung der Daten (nach Bezahlung der Erpressungssumme) möglich ist.

Wir raten derart geforderte Zahlungen, die letzten Forderungen lagen nach unserem Wissen im Bereich von 4 BitCoin (bei stark wechselndem Kurs dzt. rund 2.500 Euro), nicht zu leisten. Eine Bezahlung sollte das allerletzte Mittel sein, wenn Sie auf die verschlüsselten Daten keinesfalls verzichten können. Eine Wiederherstellung oder Entschlüsselung der Daten ohne dem erforderlichen "Key" ist auf Grund der hohen Qualität der Verschlüsselung derzeit nahezu unmöglich.

Empfohlene Vorgangsweisen:
* Seien Sie vorsichtig beim Erhalt von E-Mails, deren Absender Sie nicht kennen oder wenn Sie keine entsprechenden Mitteilungen erwarten.
* Achten Sie auf die Schreibweise und Rechtschreibung solcher Nachrichten, Täter verwenden hier gerne Übersetzungsprogramme, wodurch der Betrug leicht erkennbar ist.
* Öffnen Sie keinesfalls Ihnen unbekannte Dateianhänge, ohne sich vorher von deren "Echtheit" zu überzeugen.
* Wenn Sie sich unsicher sind, öffnen Sie derartige Dateien in einer gesicherten Umgebung (Sandbox, virtuelle Systeme mit Option auf Rücksetzung) oder bedienen Sie sich unterstützenden Seiten im Internet (z.B. Virustotal.com).
* Ändern Sie regelmäßig Ihre Zugangsdaten, verwenden Sie unterschiedliche und komplexe Passwörter für verschiedene Accounts und Anwendungen.
* Beschränken Sie die Benutzerrechte der jeweiligen User so weit als möglich und arbeiten Sie nur unter dem Administrator-Account, wenn dies unbedingt notwendig ist.
* Wir raten den geforderten Betrag nicht zu bezahlen, es sei denn, dass die Wiederherstellung der Daten für Sie unumgänglich ist. Eine Garantie auf eine solche, selbst nach Bezahlung, gibt es nicht! Eine letztendliche Entscheidung darüber müssen Sie für sich selbst treffen.
* Beachten Sie die Sicherheitshinweise und Tipps, für einen Sicheren Umgang mit dem Internet und Schutz vor IT-Kriminalität der Kriminalprävention: http://www.bmi.gv.at.
* Verwenden Sie bei der Kontaktaufnahme mit dem Täter keinesfalls Mail-Adressen von Firmen; dies könnte eine höhere Forderung des "erpressten Lösegeldes" mit sich ziehen.
* Legen Sie sich eine BackUp-Strategie Ihrer Daten zu. Trennen Sie das BackUp-Medium nach der Sicherung vom System und lösen Sie Share-Links zu BackUp Servern nach erfolgter Sicherung wieder auf. Beachten Sie unbedingt, dass sonst in den meisten Fällen auch sämtliche BackUp-Files von der Verschlüsselung betroffen und somit nicht wiederherstellbar sind!

Vorgehen im Schadensfall:
* Trennen Sie die betroffenen Geräte vom Netz und schalten Sie diese aus
* Erstatten Sie umgehend Anzeige auf der nächsten Polizeidienststelle
* Für weitere Informationen kontaktieren Sie die Cybercrime-Meldestelle im Bundeskriminalamt:
Tel. (24h): +43-1-24836-986500; Email: against-cybercrime@bmi.gv.at

Weiterführende Links:


Foto BK Mali Abdruck honorarfrei

Symbolfoto


Bild anzeigen
Druckansicht

(BM.I Abdruck honorarfrei)

Artikel Nr: 13894 vom Montag, 08. August 2016, 08:46 Uhr.
Reaktionen bitte an die Redaktion

Zurück

BM.I Bundesministerium für Inneres - Bundeskriminalamt, 1090 Wien, Josef-Holaubek Platz 1, Tel.: +43-1-24836 Dw. 985025-985027 

BM.I Sicherheits-App