Kriminelle liefern mit E-Mail Ransomware statt Upgrade auf Windows 10 aus

Kriminelle nutzen das Interesse der Nutzer an Windows 10 aus, um Anwendern mit einer vermeintlich von Microsoft stammenden Mail Malware unterzujubeln. Davor hat jetzt Cisco gewarnt. Die Experten des Unternehmens haben gefälschte Mails entdeckt, die Empfänger mit einem Upgrade auf Windows 10 locken, tatsächlich aber den Trojaner CTB-Locker ausliefern. Der gehört zur Gattung der Ransomware und verschlüsselte Dateien auf der Festplatte. Für deren Freigabe soll binnen 96 Stunden Geld an die Kriminellen bezahlt werden. Ob selbst danach eine Entschlüsselung der Dateien möglich ist, ist allerdings fraglich.

Die E-Mails scheinen vom Absender update@microsoft.com zu stammen und locken in der Betreffzeile mit „Windows 10 Free Update“. Im Anhang bringen sie eine Datei namens Win10Installer mit. Klicken Nutzer darauf, startet der Trojaner. Für Glaubwürdigkeit sorgen soll zudem der unter jeder Mail befindliche Zusatz, dass sie mit „MailScanner“ überprüft und für virenfrei befunden wurde. Im Design lehnt sich die Mail an das von Microsoft für Windows 10 verwendete Blau an. Zahlreiche Darstellungsfehler sollten Nutzer dennoch stutzig werden lassen.

Opfern räumt CTB-Locker 96 Stunden ein, um das Lösegeld für ihre verschlüsselten Daten zu bezahlen (Screenshot: Cisco).

Für das Verschlüsseln der Dateien verwenden die Angreifer die Ransomware CTB-Locker. CTB-Locker verwendet eine asymmetrische Verschlüsselung, wobei der entsprechende Schlüssel nicht auf dem infizierten System hinterlegt wird. Die Kriminellen, die Cisco in Thailand vermutet, versuchen durch den Einsatz von Tor und Bitcoin anonym zu bleiben.

Nachdem Ransomware zunächst in erster Linie in Russland und seinen Nachbarländern in Umlauf war, breitet sich diese Form der Cyberkriminalität in letzter Zeit weltweit aus. Anfang des Jahres tauchte beispielsweise eine neue Version von Cryptowall auf. Die verteilt sich ebenfalls über E-Mails, aber auch über Online-Anzeigen. Auch Cryptowall 3.0 verschlüsselt die Dateien eines Nutzers. Die Schadsoftware zeigt dann eine Website an, auf der er aufgefordert wird, innerhalb von sieben Tagen 500 Dollar in Bitcoins zu zahlen, um die Daten wieder freizuschalten. Nach Ablauf dieser ersten Frist erhöht sich das Lösegeld auf 1000 Dollar.

Im August 2014 warnte Kaspersky vor der Erpresser-Malware Zerolocker. Sie ist vergleichbar mit und kann Dateien mit einem starken Algorithmus verschlüsseln. Zerolocker verschlüsselt allerdings nicht selektiv, sondern unabhängig vom Dateityp nahezu alle Dateien eines Systems.

Betroffenen empfehlen Experten, grundsätzlich nicht zu zahlen. Denn in den seltensten Fällen würde daraufhin tatsächlich der Schlüssel zur Dechiffrierung preisgegeben. Eine Möglichkeit ist es, das im Mai vom Sicherheitsforscher Jada Cyrus zusammengestellte Ransomware Response Kit zu nutzen. Es ist allerdings vor allem für Systemadministratoren und IT-Profis gedacht, setzt also einige Erfahrung voraus.

Cyrus empfiehlt, nach Möglichkeit zunächst eine Kopie für spätere Analysen anzufertigen. Alternativ sollte geprüft werden, ob Backups für eine Wiederherstellung eines Zustands vor der Infektion vorhanden sind.

Für Entschlüsselungsversuche ist es entscheidend, die Identität des Schadprogramms zu erkennen, da Dateien sonst unbrauchbar gemacht werden könnten. Das Response Kit enthält Entfernungstools mehrerer Anbieter, darunter zwei für CryptLocker und je eines für FBIRansomWare, CoinVault sowie die CryptoLocker-Variante TeslaCrypt. Dazu kommt das universell ausgelegte TrendMicro Ransomware Removal Tool.

HIGHLIGHT

Windows 10 ab Juli verfügbar: So funktioniert die Installation

Mit Windows 10 geht Microsoft komplett andere Wege in Sachen Installation und Lizenzierung. Erstmalig ist ein Update nicht nur mit der direkten Vorversion möglich, sondern auch mit älteren Windows-Varianten. Der folgende Beitrag skizziert Upgrade-Möglichkeiten und bietet Tipps und Tricks zur Installation von Windows 10.

[mit Material von Andre Borbe, silicon.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Peter Marwan

Für ZDNet veröffentlicht Peter immer wieder Beiträge zum Thema IT Business.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago