Kriminelle liefern mit E-Mail Ransomware statt Upgrade auf Windows 10 aus

Kriminelle nutzen das Interesse der Nutzer an Windows 10 aus, um Anwendern mit einer vermeintlich von Microsoft stammenden Mail Malware unterzujubeln. Davor hat jetzt Cisco gewarnt. Die Experten des Unternehmens haben gefälschte Mails entdeckt, die Empfänger mit einem Upgrade auf Windows 10 locken, tatsächlich aber den Trojaner CTB-Locker ausliefern. Der gehört zur Gattung der Ransomware und verschlüsselte Dateien auf der Festplatte. Für deren Freigabe soll binnen 96 Stunden Geld an die Kriminellen bezahlt werden. Ob selbst danach eine Entschlüsselung der Dateien möglich ist, ist allerdings fraglich.

Die E-Mails scheinen vom Absender update@microsoft.com zu stammen und locken in der Betreffzeile mit „Windows 10 Free Update“. Im Anhang bringen sie eine Datei namens Win10Installer mit. Klicken Nutzer darauf, startet der Trojaner. Für Glaubwürdigkeit sorgen soll zudem der unter jeder Mail befindliche Zusatz, dass sie mit „MailScanner“ überprüft und für virenfrei befunden wurde. Im Design lehnt sich die Mail an das von Microsoft für Windows 10 verwendete Blau an. Zahlreiche Darstellungsfehler sollten Nutzer dennoch stutzig werden lassen.

Opfern räumt CTB-Locker 96 Stunden ein, um das Lösegeld für ihre verschlüsselten Daten zu bezahlen (Screenshot: Cisco).

Für das Verschlüsseln der Dateien verwenden die Angreifer die Ransomware CTB-Locker. CTB-Locker verwendet eine asymmetrische Verschlüsselung, wobei der entsprechende Schlüssel nicht auf dem infizierten System hinterlegt wird. Die Kriminellen, die Cisco in Thailand vermutet, versuchen durch den Einsatz von Tor und Bitcoin anonym zu bleiben.

Nachdem Ransomware zunächst in erster Linie in Russland und seinen Nachbarländern in Umlauf war, breitet sich diese Form der Cyberkriminalität in letzter Zeit weltweit aus. Anfang des Jahres tauchte beispielsweise eine neue Version von Cryptowall auf. Die verteilt sich ebenfalls über E-Mails, aber auch über Online-Anzeigen. Auch Cryptowall 3.0 verschlüsselt die Dateien eines Nutzers. Die Schadsoftware zeigt dann eine Website an, auf der er aufgefordert wird, innerhalb von sieben Tagen 500 Dollar in Bitcoins zu zahlen, um die Daten wieder freizuschalten. Nach Ablauf dieser ersten Frist erhöht sich das Lösegeld auf 1000 Dollar.

Im August 2014 warnte Kaspersky vor der Erpresser-Malware Zerolocker. Sie ist vergleichbar mit und kann Dateien mit einem starken Algorithmus verschlüsseln. Zerolocker verschlüsselt allerdings nicht selektiv, sondern unabhängig vom Dateityp nahezu alle Dateien eines Systems.

Betroffenen empfehlen Experten, grundsätzlich nicht zu zahlen. Denn in den seltensten Fällen würde daraufhin tatsächlich der Schlüssel zur Dechiffrierung preisgegeben. Eine Möglichkeit ist es, das im Mai vom Sicherheitsforscher Jada Cyrus zusammengestellte Ransomware Response Kit zu nutzen. Es ist allerdings vor allem für Systemadministratoren und IT-Profis gedacht, setzt also einige Erfahrung voraus.

Cyrus empfiehlt, nach Möglichkeit zunächst eine Kopie für spätere Analysen anzufertigen. Alternativ sollte geprüft werden, ob Backups für eine Wiederherstellung eines Zustands vor der Infektion vorhanden sind.

Für Entschlüsselungsversuche ist es entscheidend, die Identität des Schadprogramms zu erkennen, da Dateien sonst unbrauchbar gemacht werden könnten. Das Response Kit enthält Entfernungstools mehrerer Anbieter, darunter zwei für CryptLocker und je eines für FBIRansomWare, CoinVault sowie die CryptoLocker-Variante TeslaCrypt. Dazu kommt das universell ausgelegte TrendMicro Ransomware Removal Tool.

HIGHLIGHT

Windows 10 ab Juli verfügbar: So funktioniert die Installation

Mit Windows 10 geht Microsoft komplett andere Wege in Sachen Installation und Lizenzierung. Erstmalig ist ein Update nicht nur mit der direkten Vorversion möglich, sondern auch mit älteren Windows-Varianten. Der folgende Beitrag skizziert Upgrade-Möglichkeiten und bietet Tipps und Tricks zur Installation von Windows 10.

[mit Material von Andre Borbe, silicon.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Peter Marwan

Für ZDNet veröffentlicht Peter immer wieder Beiträge zum Thema IT Business.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago