Direkt zum InhaltDirekt zur SucheDirekt zur Navigation
▼ Zielgruppen ▼

Humboldt-Universität zu Berlin - Computer- und Medienservice

Humboldt-Universität zu Berlin | Computer- und Medienservice | Aktuelles und Veranstaltungen | Verschlüsselungstrojaner im Umlauf (Update 07.12.16)

Verschlüsselungstrojaner im Umlauf (Update 07.12.16)

Sicherheitshinweise – Ransomware, Verschlüsselungs-Trojaner, Erpressungs-Trojaner, Locky, TeslaCrypt, KeRanger, PowerWare, Cerber

Update 7.12.2016:

Es wird massiv versucht, einen Verschlüsselungstrojaner zu verbreiten, der sich als Bewerbungsmail ausgibt. Der Anhang ist mit einem Tabellenkalkulationsprogramm zu öffnen, wobei dann die Aufforderung zur Aktivierung der "Bearbeitungsfunktion" erfolgt. An dieser Stelle spätestens sollten Sie diese E-Mail defnitiv löschen.
Nähere Angaben finden Sie in diesem Artikel bei heise online.
 

Update 13.9.2016:
Ein nächster Versuch, Ihre Daten zu verschlüsseln, tarnt sich mit "... New voice mail message ..." im Betreff, einem vermeintlichen Absender der HU und einer Datei namens ...wav.zip im Anhang.
Diese Mail wird automatisch als Spam bewertet - haben Sie den Spam-Filter aktiviert?

Update 4.8.2016:
Erneut werden E-Mails mit einem Verschlüsselungstrojaner an HU-Angehörige verschickt. Der Betreff beginnt mit "Emailing: Document" oder "Emailing: Picture". Bitte verzichten Sie auf das Öffnen des Anhangs!

Update 20.05.2016:

Master-Schlüssel des Erpressungs-Trojaners TeslaCrypt wurde veröffentlicht
Opfer des Trojaners können mithilfe des kostenlosen Tools TeslaDecoder ihre Daten entschlüsseln. Dank des veröffentlichten Master-Schlüssels spielt es keine Rolle, ob TeslaCrypt 1 oder TeslaCrypt 4 verschlüsselt hat: Alle Versionen des Erpressungs-Trojaners lassen sich nun dechiffrieren. Weitere Informationen: Erpressungs-Trojaner TeslaCrypt gibt auf: Master-Schlüssel veröffentlicht (heise)
 



Verschlüsselungs- und Erpressungs-Trojaner im Umlauf

Verschiedene Medien berichten über neue Varianten der Verschlüsselungs- und Erpressungs-Trojaner "Locky" und "TeslaCrypt". Diese Trojaner, als "Ransomware" (englisch: ransom = Lösegeld) bezeichnet, verschlüsseln die Daten des betroffenen Gerätes und fordern für die Entschlüsselung oder Freigabe ein Lösegeld.
Aktuell wird diese Schadsoftware per E-Mail auch an HU-Adressen gesendet. Im Schadensfall sind alle Dateien, auf die Sie Zugriff haben (das können auch Netzlaufwerke, USB-Platten, ... sein), nach einer gewissen Zeit verschlüsselt. Erst nach einem Neustart des Rechners erscheint dann der Hinweis, dass die Daten verschlüsselt sind und die Entschlüsselung nur gegen Bezahlung möglich sein wird.

Bitte öffnen Sie die im Folgenden beschriebenen Dateien nicht!
Virenscanner erkennen diese neuesten Varianten noch nicht!


Bekannt sind E-Mails, die auf Office-Dateien mit Makro-Code (eine Rechnung im "doc" oder "xls"-Format) verweisen, die im Anhang zu finden ist, z.B. in der Form invoice_feb-33261795.doc.

Inzwischen wird der Verschlüsselungs-Trojaner Locky auch über Javascript-Dateien verbreitet, die täuschend echt aussehenden Rechnungs-Mails anhängen. Im Anhang findet sich ein ZIP-Archiv, das eine Javascript-Datei enthält, z.B. in der Form RG843841155137-SIG.zip.
Weitere Varianten sind E-Mails, die vorgeben, ein Fax zu enthalten; ihr Betreff lautet z.B. "Neues Fax von 034205-99***". Oder E-Mails, die angeblich ein von einem Scanner versendetes Bild enthalten; ihr Betreff lautet z.B. "Scanned image" oder "Whitehouse paperwork". Auch bei diesen E-Mails befindet sich ein ZIP-Archiv im Anhang, das eine Javascript-Datei mit Schadcode enthält.

Ferner kursieren E-Mails mit dem Betreff "Offizielle Warnung vor Computervirus Locky", die vermeintlich vom Bundeskriminalamt (BKA) stammen (Absender ist angeblich: impressum-bka-internetauftritt@bka.de), in denen behauptet wird, dass das BKA in Kooperation mit Herstellern von Antiviren-Software einen Sicherheitsratsgeber herausgegeben hat, der erklärt, wie man sich vor dem Erpressungs-Trojaner Locky schützt. Angehängt an diese E-Mails ist ein scheinbares Schutzprogramm des BKA namens "BKA Locky Removal Kit.exe". Bei dieser Datei handelt es sich nicht um ein Schutzprogramm, sondern um einen Trojaner.

Der Erpressungs-Trojaner "KeRanger" verschlüsselt erstmals auch Daten auf Mac OS X Systemen. Die Schadsoftware versteckt sich u.a. im BitTorrent-Client Transmission. Betroffen ist die Version 2.90. Die Installation der Transmission Version 2.92 entfernt die Schadsoftware. Informationen dazu finden Sie im Artikel KeRanger: Erste Ransomware-Kampagne bedroht Mac OS X von heise online.

Der Verschlüsselungs-Trojaner "PowerWare" infiziert Windows-PCs nicht über Schadcode in Form einer .exe-Datei, sondern missbraucht die Windows PowerShell. Siehe dazu den Artikel Neue Infektions-Masche: Erpressungs-Trojaner missbraucht Windows PowerShell von heise online.
 


 

Weitere Informationen finden Sie auf den folgenden Websites von heise online und dem Bundesamt für Sicherheit in der Informationstechnik (BSI):


Vorsorge gegen Krypto-Trojaner

  • Legen Sie regelmäßig Backups Ihrer wichtigen Dateien an. Der Backup-Datenträger darf nicht dauerhaft mit dem Rechner verbunden sein, da er sonst ebenfalls verschlüsselt wird.
  • Halten Sie Ihre System (insbesondere Betriebssystem, Office, Browser und Plug-ins) auf dem aktuellen und somit sichersten Stand.
  • Stellen Sie sicher, dass Ihr System von einem Virenscanner geschützt wird, der auf aktuelle Signaturen zurückgreift. Ab Windows 8 ist das Schutzprogramm Defender vorinstalliert.
  • Konfigurieren Sie Microsoft Office so, dass Makro-Code gar nicht oder erst nach einer Rückfrage ausgeführt wird (siehe die Bilderstrecke im Artikel von heise online).
  • Lassen Sie Makro-Code nur bei Dokumenten aus vertrauenswürdigen Quellen zu – und auch nur dann, wenn es unbedingt notwendig ist.
  • Öffnen Sie keine Dateianhänge von Mails, an deren Vertrauenswürdigkeit auch nur der geringste Zweifel besteht. Nehmen Sie sich insbesondere vor Rechnungs-Mails in Acht, die Sie nicht zuordnen können.
  • Starten Sie keine ausführbaren Dateien, an deren Vertrauenswürdigkeit Sie zweifeln.

Die o.g. Hinweise zur Vorsorge stammen aus dem Artikel Krypto-Trojaner Locky: Was tun gegen den Windows-Schädling von heise online.

 


 

Wie können Sie sich in dem Fall – die Schadsoftware kommt per E-Mail - schützen?
Bewerten Sie mehrere Komponenten einer E-Mail:
Kenne ich den Absender?
Der formal sichtbare Absender ist kein Beweis dafür, dass die E-Mail von diesem Absender stammt!
Wie sehen die Empfänger aus, warum sind es so viele?
Ist der Betreff aussagefähig, passt er zum Inhalt der E-Mail?
Wird im Text auf Anhänge und deren Zweck hingewiesen?
Habe ich ähnliche E-Mails schon mehrfach von diesem oder anderen Absendern erhalten?
Wenn nicht klar ist, warum Sie einem Link folgen oder einen Anhang öffnen sollen, dann tun Sie es nicht, fragen Sie sicherheitshalber beim Absender nach.

Konkrete Hinweise zu den bisher vorliegenden E-Mails, die aktuell die Schadsoftware enthalten:
Wir haben den Verdacht, dass der Absender und die Empfänger-Adressen aus kompromittierten Mailkonten (Adressbücher) stammen, so dass diese E-Mail an einen mehr oder weniger in sich bekannten Empfängerkreis gerichtet ist, und damit „vertrauensvoll“ erscheint.
Der Betreff beinhaltet nur ein Datum, aber wie sinnvoll ist das denn überhaupt? Jetzt ist das Löschen der E-Mail schon empfehlenswert.
Der Text der E-Mail enthält wieder nur das Datum.
Im Anhang liegt eine zip-Datei. Also Finger weg, „Neugier“ ist hier ein ernstes Sicherheitsrisiko!

Tipp:
Diese E-Mails wurden bisher automatisch alle als SPAM bewertet. SPAM-E-Mails können direkt in den Ordner „AutoCleanSpam“ zugestellt werden, so dass sie gar nicht im Posteingang erscheinen. Bei der Durchsicht des Ordners „AutoCleanSpam“ ist man dann vermutlich sowieso kritischer.
Um dieses Verfahren für SPAM-E-Mails zu aktivieren, müssen Sie lediglich diesem Verfahren zustimmen, was Sie jederzeit auf unserer Webseite zur Einrichtung einer Weiterleitung, Abwesenheitsbenachrichtigung und Filterverwaltung nachholen können: https://forward.cms.hu-berlin.de


Für weitere Informationen wenden Sie sich bitte an die DV-Beauftragten in Ihrer Einrichtung.

Wenn es schon zu spät ist:
Schalten Sie Ihren Computer unverzüglich aus!
Wenden Sie sich umgehend an die DV-Beauftragten in Ihrer Einrichtung.