Ransomware – TeslaCrypt, Locky, Torrentlocker, CryptoLocker – jetzt erkennen und sich schützen

 In Allgemein, Entwicklung, Sicherheit

Ransomware, auch Erpressungstrojaner oder Kryptotrojaner, sind Schadprogramme, mit deren Hilfe ein Eindringling eine Zugriffs- oder Nutzungsverhinderung der Daten sowie des gesamten Computersystems erwirkt. Dabei werden private Daten auf einem fremden Computer verschlüsselt, oder der Zugriff auf sie wird verhindert, um für die Entschlüsselung oder Freigabe ein „Lösegeld“ zu fordern. Ihre Bezeichnung setzt sich zusammen aus ransom, dem englischen Wort für Lösegeld, und ware, entsprechend dem für verschiedene Arten von Computerprogrammen üblichen Benennungsschema (Software, Malware etc.). Im zweiten Quartal 2012 gab es laut Kindsight Security etwa 123.000 neue Varianten. (Quelle: Wikipedia)

Mittlerweile sind die Medien voll von Meldungen. Bis zu 5000 Systeme pro Stunde soll alleine die Ransomware „Locky“ infizieren, so laut dem Bericht von heise – Krypto-Trojaner Locky wütet in Deutschland: Über 5000 Infektionen pro Stunde.

In Fürth hat es ein Krankenhaus erwischt, das Fraunhofer-Institut blieb nicht verschont aber auch andere Unternehmen und Privatpersonen sind betroffen. Der Erpressungs-Trojaner Locky verschlüsselt nicht nur Dateien auf dem infizierten Rechner, sondern auch alles, was er über das Netzwerk erreicht. Laut BleepingComputer erreicht der Schädling sogar Netzwerkfreigaben, die aktuell nicht ins System eingebunden sind. Auch vor Cloud-Speichern macht Locky nicht Halt: Werden Ordner des infizierten Rechners mit der Cloud synchronisiert, werden automatisch die online gespeicherten Originale der Dateien durch die verschlüsselten Varianten ersetzt.

Gerade Privatpersonen haben meistens keine Datensicherung und sind der Ransomware somit hilflos ausgeliefert.
Die Verbreitung der Ransomware findet in den meisten Fällen per E-Mail statt.
Die Mails werden mit einem Anhang verschickt und geben sich in der meistens als Rechnungen aus. Solche E-Mails habe ich selbst in letzter Zeit sehr oft erhalten.

Wie Experten berichteten, hebelt der Trojaner auch Sicherheitseinstellungen in Microsoft Outlook aus.  Durch eine aktuell veränderte Verbreitungsmethode werde der Schädling auch von Antiviren-Programmen derzeit nicht erkannt.

Möglicherweise schlummert Locky oder andere Ransomware bereits eine Weile auf dem inifzierten Rechner, ehe diese Anfang vergangener Woche zentral den Befehl zur Verschlüsselung bekommen habe, meint Heise Online.

Es ist zu empfehlen

– Die erhaltenen E-Mails und geöffneten Webseiten mit größter Sorgfallt zu prüfen.
– Eine Datensicherung der eigenen Daten auf eine ext. Festplatte zu erstellen.
– Die Antiviren-Software auf de aktuellsten Stand zu halten.
– Bei einer Infektion, daie Fesptlatte herauszunehmen & die Daten zu sichern.
– Überprüfe die Schattenkopien, wenn diese nicht gelöscht wurden, besteht eine Möglichkeit der Datenwiederherstellung.

TeslaCrypt 2.0 kann entschlüsselt werden

Dateien die noch mit der Version 2.0 von TeslaCrypt verschlüsselt wurden, können ohne die Bezahlung von Lösegeld wieder entschlüsselt werden.
Zum Hintergrund: TeslaCrypt verschlüsselt die Dateien selbst mit einem symmetrischen AES-Schlüssel. Ohne den kommt man also nicht mehr an die Daten. Dieser AES-Schlüssel steht aber im Kopf jeder verschlüsselten Datei – und ist dort zumindest bei TeslaCrypt 2 zum Glück eher verschwurbelt als verschlüsselt. Man muss also letztlich nur den AES-Schlüssel entschwurbeln und damit dann die Dateien wieder entschlüsseln.

Eine Anleitung findest du auf heise – TeslaCrypt 2.0 entschlüsselt.

Maßnahmen die getroffen werden können um sich vor „Locky, TeslaCrypt & Co“ zu schützen.

Der Ransomware File Watcher überwacht Ihr komplettes System in Echtzeit auf Ransomware, wie zum Beispiel die aktuellen Schädlinge TeslaCrypt, Locky, Torrentlocker, CryptoLocker und andere.

Laufwerke
– Es werden alle zur Zeit des Programmstarts eingebundene Laufwerke in Echtzeit überwacht. Selbstverständlich auch die Netz- und USB-Laufwerke.

Dateiendungen
– Aktuell werden über 48 Dateiendungen erkannt.

Benachrichtigung & Sicherheit
– Wird eine Ransomware-Aktion erkannt, erhalten Sie automatisch eine E-Mail mit alles notwendigen Angaben.
– Auf Wunsch werden Log-Dateien geschrieben.
– Optional können Sie das System bei einer Infektion automatisch herunterfahren lassen um weiteren Schaden zu verhinden.
– Alle Einstellungen werden in der „Settings.ini“ hinterlegt. Ihr Passwort wird natürlich AES256bit verschlüsselt gespeichert.
– Der Ransomware File Watcher kann in den Autostart hinzugefügt werden. Alternativ können Sie auch eine Aufgabe erstellen.


Kostenlos für private und gewerbliche Nutzung
Systemvoraussetzung: Windows XP\7\10\2008\2010\2012 & Microsoft .NET Framework 4.5.2

Downoad: zu dem Download


Virus Total Prüfung (Eventuell muss in GData & Qihoo-360 eine Ausnahme für „Ransomware File Watcher“ erstellt werden.)

SHA256:1f0a5699a0bb2c78cde9687325c3ac29ead69d1d8db5e7590d1b2c9c0605ada8
Dateiname:Ransomware-File-Watcher.exe
Erkennungsrate:2 / 54
Analyse-Datum:2016-02-22 20:17:35 UTC ( vor 4 Minuten )
AntivirusErgebnisAktualisierung
GDataWin32.Trojan-Ransom.Filecoder.P@gen20160222
Qihoo-360HEUR/QVM03.0.Malware.Gen20160222
ALYac 20160222
AVG 20160222
AVware 20160222
Ad-Aware 20160222
AegisLab 20160222
Agnitum 20160221
AhnLab-V3 20160222
Alibaba 20160222
Antiy-AVL 20160222
Arcabit 20160222
Avast 20160222
Avira 20160222
Baidu-International 20160221
BitDefender 20160222
Bkav 20160222
ByteHero 20160222
CAT-QuickHeal 20160222
CMC 20160222
ClamAV 20160222
Comodo 20160222
Cyren 20160222
DrWeb 20160222
ESET-NOD32 20160222
Emsisoft 20160222
F-Prot 20160222
F-Secure 20160222
Fortinet 20160222
Ikarus 20160222
Jiangmin 20160222
K7AntiVirus 20160222
K7GW 20160222
Kaspersky 20160222
Malwarebytes 20160222
McAfee 20160222
McAfee-GW-Edition 20160222
MicroWorld-eScan 20160222
Microsoft 20160222
NANO-Antivirus 20160222
Panda 20160222
Rising 20160222
SUPERAntiSpyware 20160222
Sophos 20160222
Symantec 20160222
Tencent 20160222
TheHacker 20160222
TrendMicro 20160222
TrendMicro-HouseCall 20160222
VBA32 20160222
VIPRE 20160222
ViRobot 20160222
Zillya 20160222
Zoner 20160222
nProtect 20160222



Beginnen Sie mit der Eingabe und drücken Sie Enter, um zu suchen