Erpressungstrojaner im Internet unterwegs: die CryptoLocker-Malware

Bei CryptoLocker handelt es sich um eine neue Variante von Ransomware, die verschiedene Dateien auf dem Computer eines Benutzers verschlüsselt und vom Eigentümer des Rechners verlangt, die Autoren der Malware für die Entschlüsselung zu bezahlen. Bei den betroffenen Dateien handelt es sich um Dokumente, Bilder, Datenbanken und vieles andere mehr.

 

So kannst du den Trojaner erkennen

Die CryptoLocker Malware-Dateien verbreiten sich vor allem über gefälschte Emails, die das Aussehen von seriösen Unternehmen nachahmen, sowie über falsche Versandbenachrichtigungen von FedEx und UPS. Außerdem wurde davon berichtet, dass auf einigen betroffenen Rechnern die Malware nach einer vorherigen Infektion über ein Botnet auftrat, wie es häufig durch Cyberkriminelle genutzt wird [CERT US].

Du kannst leicht feststellen, ob du von der Malware betroffen bist. Nach einiger Zeit erscheint das folgende Fenster auf deinem Bildschirm. In diesem Fenster wird dir angezeigt, zu welchem Zeitpunkt der private Schlüssel zerstört wird, sowie die verbleibende Zeit bis zur Zerstörung. Bei der angegebenen Zeitspanne handelt es sich um rund 3 Tage nach der Infektion (zwischen 70-80 Stunden).

cryptolocker

Die Cyberkriminellen geben vor, sie seien im Besitz der einzigen Kopie des Entschlüsselungscodes, der nur auf ihren Servern, nicht jedoch auf deinem Computer gespeichert sei. Dadurch kannst du deine Dateien nicht ohne ihre Hilfe entschlüsseln, wobei dich die Unterstützung 300 EUR/USD oder 2 Bitcoins kostet.

cryptolock1 cryptolock2 cryptolock3 cryptolock4

 

Was bewirkt die Malware?

Die Malware durchsucht alle Festplatten, Netzlaufwerke, USB-Laufwerke und sogar Cloud-Speicherlaufwerke und ermittelt Dateien, die verschlüsselt werden können.

Hier ist die vollständige Liste der Dateiendungen, nach denen die Malware für die spätere Verschlüsselung sucht: 3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx.

Nachdem die Dateien verschlüsselt wurden, nimmt CryptoLocker mit den Servern Kontakt auf, die den Vorgang steuern. Auf dem Server wird dann der asymmetrische private Schlüssel gespeichert, der zum Verschlüsseln der Dateien verwendet wurde.

Um eine Verbindung mit den Servern herzustellen, verwendet CryptoLocker einen Algorithmus zum Erstellen von Domänen, der jeden Tag aufs Neue eindeutige Domänennamen generiert. Daher ist es sehr schwierig, die Malware in der Praxis zu beobachten. Sie muss zuerst eine Verbindung mit einem Server herstellen und beginnt erst danach mit dem Verschlüsseln von Dateien.

Die Dateien werden dann mithilfe von asymmetrischer Verschlüsselung verschlüsselt. Asymmetrische Verschlüsselung verwendet zwei verschiedene Schlüssel für das Verschlüsseln und Entschlüsseln von Nachrichten. Asymmetrische Verschlüsselung ist eine besonders sichere Art der Verschlüsselung, da nur eine Partei den privaten Schlüssel kennt, während beide Seiten über den öffentlichen Schlüssel verfügen.

Um die Erfolgsquote zu maximieren, schreibt die Malware einige Registrierungsschlüssel, mit denen der Computer bei jedem Neustart die schädlichen Dateien ausführen kann.

KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “CryptoLocker”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce “*CryptoLocker”

KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “CryptoLocker_<version_number>”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce “*CryptoLocker_<version_number”

 

Erkennung

Die gute Nachricht ist, dass es sich bei CryptoLocker um keinen Virus (eine sich selbst verbreitende Malware) handelt, sondern um einen Trojaner. Das bedeutet, dass er sich nicht unkontrolliert in deinem Netzwerk ausbreiten kann. Sein Zweck besteht darin, Dateien zu verschlüsseln und für die Entschlüsselung Geld zu verlangen. Jeder Benutzer muss die Malware einzeln empfangen und aktivieren.

Die schlechte Nachricht ist jedoch, dass der Trojaner seine schädlichen Aktionen unerkannt ausführt (nämlich deine Dateien verschlüsselt) und erst danach mitteilt, dass er auf dem betroffenen Rechner vorhanden ist.

 

Alle Avira Produkte erkennen diese Malware als „TR/Fraud.Gen2″.

 

Techniken zur Schadensbegrenzung

  • Nutze immer aktuelle Antivirensoftware. Wie oben erwähnt, erkennen und löschen alle Avira Produkte diese Malware. Leider ist es nicht möglich, die Dateien zu entschlüsseln, die durch die Malware verschlüsselt wurden.
  • Öffne keine verdächtigen oder unaufgefordert zugesandten Weblinks.
  • Öffne keine Emails, die dir von Unbekannten unaufgefordert zugeschickt werden.
  • Führe keine Anhänge aus Emails aus, selbst wenn die Emails von bekannten Personen stammen.
  • Lege Datensicherungen an. Wenn du eine Software verwendet, die in Echtzeit Datensicherungen anlegt (z. B.: Avira Secure Backup, Dropbox usw.), dann musst du zuerst den Computer von Viren reinigen und dann die unverschlüsselte Version der Dateien wiederherstellen.

 

Wie gehst du vor, wenn dein Rechner infiziert wurde?

Wir empfehlen dringend, eine Systemprüfung mit dem Avira Rescue System auszuführen. Dies verhindert, dass Malware aktiv die Scanergebnisse beeinträchtigt.

Hier sind zusätzliche Schritte, die du bei einer Malware-Infektion deines Rechners ausführen kannst.

Sorin Mustaca

IT-Sicherheitsexperte