Ransomware

Neue Tricks des Erpresser-Trojaners CryptoWall

von - 10.11.2015
Erpressung durch CryptoWall 4.0
Foto: Shutterstock/Ton Snoei
Eine neue Version des Erpresser-Trojaners CryptoWall treibt ihr Unwesen und verschlüsselt nicht nur Dateien auf dem PC des Opfers, sondern verbirgt sie auch noch vor dem Anwender.
Sicherheitsexperten haben eine neue Variante des gefährlichen Erpresser-Trojaners CryptoWall entdeckt und analysiert. Die Version 4.0 verwendet ein neues Kommunikationsprotokoll, damit der Datenaustausch zwischen verseuchten PCs und den Steuerservern der Kriminellen keine Alarme mehr auslöst. Außerdem wurde der Verschlüsselungsmechanismus geändert.
Infektion mit CryptoWall 4.0
Infektion mit CryptoWall 4.0: In dieser Datei finden die Opfer „Hilfe“ zum Entschlüsseln ihrer Daten.
(Quelle: Heimdal Security )
Wie Andra Zaharia von Heimdal Security schreibt, kann sich CryptoWall 4.0 nun auch erfolgreich vor Enterprise-Firewalls der zweiten Generation verstecken. Außerdem verschlüsselt der Trojaner nicht mehr nur die eigentlichen Dateien auf dem PC des Opfers. Er verändert diesmal auch gleich noch die Dateinamen, um die betroffenen Personen noch weiter unter Druck zu setzen, wenn sie wichtige Dateien nicht mehr finden.
So soll erreicht werden, dass sie das geforderte Lösegeld auch wirklich zahlen. Bereits in früheren CryptoWall-Versionen setzten die Ganoven auf Tricks wie begrenzte Fristen und schnell steigende Lösegeldforderungen, um die Opfer massiv unter Druck zu setzen.
Nach erfolgreicher Infektion eines PCs und Verschlüsselung der sich darauf befindlichen Daten hinterlässt CryptoWall nun auch neue „Hilfedateien“. In diesen beschreiben die Kriminellen in lockerem Ton, was Verschlüsselung überhaupt ist und was zu tun ist, um wieder an die eigenen Dateien zu kommen. Überhaupt arbeiten die CryptoWall-Urheber immer mehr wie ein richtiges Unterschreiben, schreibt Zaharia: Sie entwickeln ihr Produkt laufend weiter, reagieren auf aktuelle Trends und nutzen alle Möglichkeiten, die ihnen zur Verfügung stehen, um noch mehr Geld zu „erwirtschaften“.
Wer einmal Opfer eines Erpresser-Trojaners wie CryptoWall geworden ist und nicht rechtzeitig ein sicheres Backup seiner Daten erstellt hat, hat nur noch wenige Möglichkeiten. Die Verschlüsselung ist in der Regel so gut, dass die Daten unerreichbar geworden sind. Nur in manchen Fällen gelingt es Sicherheitsfirmen, den Code zu knacken und ein Entschlüsselungs-Tool bereitzustellen. Das FBI hat deswegen vor kurzem sogar geraten, lieber das Lösegeld zu zahlen.