Erpresser-Trojaner 4.0
Teslacrypt verbreitet sich per Drive-by-Download
von
Andreas
Fischer - 21.03.2016
Foto: Shutterstock/Pavel Ignatov
Die neue Version 4.0 des Erpresser-Trojaners TeslaCrypt verbreitet sich vor allem über verseuchte Webseiten. Der Erpresser-Trojaner verwendet nun außerdem einen verschärften Verschlüsselungs-Algorithmus.
Genau ein Jahr ist es her, als der Erpresser-Trojaner TeslaCrypt erstmals entdeckt wurde. Die Ransomware infiziert seitdem fremde Rechner, verschlüsselt Dateien und Dokumente auf dem PC und verlangt anschließend ein „Lösegeld“.
Lösegeld-Forderung: Mit diesem Fenster erpressen die Kriminellen die Opfer von TeslaCrypt.
(Quelle: BleepingComputer )
Wie Andra Zaharia von Heimdal Security schreibt, verwenden die Kriminellen jetzt RSA 4096, um die Daten zu verschlüsseln. Falls sich in ihrer Implementierung nicht noch ein Fehler entdecken lässt, heißt das, dass die Opfer keine Chance haben, wieder an ihre Daten zu gelangen – außer sie zahlen oder sie haben rechtzeitig ein Backup angelegt. Darüber hinaus kann TeslaCrypt nun auch Dateien verschlüsseln, die größer als 4 GByte sind. Früher wurden diese Daten beim Versuch, sie zu verschlüsseln, beschädigt.
Anders als früher hängt der Schädling keine neue Dateiendung an die verschlüsselten Dateien an. Bislang waren diese leicht an „.vvv“ zu erkennen. Damit sollen die betroffenen Anwender vermutlich weiter unter Druck gesetzt werden.
Zur Verbreitung ihres Schädlings setzen die Ganoven vor allem auf Drive-by-Downloads, die sie mit Hilfe des Exploit-Kits Angler erstellen. Laut Heimdal wurden schon mehr als 600 Domains entdeckt, über die TeslaCrypt 4.0 verbreitet wird. Bereits ein vermeintlich harmloser Besuch einer dieser Seiten mit einem nicht ausreichend gepatchten System beziehungsweise Browser kann zur Infektion des Computers führen.