Ransomware Shade verschlüsselt Windows-Dateien
Eine ganz perfide Ransomware ist gerade im russisch- und deutschsprachigen Raum unterwegs. Sie wird entweder über das Anklicken eines Email-Anhanges oder über kompromittierte Websites ohne Aktion des Nutzers auf dem System installiert.
Die Software selber hat einen recht großen Funktionsumfang. Shade kommuniziert mit C&C-Servern, die im Tor-Netzwerk beheimatet sind, verschlüsselt und fragt dort nach einem RSA-Schlüssel zum Verschlüsseln der Dateien auf dem PC. Sollte das mißlingen, wird einer von 100 in der Software enthaltenen Schlüssel genommen, um die Dateien zu verschlüsseln. Dabei werden sowohl Dateiinhalt als auch der Dateiname mit jeweils unterschiedlichen Schlüsseln verschlüsselt und um die Endungen “.xtbl” bzw. “.ytbl” ergänzt.
Ist die Verschlüsselung der Dateien abgeschlossen, so wird eine ID für diesen PC erzeugt und eine Statusmeldung an die C&C-Server gerichtet. Der PC-Nutzer wird mittels eingeblendeter Nachricht über die Verschlüsselung informiert, zusammen mit dem Hinweis, die ID an eine eingeblendete Email-Adresse zu senden, um weitere Informationen zu erhalten (wahrscheinlich dann eine Geld-/Bitcoin-/Guthabenkarten-ID-Transaktion, um seine Daten zu entschlüsseln). Ob dann wirklich Informationen kommen und der Nutzer wieder an die Daten kommt, bleibt allerdings unbeantwortet.
Jedoch wird darauf hingewiesen, dass der PC nach erfolgter Verschlüsselung dann noch mit weiterer, nachgeladener Schadsoftware versehen wird, die dann vermutlich den PC in einen Bot/Zombie verwandeln und dem Netzwerk der Ransomware-Autoren willig zur Verfügung stellt.
Ergo: regelmäßig Backups von den wichtigsten Daten machen und mindestens 3 Versionen davon aufbewahren (falls das letzte Backup schon verschlüsselte Dateien enthält). Und einen aktuellen Virenscanner vorhalten - also regelmäßig aktualisieren.
Und viel wichtiger: Das System regelmäßig updaten. Wirklich regelmäßig, auch die benutzen Programme updaten, sofern das nicht automatisch geschieht. Und dann natürlich nicht einfach auf Anhänge in Emails klicken, auch wenn sie die schönsten “Badebildchen” versprechen.
Der Name der Ransomware: Trojan-Ransom.Win32.Shade. Informationen dazu im Blogeintrag von Kaspersky und auf Viruslist.

Trackback-Adresse für diesen Beitrag
Trackback-URL (Rechtsklick und Verknüpfungs-/Link-Adresse kopieren)
Einen Kommentar hinterlassen