Verschlüsselungstrojaner „TeslaCrypt“

Sie sind hier: ://Verschlüsselungstrojaner „TeslaCrypt“

+++ ACHTUNG – Hochgefährliche Verschlüsselungstrojaner im Umlauf +++

Aus aktuellem Anlass warnen wir dringend vor einem neuen Verschlüsselungstrojaner mit der aktuellen Bezeichnung „TeslaCrypt„.

Als Systemhaus mit über 20 Jahren Erfahrung haben wir schon unzählige Bedrohungsszenarien gesehen und in der Regel vermeiden wir es, unter unseren Kunden unnötig Verunsicherung oder gar Panik zu verbreiten. Die aktuellen Situation, dass gleich drei unseren Kunden in den vergangenen Tagen kurz vor einem vollständigen Datenverlust standen, veranlasst uns aber, Sie dringend vor einer neuen, akuten Bedrohung zu warnen:

Durch einen momentan im Umlauf befindlichen Trojaner (aktueller Name: „TeslaCrypt“) waren bereits mehrere unserer Kunden über Stunden lahmgelegt und konnten nur durch eine gute Datensicherung bzw. durch Glück einen unwiederbringlichen Datenverlust vermeiden! Ihr lokaler Viren-Schutz ist bei dieser Art der Bedrohung meist völlig hilflos, da das Zeitfenster zwischen Infektion/Verbreitung und Update des AV-Herstellers viel zu kurz ist!

Cyberkriminellen nutzen eine Erpressersoftware, sogenannte Ransomware, die das Betriebssystem von Nutzern durch infizierte Email Nachrichten und Downloads befällt. Falsche Updates, Bewerbungen per Mail oder auch Amazon Emails sind uns bisher als Auslöser bekannt.

Nach erfolgreicher Infiltration verschlüsselt das Programm unbemerkt alle wichtigen Dateien, sowohl des lokalen Systems als auch von eingebundenen Netzlaufwerken – also des Servers.

Betroffen waren im aktuellen Fall alle Dateien mit den Endungen: *.doc, *docx, *xls, *ppt, *.psd, *.pdf, *.mdb, *.avi, *.cdr, *.jpg, uvm.

TeslaCrypt

Ist das System vollständig verschlüsselt, wird die Zahlung eines Lösegeldes verlangt, um die Dateien zu entschlüsseln. Mit perfiden Drohungen, wie einer Verdoppelung der Lösegeldforderung oder dem Löschen des Schlüssels, versuchen die kriminellen die Administratoren zusätzlich unter Druck zu setzen.

Meldung TeslaCrypt

Meldung TeslaCrypt

Auch aktuelle Virenscanner müssen oft vor den akuten Bedrohungen kapitulieren und erkennen die Signaturen im schlimmsten Fall erst, wenn es zu spät ist:

„Unbekannter, partiell geladener, über mehrere Downloads verteilter Code mit Ausrichtung auf System/Programmschwachstellen aus dem sogenannte Onion-Netzwerk machen eine Lokalisierung und Blockierung äußerst schwierig und fast unmöglich.“, so die Aussage unseres Ansprechpartners des Sicherheitsspezialisten Kaspersky.

Nach Identifizierung ist der Virus selbst nicht sehr schwer zu entfernen. Jedoch bleiben die verschlüsselten Dateien (RSA 2048) auch dann unlesbar.

Selbst das FBI rät Erpressungsopfern zur Zahlung des Lösegeldes: „Die Ransomware ist so gut! Um ehrlich zu sein, empfehlen wir Leuten oft, das Lösegeld einfach zu bezahlen“, so der Ermittlungsleiter Joseph Bonavolonta.

Beachten Sie allerdings, dass eine Zahlung des Lösegeldes keine Garantie ist, dass Ihre Daten wirklich entschlüsselt werden. Dies obliegt alleine dem „guten Willen“ der Erpresser.

Auch heise.de berichtet in einem aktuellen Artikel über die nicht neue, aber momentan wieder akute Bedrohung: Verschluesselungstrojaner Neue TeslaCrypt-Version grassiert

Die einzige Möglichkeit um Ihre Daten vor dieser Bedrohung zu schützen, ist das Vorhalten einer zuverlässigen, unangreifbaren Datensicherung. Beachten Sie hierbei bitte, dass lediglich ausgelagerte Datensicherungen oder Datensicherungen auf Bandmedien nicht verändert werden können. Liegen Ihre Backups bspw. auf einem Festplattensystem in Ihrem Netzwerk, könnten auch diese verschlüsselt werden.

Da Schadsoftware in vielen Fällen auch über HTTPS-Seiten (also verschlüsselten Datenverkehr) in Ihr Netzwerk kommt hilft Ihnen neben dem normalen Virenschutz nur der Einsatz einer Lösung, die auch in der Lage ist im verschlüsselten HTTPS-Datenverkehr Malware zu erkennen und die so vermeidet, dass die Auslöser überhaupt in Ihr Netzwerk kommen. Eine mögliche Variante wäre bspw. die Sophos UTM Appliance, die sowohl den Internet- als auch den E-Mail-Verkehr prüft und Bedrohungen erst gar nicht ins Netzwerk lässt.

Mehr Informationen zu diesem Gerät finden auf unserer Internet-Seite: http://www.opticom.it/sophos-utm/
Unumgänglich ist es aber, die Benutzer auf die möglichen Sicherheitsrisiken zu sensibilisieren, denn bisher waren es immer Userinterkationen, die es dem Trojaner möglich gemacht haben, in einem Unternehmensnetzwerk aktiv zu werden.

Wünschen Sie eine Schulung Ihrer Mitarbeiter, haben Sie Fragen, wie Sie Ihr Unternehmensnetzwerk sicherer machen können oder sind Sie aktuell schon von dem Trojaner betroffen – wir helfen Ihnen gerne weiter.

Ihr opticom Team

2017-05-19T08:46:22+00:00