Erpresserschädling gibt sich als Windows Update aus

[Christoph]

Zitat:

Derzeit werden Spam-Mails verbreitet, die vorgeblich Neukunden eines nicht näher bezeichneten Premium-Mail Dienstes begrüßen. Die Mail Anhänge enthalten ein Trojanisches Pferd, das als Windows Update getarnt den Rechner blockiert. Der Schädling verlangt 50 Euro für ein Update, das verschlüsselte Dateien wieder herstellen soll.

Erpresserische Schädlinge, so genannte Ransomware, die Dateien verschlüsseln, den Rechner blockieren und Lösegeld fordern, sind zurzeit auf dem Vormarsch. Die jüngste Variante dieser Schädlingsgattung wird in diesen Tagen Spam-artig per Mail verteilt. Die wahllos angeschriebenen Empfänger werden in fehlerhaftem Deutsch mit ihrem Namen angesprochen und als Neukunden für einen Premium-Mail Dienst begrüßt - nebst beigefügter vorgeblicher Rechnung.

Die Mails kommen mit einem Betreff wie "Zahlungsaufforderung", "Buchung vom Ihrem Konto" oder auch "Bestellung Nr.", in dem zum Teil der Name des Empfängers und meist auch eine mehrstellige Nummer enthalten ist. Der Anhang besteht aus einem ZIP-Archiv, das einen Namen wie "Rechnung" oder "Abrechnung" trägt und eine gleichnamige EXE-Datei enthält.

Der Antivirushersteller TotalDefense, 2011 aus der CA Internet Security Division hervor gegangen, berichtet in seinem Blog über die in Deutschland verbreiteten Mails und ihre schädlichen Anhänge. Wird ein solcher Anhang entpackt und aufgerufen, installiert sich ein Trojanisches Pferd, das die Windows-Registry manipuliert. Es blockiert alle Eingabemöglichkeiten und zeigt eine Meldung an, die mit "Willkommen bei Windows Update" überschrieben ist. Weiter heißt es: "Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert". Ursache sei der Besuch pornografischer Web-Seiten. Der Virus verschlüssele die Festplatte mit einem "2048 Bit PGP-RSA Schlüssel", der eine Entschlüsselung unmöglich mache.

Für ein "zusätzliches Sicherheitsupdate", das ein "kostenpflichtiges Upgrade für infizierte Windowssysteme" sei, soll das Erpressungsopfer 50 Euro per Ukash-Karte zahlen. Nach Übermittlung der Gutscheinnummer an die Erpresser soll das Opfer einen Freischalt-Code erhalten. Wird der in das den Rechner blockierende Fenster eingegeben, soll das System entschlüsselt und desinfiziert werden.

TotalDefense will heraus gefunden haben, dass der Schädling mit einer Website kommuniziert, die auf eine Firma namens HICHINA ZHICHENG TECHNOLOGY LTD registriert ist. Dabei soll es sich um eine Scheinfirma krimineller Betrüger handeln, die unter falschen Namen und Adressen operiert.

Quelle: http://www.pc-magazin.de/news/erpres...s-1277642.html

[Christoph]

Zitat:

Doctor Web: Kostenloses Tool gegen Erpresserschädling

Für Geschädigte der aktuellen E-Mail-Erpresser stellen Sicherheitsspezialisten von Doctor Web gratis ein Tool zum Download zur Verfügung, mit dem die Anwender ihre Dateien wieder entschlüsseln können.

Derzeit kursieren Massen-Mails auf Deutsch, die im Betreff den Namen des Anwenders und unterschiedliche Vertragsnummern oder Auftragsbestätigungen nennen (wir berichteten ). Mittlerweile gibt es auch Rechnungen über angebliche Uhrenkäufe und ähnliches. Die E-Mail enthält eine ZIP-Datei mit dem Namen Abrechnung oder Rechnung. Sobald der Nutzer die Datei gestartet hat, werden sämtliche Dateien auf seiner Festplatte verschlüsselt.

Die in der Mail enthaltene Malware Trojan.Matsnu.1 stellt eine ernsthafte Gefahr dar. Sicherheitsspezialist Doctor Web hatte Geschädigten angeboten, die Dateien kostenlos zu entschlüsseln. Nach über 50 Support-Anfragen in den ersten Tagen stellt Dr. Web jetzt ein entsprechendes Tool bereit, das von der Webseite heruntergeladen werden kann.

Wenn Anwender ihre Dateien selbständig nicht entschlüsseln können oder der Vorgang mit einem Fehler abgebrochen wird, können sie das Virenlabor von Doctor Web kontaktieren, indem sie ein Thema in der Kategorie „Desinfektion“ anlegen. Dieser Service ist für alle Anwender kostenfrei.

Quelle: http://www.pc-magazin.de/news/doctor...g-1277771.html