Kaspersky warnt vor Erpressersoftware „Shade“

Sie hat es vor allem auf Nutzer in Russland und im deutschsprachigen Raum abgesehen. Wie andere Ransomware verschlüsselt Shade die Dateien auf dem Rechner des Nutzers und gibt sie erst nach Zahlung eines "Lösegeldes" wieder frei. Die Verbreitung erfolgt mittels Spam-Mails oder Drive-by-Downloads.

Kaspersky Lab warnt vor einer verstärkt auftretenden Malware, die es vor allem auf Nutzer in Russland und im deutschsprachigen Raum abgesehen hat. Die Ransomware namens „Shade“ versucht wie andere Vertreter ihrer Gattung, ihre Opfer durch Verschlüsselung von Dateien zu erpressen. Erst gegen Zahlung eines Geldbetrags erhalten sie wieder Zugriff auf ihre Informationen.

Shade verschlüsselt die Dateien und ergänzt deren Namen um die Endungen .xtbl und .ytbl. Die Verbreitung erfolgt wie bei anderer Erspressersoftware über Spam-Mails und darin enthaltene infizierte Anhänge. Zusätzlich nutzen die Hintermänner aber auch die Möglichkeit, die Malware mittels Drive-by-Downloads auf die Rechner ihrer Opfer zu bringen. Dazu reicht es, dass ein Nutzer eine legale, aber kompromittierte Website besucht. Um sich in das System einzuschleusen, nutzt Shade Schwachstellen im Browser aus, sodass das Opfer die schädliche Datei in der Regel nicht einmal ausführen muss.

Die Erspressersoftware Shade wurde bislang besonders häufig in Russland und im deutschsprachigen Raum beobachtet (Grafik: Kaspersky).Die Erspressersoftware Shade wurde bislang besonders häufig in Russland und im deutschsprachigen Raum beobachtet (Grafik: Kaspersky).

„Im Falle von Trojan-Ransom.Win32.Shade haben wir nicht nur typische Erpressungstechniken beobachtet, sondern auch ein Bot-ähnliches Verhalten“, erklärt Fedor Sinizyn, Senior Malware Analyst bei Kaspersky Lab. Das heißt, die Schadsoftware fordert im Hintergrund bei einem Kommandoserver den Nachschub zusätzlicher Schadsoftware an. Dazu zählt auch ein Trojaner, der gezielt für Bruteforce-Attacken verwendet wird, um Passwörter für Webseiten durch Ausprobieren tausender Möglichkeiten zu knacken.

Die Autoren von Shade verwenden das anonymisierte Tor-Netzwerk. Auch den RSA-3072-Schlüssel, mit dem Dateien auf dem befallenen Rechner verschlüsselt werden, erhält Shade auf diesem Wege vom Befehlsserver. Kommt keine Verbindung mit dem Command-and-Control-Server zustande, setzt die Malware laut Kaspersky einen von 100 Schlüsseln ein, die sie bereits mitbringt.

Um einer Infektion mit Shade vorzubeugen, empfiehlt Kaspersky Anwendern, keine Anhänge von unbekannten E-Mails zu öffnen, Betriebssystem und Software stets auf dem neuesten Stand zu halten und ein aktuelles Virenschutzprogramm einzusetzen. Ohne eine gründliche Desinfektion verbleibe zudem auch nach der Entfernung von Shade auf dem System eine Reihe von Schadprogrammen.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Themenseiten: Kaspersky, Malware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Kaspersky warnt vor Erpressersoftware „Shade“

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *