Symantec: Ransomware verbreitet sich zunehmend über WSF-Dateien

Windows Script Files ermöglichen es Programmierern, mehrere Skriptsprachen in einer Datei zu kombinieren. Sie werden von wenigen Mailprogrammen und -providern geblockt. Nach einem Anstieg vor drei Monaten beobachtet Symantec derzeit rund 2 Millionen solche Anhänge pro Monat.

Symantec weist auf einen neuen Trend im Bereich Ransomware hin: Sie verbreitet sich immer öfter anhand eines Dateityps, den bisher wenige E-Mail-Lösungen blockieren, nämlich Windows Script Files (WSF). Nach seinen Forschungen ist das Aufkommen solcher Anhänge in den vergangenen drei Monaten deutlich gestiegen.

Zunahme von Ransomware ladenden Dateianhängen im WSF-Format (Bild: Symantec)Zunahme von Ransomware ladenden Dateianhängen im WSF-Format (Bild: Symantec)WSF-Dateien werden vom Windows Script Host (WSH) geöffnet. Sie ermöglichen es Programmierern, mehrere Skriptsprachen innerhalb einer Datei zu kombinieren. Sie starten üblicherweise wie ausführbare Dateien (EXE) oder Skripte in einzelnen Sprachen beim Anklicken unmittelbar, werden aber im Gegensatz zu diesen noch von wenigen Mail-Programmen und -Providern standardmäßig abgewiesen.

Symantec beobachtete im Juni 22.000 bösartige E-Mails mit WSF-Anhängen. Im Juli waren es plötzlich fast hundertmal so viele, nämlich 2 Millionen, die seine Sicherheitsprogramme enttarnten. Seither ist die Summe relativ konstant: Für September stehen unterm Strich 2,2 Millionen bösartige WSF-Anhänge.

Als Beispiel nennt das Sicherheitsunternehmen eine angebliche Nachricht einer Fluggesellschaft. Im Anhang befindet sich innerhalb eines ZIP-Archivs eine als wichtiges Dokument deklarierte WSF-Datei, die in Wahrheit die Ransomware Locky installiert. Anfang Oktober blockierte Symantec innerhalb von zwei Tagen mehr als 1,3 Millionen solche Mails, die den Betreff „Travel Itinerary“ (Reiseplan) trugen.

Damit zeichnet sich sich ab, dass Ransomware-Autoren durch die Erfolge der letzten Monate ermutigt sind und neue Wege erproben, um weitere Opfer zu finden und zu erpressen. Einige Ransomware-Typen, darunter Virlock, nutzen für die Verbreitung auch beliebte Cloud-Storage-Dienste.

Opfer von Ransomware können sich bei No More Ransomware informieren, ob für die ihnen untergeschobene Erpressungssoftware ein Entschlüsselungswerkzeug existiert. An diesem Projekt sind neben Kaspersky Lab eine Spezialeinheit der niederländischen Polizei, das Cybercrime Centre von Europol und die Sicherheitsabteilung von Intel beteiligt.

Ransomware (Bild: Kaspersky)In den letzten Monaten wurden zahlreiche Ransomware-Infektionen bekannt: Das US-Krankenhaus Hollywood Presbyterian Medical Center zahlte die geforderten 17.000 Dollar, um schnell wieder den Betrieb aufnehmen zu können, ebenso wie die unterfränkische Stadt Dettelbach. Dagegen blieben einige Krankenhäuser in Nordrhein-Westfalen, etwa das Lukaskrankenhaus in Neuss, standhaft. Die Patientendaten wurden dort auf Basis eines Backups wiederhergestellt. Einer anderen Umfrage zufolge zahlt jedes dritte Opfer in Deutschland Lösegeld.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit einem Themenpapier reagiert, das über Ransomware informiert und Hilfestellung zum Umgang mit dieser Bedrohung gibt. Es ist insbesondere für professionelle Anwender und IT-Verantwortliche in Unternehmen, Behörden und anderen Institutionen gedacht. Das 19-seitige Dokument widmet sich der verschärften Bedrohungslage durch Ransomware und beschreibt Angriffsvektoren sowie mögliche Schäden. Konkrete Empfehlungen und Hilfestellungen für Prävention sowie die Reaktion im Schadensfall bilden weitere Schwerpunkte.

[mit Material von Danny Palmer, ZDNet.com]

ANZEIGE

Zuverlässiger Schutz vor Ransomware

Ransomware heißt das aktuelle Schreckgespenst in der IT-Welt. Ob Privatanwender, Unternehmen oder öffentliche Institution: Praktisch jeder Internetnutzer hat Angst davor, dass er plötzlich nicht mehr auf seine Daten zugreifen kann, da sie verschlüsselt sind. Dabei bieten aktuelle Sicherheitslösungen wie Bitdefender 2017 zuverlässig Schutz vor dieser Erpressungssoftware.

Themenseiten: Malware, Symantec, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Florian Kalenda
Autor: Florian Kalenda
Leitender Redakteur ZDNet.de
Florian Kalenda
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Symantec: Ransomware verbreitet sich zunehmend über WSF-Dateien

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *