VOLLTEXTSUCHE
News, 18.03.2015
Warnung vor Erpressersoftware-Infektion
Ransomware Cryptowall mit schädlichen Hilfedateien (.chm) zurück
Nach Auskunft des Anti-Virus-und -Malware-Spezialisten Bitdefender versuchen derzeit Hacker mittels Spam-Mails die berühmt-berüchtigte Erpressersoftware („Ransomware“) Cryptowall zu verbreiten.
Die Verbreitungstaktik für die Ransomware: Eine vermeintliche Faxbenachrichtigung per E-Mail.
Die Verbreitungstaktik für die Ransomware: Eine vermeintliche Faxbenachrichtigung per E-Mail.
Wie Bitdefender berichtet, nutzen Cyberkriminelle im Rahmen einer neuen Spam-Welle eine Methode, die sich, wenn auch vielleicht ein wenig aus der Mode gekommen, zum automatischen Ausführen von Malware und zur Verschlüsselung von Daten auf Computern als äußerst effektiv erweist: schädliche .chm-Anhänge.

Was solche Hilfedateien so gefährlich macht

.chm ist eine Dateierweiterung für kompilierte HTML-Hilfedateien. Diese werden verwendet, um Benutzerhandbücher für Software-Anwendungen verfügbar zu machen. Zu diesem Zweck werden HTML-Dateien komprimiert und als Binärdatei mit der Erweiterung .chm zur Verfügung gestellt. Das Format besteht aus komprimierten HTML-Dokumenten, Bildern und JavaScript-Dateien, ergänzt durch ein verlinktes Inhaltsverzeichnis, einen Index und eine Volltextsuche.

.chm-Dateien sind auf Interaktion ausgelegt und nutzen eine Reihe von Technologien, darunter auch JavaScript, welches in der Lage ist, einen Nutzer auf eine externe URL weiterzuleiten, wenn dieser eine .chm-Datei nur öffnet. Irgendwann begannen Hacker dann, .chm-Dateien für ihre Zwecke zu missbrauchen, um beim Öffnen der Dateien Schadcode automatisch auszuführen. Und es leuchtet ein: Je weniger der Nutzer dafür tun muss, desto wahrscheinlicher ist eine Malware-Infektion.

Eine angebliche Faxbenachrichtigung geht per E-Mail beim Nutzer ein und gibt vor, über einen Computer in der Domain des Nutzers verschickt worden zu sein. Dies legt nahe, dass diese E-Mails bewusst die Mitarbeiter verschiedener Unternehmen ins Visier nehmen, um so Zugriff auf deren Unternehmensnetzwerke zu erhalten.

Greift ein Nutzer auf die Inhalte des .chm-Archivs zu, wird der Schadcode über ://*********/putty.exe heruntergeladen, unter %temp%\natmasla2.exe auf dem System gespeichert und danach ausgeführt. Während dieses Vorgangs öffnet sich ein Eingabeaufforderungsfenster.

Bei Cryptowall handelt es sich um eine Weiterentwicklung von Cryptolocker, einer dateiverschlüsselnden Ransomware, die bereits bekannt dafür ist, ihre Schadroutinen als harmlose Anwendung oder Datei zu tarnen. Diese Schadroutinen verschlüsseln dann die Dateien auf infizierten Computern, um Lösegeld für deren Entschlüsselung zu verlangen.

Die fraglichen E-Mails wurden am 18. Februar gezielt an einige hundert Nutzer verschickt. Die Spam-Server scheinen ihren Ursprung in Vietnam, Indien, Australien, den USA, Rumänien und Spanien zu haben. Eine Analyse der Domain-Namen der Empfänger hat zudem gezeigt, dass die Angreifer es offenbar auf Nutzer aus aller Welt abgesehen haben – auch auf Deutschland. Bitdefender erkennt die Malware als Trojan.GenericKD.2170937.

Kaum eine Malware-Kategorie stellt Sicherheitsfirmen vor so große Herausforderungen wie Ransomware, denn sie müssen immer aggressivere Heuristiken entwickeln, damit interne Daten auch in Zukunft vertraulich bleiben. Alexandra Gheorghe, IT-Security-Journalistin für Bitdefender, informiert in einem englischsprachigen Artikel, wie sich Unternehmen gegen Ransomware-Attacken schützen können.


Wie lässt sich eine Infektion mit Cryptowall verhindern?

Die Virenforscher von Bitdefender haben eine Liste mit Empfehlungen zusammengestellt, die eine Infektion mit Cryptowall verhindern sollen, darunter auch das Anlegen von Sicherheitskopien auf externen Speichermedien. Um noch mehr Schutz zu bieten, hat Bitdefender zudem den Cryptowall Immunizer entwickelt. Dieses Tool hilft Nutzern dabei, ihre Computer zu immunisieren und jeden Verschlüsselungsversuch erfolgreich abzuwehren. Bitdefender rät zudem dazu, den Virenschutz immer aktiviert zu lassen und dieses Tool als zusätzlichen Schutz einzusetzen.

cs/Bitdefender
WEITERE NEWS AUS DIESER KATEGORIE
NACHRICHTEN AUS ANDEREN RESSORTS
Erfolgsfaktor Datensicherheit und Datenschutz
Gleich wie gut ein Unternehmen technologisch gegen Cyberkriminalität abgesichert ist: Die letzte ... mehr

SUCHE
Volltextsuche





Profisuche
Anzeige
PRESSEFORUM MITTELSTAND
Pressedienst
LETZTE UNTERNEHMENSMELDUNGEN
BRANCHENVERZEICHNIS
Branchenverzeichnis
Kostenlose Corporate Showrooms inklusive Pressefach
Kostenloser Online-Dienst mit hochwertigen Corporate Showrooms (Microsites) - jetzt recherchieren und eintragen! Weitere Infos/kostenlos eintragen
Anzeige
BUSINESS-SERVICES
© novo per motio KG