Die Malware CryptoLocker hat in den letzten neun
Monaten bereits mehr als 27 Millionen US-Dollar bei Anwendern
erpresst. Bitdefender war seit Bekanntwerden im November 2013 aktiv
daran beteiligt, Schwachstellen zu finden und die Personen zu
identifizieren, die hinter dem Trojaner stecken. Mit der
Beschlagnahmung des Botnetzes GameOver Zeus konnte Anfang Juni die
Verbreitung von Cryptolocker zwar gestoppt werden, eine Vielzahl an
Rechnern ist aber noch infiziert. Anwender sollten daher unbedingt
einen Virenscan auf ihren Rechnern durchführen, um einen inaktiven
CryptoLocker zu erkennen und zu beseitigen.
Die Malware verbreitet sich überwiegend über Spam-Nachrichten, in
deren Anhang sich eine Passwort-geschützte Datei mit einem
CryptoLocker-Downloader befindet. Sobald dieser Trojaner ausgeführt
wird, kontaktiert CryptoLocker sein Command-and-Control-Center, das
einen 2048-BIT-RSA-Schlüssel generiert, dessen Entschlüsselung sehr
unwahrscheinlich ist.
Die Russland-Verbindung
Bereits kurz nach der Entdeckung des Trojaners versuchten die
Experten von Bitdefender über die IP-Adresse herauszufinden, wer
hinter CryptoLocker steckt. Sie wurden an einen russischen Händler
weitergeleitet, der sich aber nicht als Eigentümer von CryptoLocker
erwies, sondern den Server vermietet hatte. Der Reseller fuhr den
Server herunter, danach war der Trojaner für einige Tage
verschwunden. Kurz darauf wurde aber festgestellt, dass sich der
Trojaner trotz des sogenannten „Takedowns“ weiter verbreitete.
In enger Zusammenarbeit mit dem russischen Händler fand
Bitdefender heraus, dass der gesuchte Server in Großbritannien
gehostet wurde. Daneben begann die britische NCCU (National Cyber
Crime Unit) eine unabhängige Untersuchung und überwachte den Server.
Um seinen Zustand zu bewahren, wurde er am 6. Februar 2014 isoliert.
Allerdings war es nach der Beschlagnahmung nicht mehr möglich, auf
den Server zuzugreifen. Zwei Wochen später informierte die NCCU
Bitdefender, dass es sich bei dem Server um einen Proxy handelte, der
eine Botnetz-Infrastruktur verbarg.
Botnetz noch lange aktiv
Währenddessen überspielte die CryptoLocker-Bande ihre Daten auf
einen anderen Rechner. Am 28. Januar 2014 wurde von einem infizierten
Computer eine Verbindung an zwei IPs aufgebaut, die in einem
russischen Rechenzentrum gehostet wurden – ein klarer Indikator, dass
das Botnetz noch aktiv war. Durch eine ständige Überwachung der
Domains, die vom entsprechenden Algorithmus erzeugt wurden, konnte
die IP-Adresse ermittelt werden. Eine dieser IP-Adressen wurde auf
einem Server in der Ukraine gehostet. Die Entwickler von Bitdefender
fanden heraus, dass der Tier-1-Proxy-Server den Datenverkehr seiner
Opfer auf einen zweiten Server weiterleitete, um seine Anonymität
sicherzustellen. Da Bitdefender Zugang zu dem Tier-1-Proxy hatte,
konnte das Unternehmen die Konfigurationsdateien verfolgen und auf
den Tier-2-Proxy zugreifen. Diesem Server waren mehr als 10
verschiedene IP-Adressen zugewiesen.
Enge Verbindung mit GameOver Zeus
Am 2. Juni 2014 konnten die Sicherheitsbehörden das Botnetz
GameOver Zeus ausschalten, das eine tragende Rolle bei der
Verbreitung und Koordination von CryptoLocker spielte. Allerdings
sind derzeit noch eine Reihe von Computern mit CryptoLocker
infiziert, die bislang noch nicht „aktiviert“ worden sind. Sobald
dies geschieht, ist davon auszugehen, dass Anwender den Zugriff auf
ihre Daten sofort verlieren werden.
„Um einen inaktiven CryptoLocker zu erkennen und zu beseitigen,
sollten Anwender daher unbedingt einen Virenscan auf ihrem Rechner
durchführen“, erläutert Catalin Cosoi, Chief Security Researcher bei
Bitdefender. „Zwar scheint die Gefahr mittlerweile gebannt, dennoch
sollten Anwender neben der Verwendung einer Anti-Malware-Lösung auch
Software-Updates für Produkte von Drittanbietern wie Java, Adobe
Reader oder Flash einsetzen, sobald diese verfügbar sind.“
Weitere Informationen zu CryptoLocker sowie zur Infrastruktur
dahinter gebenExperten auf der diesjährigen Virus Bulletin-Konferenz
vom 24. bis 26. September 2014 in Seattle.
Weitere Informationen über das Unternehmen und seine Produkte
finden Sie unter www.bitdefender.de.
Über Bitdefender®
Bitdefender ist Hersteller einer der weltweit schnellsten und
effektivsten Produktserien für international zertifizierte
Internet-Sicherheits-Software. Seit dem Jahr 2001 ist das Unternehmen
immer wieder ein innovativer Wegbereiter der Branche, indem es
preisgekrönte Schutzlösungen einführt und weiterentwickelt.
Mittlerweile setzen weltweit rund 400 Millionen Privat- und
Geschäftsanwender auf die Bitdefender-Technologie, um ihre digitale
Welt sicherer zu machen. Bitdefender hat vor kurzem eine Reihe
wichtiger Empfehlungen und Auszeichnungen in der globalen
Sicherheitsindustrie erhalten. Dazu gehören „Produkt des Jahres
2012″ von AV-Comparatives, „Beste Reparatur 2012“ von AV-Test und
„Editor–s Choice“ des PC Mag. Diese Auszeichnungen bestätigen den
Spitzenplatz der Software unter den Sicherheitslösungen. Weitere
Informationen zu den Antivirenprodukten von Bitdefender sind im
Bitdefender Security Center der Unternehmenswebseite im Pressecenter
verfügbar.
Über Bitdefender HOTforSecurity®
Zusätzlich veröffentlicht Bitdefender das englischsprachige Blog
„HOTforSecurity“, welches rund um die aktuelle Sicherheitslage
weltweit informiert. Es bietet eine prickelnde Mischung aus nebulösen
Computersicherheitsgeschichten und sachlich fundierten Stories, die
die schmutzige Welt der Internetbetrügereien, Spams, Scams, Malware
und des Klatsches sichtbar macht. Bitdefender pflegt auch eine
deutsche HOTforSecurity-Version, die sich insbesondere auf die
Nachrichtenlage im deutschsprachigen Raum (Deutschland, Österreich,
Schweiz) konzentriert. Wollen Sie zu allen aktuellen Bedrohungen
immer auf dem Laufenden sein, dann abonnieren Sie hier unseren
Newsletter.
Pressekontakt:
Bitdefender
DV24, Building A
24 Delea Veche Street, Sector 2
Bukarest, 024102, Rumänien
Ansprechpartner:
Andrei Taflan
PR Coordinator
Tel.: +40 (0) 731 – 496 792
E-Mail: ataflan@bitdefender.com
Deutsche Niederlassung:
Bitdefender GmbH
TechnoPark Schwerte
Lohbachstrasse 12,
D – 58239 Schwerte
PR-Agentur:
Fink & Fuchs PR AG
Paul-Heyse-Str. 29
D-80336 München
Ansprechpartner:
Michaela Eichner
Tel.: +49 (0)89 – 589787-14
E-Mail: bitdefender@ffpr.de
Weitere Informationen unter:
http://
Kontinuierliche Virenscans sind Pflicht / Auf den Spuren von CryptoLocker hinzugefügt von ots am
Alle Beiträge von ots →
