Erpresser-Schädling zielt auf Windows-Server

Erpresser-Schädling zielt auf Windows-Server (c)
IDG/Emsisoft
Bild 1 von 2

Erpresser-Schädling zielt auf Windows-Server (c) IDG/Emsisoft

© IDG
Fri Apr 13 16:56:00 CEST 2012 - Fri Apr 13 16:56:00 CEST 2012 Uhr

Ein Trojanisches Pferd blockiert Windows-Server und verlangt bis zu 900 Euro Lösegeld für die Wiederherstellung zuvor verschlüsselter Dateien. Inzwischen sind bereits mehrere Varianten dieses Erpresserprogramms bekannt.

In seinem englischen Blog warnt das Antivirusunternehmen Emsisoft aus Österreich vor erpresserischer Malware, so genannter Ransomware, die bereits seit einigen Wochen auf Windows-Server zielt. Nach einer fiktiven US-Behörde, in deren Namen der Schädling agiert, wird die Malware-Familie als "ACCDFISA" (Anti Cyber Crime Department of Federal Internet Security Agency) bezeichnet.

Anders als bisher bekannte Ransomware-Schädlinge, etwa Trojan.Encoder, gelangt ACCDFISA nicht durch andere Malware oder per Drive-by Download auf den Rechner. Vielmehr benutzt der Angreifer das Remote Desktop Protokoll (RDP), um direkt auf Windows-Server zuzugreifen, die über das Internet erreichbar sind. Dazu nutzt er anscheinend ein Tool namens "DUBrute" sowie eine Liste häufiger Benutzernamen. Er meldet sich im Erfolgsfall an, lädt den Schädling auf den Rechner und führt ihn aus.

Die erste ACCDFISA-Variante ist bereits im Februar entdeckt worden, zwei weitere im März und eine vierte Variante am 8. April. Die Varianten unterscheiden sich in der Art der Verschlüsselung diverser Dateien, die in RAR-Archive gepackt werden. Die ersten beide Varianten nutzen eine statische Verschlüsselung, die leicht zu knacken ist. Erst bei den neueren Versionen geht der Täter etwas raffinierter zu Werke.

Außerdem unterscheiden sich die Varianten durch die Meldungsfenster, mit denen sie den Bildschirm versperren. Teils wird behauptet, es sei Kinderpornografie auf dem Rechner entdeckt worden, teils heißt es, ein polymorpher Virus habe den Server verseucht und die Dateien verschlüsselt. Der Angreifer verlangt unterschiedliche Beträge zwischen 100 und 900 Euro für die Herausgabe des Passworts für die verschlüsselten RAR-Archive. Das Geld soll als Gutschein-Code (Ukash, Paysafecard, MoneyPak) übermittelt werden.

Zum Schutz vor derartigen Angriffen sollten Unternehmen den RDP-Zugriff auf ihre Server sorgfältig filtern, ungenutzte Benutzerkonten deaktivieren und benötigte Konten mit hinreichend sicheren Passwörtern versehen. Emsisoft empfiehlt ferner die Installation des Sicherheits-Updates KB2621440 aus dem Microsoft Security Bulletin MS12-020 vom 13. März, das eine kritische Sicherheitslücke in RDP schließt. Das alles gilt auch für Privatanwender, die etwa einen Windows Home Server betreiben, der über das Internet zugänglich ist.

Quelle: www.pcwelt.de
Kommentare
Top-Artikel
In den Google Play Store hat sich eine Schadsoftware eingeschlichen und Millionen Android-Smartphones befallen. Die ...mehr
Bei WhatsApp stehen 2017 offenbar große Neuerungen ins Haus. Eine davon könnte impulsiven Messenger-Nutzern ziemlich ...mehr
Diese Frau ist ohne Frage ein Hingucker, aber das ganze Internet hat nur Augen für ein Detail.mehr
Anzeige
Anzeige
Auch interessant
Anzeige
Top Bildershows
4
Netflix-Studie zum Valentinstag
Schockierende Zahlen: Über ein Drittel der Deutschen hat jetzt in einer ...mehr
5
Bitte lächeln
Erst kürzlich hat Apple seine neue "One Night on iPhone 7"-Kampagne ...mehr
Anzeige
Anzeige