13.04.2012 - 16:56 Uhr

Erpresser-Schädling zielt auf Windows-Server

Erpresser-Schädling zielt auf Windows-Server (c)
IDG/Emsisoft
Bild 1 von 2

Erpresser-Schädling zielt auf Windows-Server (c) IDG/Emsisoft

© IDG

Ein Trojanisches Pferd blockiert Windows-Server und verlangt bis zu 900 Euro Lösegeld für die Wiederherstellung zuvor verschlüsselter Dateien. Inzwischen sind bereits mehrere Varianten dieses Erpresserprogramms bekannt.

Anzeige

In seinem englischen Blog warnt das Antivirusunternehmen Emsisoft aus Österreich vor erpresserischer Malware, so genannter Ransomware, die bereits seit einigen Wochen auf Windows-Server zielt. Nach einer fiktiven US-Behörde, in deren Namen der Schädling agiert, wird die Malware-Familie als "ACCDFISA" (Anti Cyber Crime Department of Federal Internet Security Agency) bezeichnet.

Anders als bisher bekannte Ransomware-Schädlinge, etwa Trojan.Encoder, gelangt ACCDFISA nicht durch andere Malware oder per Drive-by Download auf den Rechner. Vielmehr benutzt der Angreifer das Remote Desktop Protokoll (RDP), um direkt auf Windows-Server zuzugreifen, die über das Internet erreichbar sind. Dazu nutzt er anscheinend ein Tool namens "DUBrute" sowie eine Liste häufiger Benutzernamen. Er meldet sich im Erfolgsfall an, lädt den Schädling auf den Rechner und führt ihn aus.

Die erste ACCDFISA-Variante ist bereits im Februar entdeckt worden, zwei weitere im März und eine vierte Variante am 8. April. Die Varianten unterscheiden sich in der Art der Verschlüsselung diverser Dateien, die in RAR-Archive gepackt werden. Die ersten beide Varianten nutzen eine statische Verschlüsselung, die leicht zu knacken ist. Erst bei den neueren Versionen geht der Täter etwas raffinierter zu Werke.

Außerdem unterscheiden sich die Varianten durch die Meldungsfenster, mit denen sie den Bildschirm versperren. Teils wird behauptet, es sei Kinderpornografie auf dem Rechner entdeckt worden, teils heißt es, ein polymorpher Virus habe den Server verseucht und die Dateien verschlüsselt. Der Angreifer verlangt unterschiedliche Beträge zwischen 100 und 900 Euro für die Herausgabe des Passworts für die verschlüsselten RAR-Archive. Das Geld soll als Gutschein-Code (Ukash, Paysafecard, MoneyPak) übermittelt werden.

Zum Schutz vor derartigen Angriffen sollten Unternehmen den RDP-Zugriff auf ihre Server sorgfältig filtern, ungenutzte Benutzerkonten deaktivieren und benötigte Konten mit hinreichend sicheren Passwörtern versehen. Emsisoft empfiehlt ferner die Installation des Sicherheits-Updates KB2621440 aus dem Microsoft Security Bulletin MS12-020 vom 13. März, das eine kritische Sicherheitslücke in RDP schließt. Das alles gilt auch für Privatanwender, die etwa einen Windows Home Server betreiben, der über das Internet zugänglich ist.

Quelle: www.pcwelt.de
Kommentare
Der Nutzer erklärt sich mit der Geltung der aktuellen Terms and Policies von DISQUS einverstanden.
Hinweis: Kommentare können entfernt werden, insbesondere wenn diese rechtswidrig, anstößig, feindselig sind, gegen die guten Sitten verstoßen oder die geregelte Kommunikation der Nutzer untereinander erschweren oder wenn ein entsprechender begründeter Verdacht besteht.
powered by Disqus
Anzeige
Anzeige
Neues Dokument
Anzeige
Handy-Suche
Anzeige
gekennzeichnet mit
JUSPROG e.V. - Jugendschutz
freenet ist Mitglied im JUSPROG e.V.