13.04.2012, 17:08

Frank Ziemann

Ransomware

Erpresser-Schädling zielt auf Windows-Server

erste Variante der Ransomware ACCDFISA

Ein Trojanisches Pferd blockiert Windows-Server und verlangt bis zu 900 Euro Lösegeld für die Wiederherstellung zuvor verschlüsselter Dateien. Inzwischen sind bereits mehrere Varianten dieses Erpresserprogramms bekannt.
In seinem englischen Blog warnt das Antivirusunternehmen Emsisoft aus Österreich vor erpresserischer Malware, so genannter Ransomware, die bereits seit einigen Wochen auf Windows-Server zielt. Nach einer fiktiven US-Behörde, in deren Namen der Schädling agiert, wird die Malware-Familie als "ACCDFISA" (Anti Cyber Crime Department of Federal Internet Security Agency) bezeichnet.
Anders als bisher bekannte Ransomware-Schädlinge, etwa Trojan.Encoder, gelangt ACCDFISA nicht durch andere Malware oder per Drive-by Download auf den Rechner. Vielmehr benutzt der Angreifer das Remote Desktop Protokoll (RDP), um direkt auf Windows-Server zuzugreifen, die über das Internet erreichbar sind. Dazu nutzt er anscheinend ein Tool namens "DUBrute" sowie eine Liste häufiger Benutzernamen. Er meldet sich im Erfolgsfall an, lädt den Schädling auf den Rechner und führt ihn aus.
Die erste ACCDFISA-Variante ist bereits im Februar entdeckt worden, zwei weitere im März und eine vierte Variante am 8. April. Die Varianten unterscheiden sich in der Art der Verschlüsselung diverser Dateien, die in RAR-Archive gepackt werden. Die ersten beide Varianten nutzen eine statische Verschlüsselung, die leicht zu knacken ist. Erst bei den neueren Versionen geht der Täter etwas raffinierter zu Werke.
Außerdem unterscheiden sich die Varianten durch die Meldungsfenster, mit denen sie den Bildschirm versperren. Teils wird behauptet, es sei Kinderpornografie auf dem Rechner entdeckt worden, teils heißt es, ein polymorpher Virus habe den Server verseucht und die Dateien verschlüsselt. Der Angreifer verlangt unterschiedliche Beträge zwischen 100 und 900 Euro für die Herausgabe des Passworts für die verschlüsselten RAR-Archive. Das Geld soll als Gutschein-Code (Ukash, Paysafecard, MoneyPak) übermittelt werden.
Zum Schutz vor derartigen Angriffen sollten Unternehmen den RDP-Zugriff auf ihre Server sorgfältig filtern, ungenutzte Benutzerkonten deaktivieren und benötigte Konten mit hinreichend sicheren Passwörtern versehen. Emsisoft empfiehlt ferner die Installation des Sicherheits-Updates KB2621440 aus dem Microsoft Security Bulletin MS12-020 vom 13. März, das eine kritische Sicherheitslücke in RDP schließt. Das alles gilt auch für Privatanwender, die etwa einen Windows Home Server betreiben, der über das Internet zugänglich ist.
Diskutieren Sie mit anderen Lesern über dieses Thema:
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

1436751
Content Management by InterRed