2184786

Ransomware TorrentLocker ist zurück

22.03.2016 | 16:04 Uhr |

Der Erpresserschädling TorrentLocker ist mit neuen Tricks in Italien und Schweden wieder aufgetaucht. Die Täter arbeiten mit personalisierten Mails und kompromittierten Websites.

In Deutschland und anderen Ländern grassiert nach wie vor die Ransomware Locky . Doch auch andere Erpresserschädlinge sind nicht verschwunden und bedrohen die Daten der Anwender. So berichtet das Sicherheitsunternehmen Forcepoint in seinem Blog über das neuerliche Auftauchen des Schädlings TorrentLocker in Schweden und Italien. Die Täter locken potenzielle Opfer mit personalisierten Mails auf gefälschte Websites, die auf gehackten legitimen Websites liegen.

Bislang hatten die Kriminellen hinter TorrentLocker (auch als Crypt0L0cker bekannt) ihre Web-Fallen vorzugsweise auf neu registrierten Domains aufgestellt. Die Mails kommen in den kürzlich beobachteten Fällen scheinbar vom schwedischen Paketdienst PostNord oder vom italienischen Energieversorger Enel. Diese Masche mit falschen Rechnungen und Zustellbenachrichtigungen ist auch hierzulande hinlänglich gängig und bekannt. Doch anders als oft üblich, enthalten die Mails keinen schädlichen Anhang, sondern einen Link zu einer Website.

20 geniale Gratis-Sicherheits-Tools für Windows

Die Fake-Websites liegen in einem Unterverzeichnis einer Web-Präsenz eines legitimen Unternehmens, dessen Server gehackt wurde. Wer dem Link in der Mail folgt, landet auf einer Seite, die der Website des vorgeblichen Absenders nachempfunden ist. Dort sollen die Opfer ein Captcha lösen, um im Fall des Paketdienstes ein Versandetikett herunterzuladen. Dabei handelt es sich jedoch um ein ZIP-Archiv, das eine EXE-Datei enthält. Die ZIP-Dateien liegen laut Forcepoint zurzeit auf Yandex-Servern.

TorrentLocker fordert Lösegeld
Vergrößern TorrentLocker fordert Lösegeld

Wer die EXE-Datei ausführt, dessen Dateien werden verschlüsselt, die Originale gelöscht. Auf dem Bildschirm erscheint eine Meldung, die etwa lautet: „we have encrypted your files with Crypt0L0cker virus“. Die Täter verlangen beispielsweise 499 US-Dollar Lösegeld in der Online-Während Bitcoin. Wer zu lange mit dem Bezahlen warte, müsse das Doppelte zahlen, warnt ein weiteres Fenster.

Auch wenn die Forcepoint-Experten diesen Schädling derzeit in Italien und Schweden beobachten, kann er jederzeit auch in Deutschland wieder auftauchen. Achten Sie sorgfältig darauf, dass Sie in unerwarteten Mails nicht auf die Links klicken. Falls Sie versehentlich auf einen Link geklickt haben, laden Sie keine Dateien von den verlinkten Websites herunter. Es muss sich nicht um TorrentLocker handeln – es gibt genug andere Ransomware und weitere Malware-Arten, die auf ähnliche Weise verbreitet werden. Nicht nur Privatanwender sind in Gefahr – auch in Unternehmen und öffentlichen Institutionen haben Erpresserschädlinge bereits zugeschlagen.

0 Kommentare zu diesem Artikel
2184786