Hallbergmoos, 29. Juni 2016. Trend Micro hat vor Kurzem eine neue Crypto-Ransomware („MIRCOP“) entdeckt, deren Hintermänner sich selbst als Opfer darstellen. Und in der Tat fordern sie von ihren Opfern kein „Lösegeld“, sondern eine „Rückzahlung“, so als ob sie zuerst bestohlen worden wären. Außergewöhnlich ist ferner die Höhe der geforderten Geldsumme: 48,48 Bitcoins (was knapp 29.000 US-Dollar entspricht). Dies und das Fehlen eines explizit genannten Zahlungsempfängers deuten darauf hin, dass es sich hier um einen gezielten Angriff mit Erpressersoftware handeln könnte – ein absolutes Novum.

Demgegenüber weisen Verbreitungsweg (Spam-Nachrichten) und Wirkungsweise (Dateiverschlüsselung) die typischen Eigenschaften von Erpressersoftware auf. Im Anhang der Spam-E-Mail findet sich ein Makro-aktiviertes Dokument, angeblich ein thailändisches Zollformular für Im- und Export. Wer auf den Trick hereinfällt, das Dokument öffnet und die Makros aktiviert, wird auf eine infizierte Webseite geleitet. Von dort wird die eigentliche Schadsoftware heruntergeladen und ausgeführt.

„Es gibt einige Indizien, die darauf hindeuten, dass MIRCOP ganz bestimmte Opfer im Visier hat“, vermutet Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro. „Einerseits gibt es keine echten Zahlungsanweisungen – man geht also davon aus, dass das Opfer schon wissen wird, wohin es die Bitcoins transferieren soll. Andererseits kam es zu keinem Spam-Ausbruch im Zusammenhang mit der Erpressersoftware und deren Downloader. Ferner wurden weltweit bislang weniger als zwanzig Rechner infiziert, wie meine Kollegen ermittelt haben. Das sind bedeutend weniger Infektionen als bei „normalen“ Ransomware-Kampagnen. Meine Kollegen könnten daher mit MIRCOP einen gezielten Angriff entdeckt haben. Gezielte Angriffe über Ransomware aber stellen eine neue Stufe der Bedrohung durch Erpressersoftware dar.“

Mehrschichtige Sicherheitssoftware sorgt für Schutz
Generell sollten Anwender – Privatleute wie Unternehmen – auf ihren Geräten eine moderne Sicherheitssoftware installieren und stets auf dem aktuellen Stand halten. Außerdem sollten diese Schutzlösungen über Cloud-Sicherheitsmechanismen verfügen, damit etwa Webadressen, die zu Erpresser- und anderer Schadsoftware führen, oder E-Mails mit bösartigen Links geblockt und bösartige Dateien gar nicht heruntergeladen oder ausgeführt werden. Zusätzlich bietet die Verhaltensanalyse solcher Sicherheitssoftware Schutz und kann eine unbekannte oder zunächst nicht erkannte Bedrohung noch vor dem eigentlichen Schaden abwehren.

Trend Micro-Kunden – Privatanwender wie Unternehmen – können sich mithilfe der Lösungen „Security“, „Smart Protection Suites“, „Worry-Free Business Security“, „Deep Discovery Email Inspector“, „InterScan Web Security“, „Deep Security“ und „Endpoint Application Control“ vor der Bedrohung durch MIRCOP schützen. „Endpoint Application Control“ verhindert dabei das Installieren und Ausführen jeglicher Software, die nicht vorher von den Administratoren als vertrauenswürdig und zugelassen definiert wurde (so genanntes Whitelisting).

Erste Hilfe: Kostenlose Anti-Ransomware-Tools
Erste Hilfe im Fall einer Infektion bietet Trend Micro mit zwei kostenlos abrufbaren Tools, die bestimmte Varianten von Crypto-Ransomware entschlüsseln können: „Trend Micro Crypto-Ransomware File Decryptor“ und „Trend Micro Anti-Ransomware“. Damit können sich Opfer von Erpressersoftware in vielen Fällen aus den Fängen der Hintermänner dieser Art von Schadsoftware befreien: Sie können verschlüsselte Dateien auf mit „TeslaCrypt“ und „CryptXXX“ infizierten Rechnern wieder entschlüsseln und eventuelle Bildschirmsperren aufheben. Denn eines sollten sie bei einer Infektion auf keinen Fall tun: Auf die Forderungen der Erpresser eingehen und Lösegeld bezahlen!

Weitere Informationen
Weitere Informationen zur neu entdeckten Ransomware-Variante sind im deutschsprachigen Trend Micro-Blog abrufbar.