Cryptowall ist eine weitere Variante des Cryptolocker und verbreitet sich rasant durch Werbung auf meist seriösen Seiten.
Der Schädling verwendet RIG Exploit Kits (EK) um die Lösegeld Malware zu verteilen. Das Rig Exploit Kit sucht gezielt nach nicht-aktuellen und nicht-gepatchten Versionen von Flash, Internet Explorer, Java und Silverlight auf dem infizierten Rechner und sobald es fündig wird, scannt der Schädling die Festplatte nach Dateien und beginnt umgehend mit der Verschlüsselung der gefundenen Dateien.
Der Virus infiziert und verändert sämtliche Betriebssystem-Dateien um eine Systemwiederherstellung zu verhindern und selbst die Volume Schatten Kopie (VSS) wird infiziert um eine Rekonstruktion der Daten zu verhindern.
Nachdem die Dateien mit eine RSA 2048 Verschlüsselung unbrauchbar gemacht wurden, wird das Opfer durch eine Meldung darüber informiert dass das System befallen ist und welche Dateien verschlüsselt wurden. In jedem Ordner der verschlüsselt wurde, befinden sich Dateien mit einer Anweisung wie man gegen Zahlung von zirka 400 Euro die Dateien wieder entschlüsseln lassen kann. Die Bezahlung soll in Bitcoins über einen versteckten Service erfolgen, welches hinter einem TOR Anonymisierungsdienst liegt. Die Erpresser drohen teilweise damit, dass wenn nicht innerhalb von 96 Stunden bezahlt wird, die Summe des Lösegeldes sich erhöht oder der benötigter Schlüssel zum entschlüsseln der Dateien, von den Command-and-Control Servern endgültig gelöscht wird.
Es gibt bisher keine Möglichkeit solche verschlüsselte Dateien mit Entschlüsselungssoftware zu entschlüsseln. Wer keinen Backup besitzt hat keine Möglichkeit an die Daten zu kommen. Ebenfalls weiß man nicht, ob bei Zahlung der Lösegeldsumme die Dateien tatsächlich entschlüsselt werden oder ob sie dann mit Schadcodes infiziert sind.
Sicher ist man nur, wenn eine Sicherung der wichtigen Daten vorhanden ist.
Um eine Infizierung unwahrscheinlicher zu machen und zu erschweren gibt es diverse kostenlose Tools. Mit CryptoPrevent kann verhindert werden dass eine Infizierung passiert, indem systemkritische Dateien geschützt werden.
Mit CryptoGuard wird ein Treiber durch HitmanPro.Alert installiert, welches verhindert dass der verdächtige Code ausgeführt wird. Die Software informiert den Nutzer dass eine Lösegeld Software entdeckt wurde und selbst wenn diese aktiv ist, sollen nach Herstellerangaben keine Dateien verschlüsselt werden können.
Kommentarbereich geschlossen.