TechNet Blog Deutschland

News für IT-Pros & Neues aus dem TechNet-Team

Ransomware Nymaim: Deutsche müssen 110 Euro blechen

Ransomware Nymaim: Deutsche müssen 110 Euro blechen

  • Comments 2
  • Likes

Ransomware sperrt den befallenen Computer oder verschlüsselt User-Daten. Um sie wieder zu entschlüsseln beziehungsweise den Computer zu entsperren, müssen Opfer ein „Lösegeld“ zahlen. Im Fall von Nymaim (auch bekannt als “Win32/Nymaim”) wird die Malware durch den Virus “DarkLeech” verbreitet. “DarkLeech” kompromittiert Webserver und infiziert die PCs arglos vorbeisurfender Anwender mittels des seit langem bekannten Exploit-Kits Black Hole.

Win32/Nymaim wurde im Zuge der Malware-Kampagne zu DarkLeech/Black Hole Exploit-Kit veröffentlicht, die auch als “Home Campaign” bekannt ist. Seit Beginn der Kampagne im Februar 2011 konnten dem unabhängigen Security-Analysten und Blogger Kafeine zufolge 2,8 Millionen Infektionen festgestellt werden – und der Trojaner-Downloader mit Ransomware-Features ist immer noch aktiv. Inzwischen wurden ein neuer Infektionsvektor gefunden, der auf Black-Hat-SEO basiert. Also einer bösartigen Manipulation von Suchmaschinenergebnissen. In ihrem Blog schreiben die Sicherheitsforscher von Eset, dass sie neben den per Black Hole ausgeführten Drive-by-Downloads verseuchte Webseiten fanden, die immer, wenn nach beliebten Keywords gesucht wird, durch Black Hat-SEO oben in Suchergebnissen landeten.

Malware-Analysten haben festgestellt, dass die Lockscreens der Erpresser-Malware jeweils speziell für Länder in Europa und Nordamerika designt und sprachlich angepasst wurden. So gibt es bereits Lockscreen-Designs für Deutschland, Österreich, die Niederlande, England, Frankreich, Irland, Kanada, Mexiko, Norwegen, Rumänien, Spanien und die USA.

In den meisten untersuchten Ländern wurde ein „Lösegeld“ von 150 US-Dollar (circa 110 Euro) gefordert. Es gibt jedoch auch länderbedingte Unterschiede: Während von Nutzern in den USA mit 300 US-Dollar die höchste Summe gefordert wurde, wurden in Rumänien nur 100 Euro verlangt. 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates. 

Comments
  • <p>Vielen Dank für die Beschreibung der Ransomware, Herr Kronawitter. Aber ich vermisse in Ihrem Artikel als Chief Security Advisor eine Erklärung, wieso es möglich ist, dass sich das Windows-Betriebssystem durch eine Drive-by-Infektion mittels Lockscreening sperren lässt? Und daraus folgernd, wie der betroffene Windows-Anwender diese Infektion beseitigen kann ohne Bezahlung in Höhe einer halben Windows-Lizenz?</p> <p>Mit freundlichen Grüßen</p>

  • <p>Informativer Beitrag Herr Kranawetter.</p> <p>@Xplorer : Zu einem ergibt sich das Wieso und Warum aus den verlinkten Beiträgen.</p> <p> Zum anderen würde es in eine riesige Schelte für betroffene User ausarten. Der Großteil aller Infektionen ist auf fehlende Updates und veraltete Betriebssysteme zurückzuführen. </p> <p>Zitat aus &nbsp;<a rel="nofollow" target="_new" href="http://heise.de/-1833910">http://heise.de/-1833910</a> : ...über die sich Besucher mit dem Blackhole Exploit Kit infizieren können. Dieser nutzt wiederum gezielt Sicherheitslücken in Oracles Java, Adobes Flash und Reader und anderer weit verbreiteter Plug-ins aus...</p> <p>Eine Bereinigung des Systems mittels Zahlung der erpressten Summe grenzt an Wunderglauben. Hier hilft nur Vorsorge in Form regelmäßiger Backups und externer Speicherorte (NAS, Cloud) . Sollten die eigenen Fähigkeiten beim Bereinigen des Systems nicht ausreichend sein, so ist fachmännische Hilfe unumgänglich. Das ist in der Regel mindestens genauso teuer wie das Lösegeld, im Gegensatz dazu aber zuverlässig.</p> <p>Ein einmal kompromittiertes System ist zudem nicht mehr vertrauenswürdig. Bei der Verarbeitung von vertraulichen Daten ist daher eine Reparatur nur zur Datenrettung sinnvoll. Danach sollte das System frisch aufgesetzt werden.</p>

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment