Direkt zum Inhalt Direkt zur Navigation
Sie sind hier: Startseite Berichte IT/Computer Auf den Spuren von CryptoLocker

Auf den Spuren von CryptoLocker

Archivmeldung vom 11.07.2014

Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 11.07.2014 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.

Freigeschaltet durch Doris Oppertshäuser
Bild: Gerd Altmann / pixelio.de
Bild: Gerd Altmann / pixelio.de

Die Malware CryptoLocker hat in den letzten neun Monaten bereits mehr als 27 Millionen US-Dollar bei Anwendern erpresst. Bitdefender war seit Bekanntwerden im November 2013 aktiv daran beteiligt, Schwachstellen zu finden und die Personen zu identifizieren, die hinter dem Trojaner stecken. Mit der Beschlagnahmung des Botnetzes GameOver Zeus konnte Anfang Juni die Verbreitung von Cryptolocker zwar gestoppt werden, eine Vielzahl an Rechnern ist aber noch infiziert. Anwender sollten daher unbedingt einen Virenscan auf ihren Rechnern durchführen, um einen inaktiven CryptoLocker zu erkennen und zu beseitigen.

Die Malware verbreitet sich überwiegend über Spam-Nachrichten, in deren Anhang sich eine Passwort-geschützte Datei mit einem CryptoLocker-Downloader befindet. Sobald dieser Trojaner ausgeführt wird, kontaktiert CryptoLocker sein Command-and-Control-Center, das einen 2048-BIT-RSA-Schlüssel generiert, dessen Entschlüsselung sehr unwahrscheinlich ist.

Bereits kurz nach der Entdeckung des Trojaners versuchten die Experten von Bitdefender über die IP-Adresse herauszufinden, wer hinter CryptoLocker steckt. Sie wurden an einen russischen Händler weitergeleitet, der sich aber nicht als Eigentümer von CryptoLocker erwies, sondern den Server vermietet hatte. Der Reseller fuhr den Server herunter, danach war der Trojaner für einige Tage verschwunden. Kurz darauf wurde aber festgestellt, dass sich der Trojaner trotz des sogenannten "Takedowns" weiter verbreitete.

In enger Zusammenarbeit mit dem russischen Händler fand Bitdefender heraus, dass der gesuchte Server in Großbritannien gehostet wurde. Daneben begann die britische NCCU (National Cyber Crime Unit) eine unabhängige Untersuchung und überwachte den Server. Um seinen Zustand zu bewahren, wurde er am 6. Februar 2014 isoliert. Allerdings war es nach der Beschlagnahmung nicht mehr möglich, auf den Server zuzugreifen. Zwei Wochen später informierte die NCCU Bitdefender, dass es sich bei dem Server um einen Proxy handelte, der eine Botnetz-Infrastruktur verbarg.

Währenddessen überspielte die CryptoLocker-Bande ihre Daten auf einen anderen Rechner. Am 28. Januar 2014 wurde von einem infizierten Computer eine Verbindung an zwei IPs aufgebaut, die in einem russischen Rechenzentrum gehostet wurden - ein klarer Indikator, dass das Botnetz noch aktiv war. Durch eine ständige Überwachung der Domains, die vom entsprechenden Algorithmus erzeugt wurden, konnte die IP-Adresse ermittelt werden. Eine dieser IP-Adressen wurde auf einem Server in der Ukraine gehostet. Die Entwickler von Bitdefender fanden heraus, dass der Tier-1-Proxy-Server den Datenverkehr seiner Opfer auf einen zweiten Server weiterleitete, um seine Anonymität sicherzustellen. Da Bitdefender Zugang zu dem Tier-1-Proxy hatte, konnte das Unternehmen die Konfigurationsdateien verfolgen und auf den Tier-2-Proxy zugreifen. Diesem Server waren mehr als 10 verschiedene IP-Adressen zugewiesen.

Enge Verbindung mit GameOver Zeus

Am 2. Juni 2014 konnten die Sicherheitsbehörden das Botnetz GameOver Zeus ausschalten, das eine tragende Rolle bei der Verbreitung und Koordination von CryptoLocker spielte. Allerdings sind derzeit noch eine Reihe von Computern mit CryptoLocker infiziert, die bislang noch nicht "aktiviert" worden sind. Sobald dies geschieht, ist davon auszugehen, dass Anwender den Zugriff auf ihre Daten sofort verlieren werden.

"Um einen inaktiven CryptoLocker zu erkennen und zu beseitigen, sollten Anwender daher unbedingt einen Virenscan auf ihrem Rechner durchführen", erläutert Catalin Cosoi, Chief Security Researcher bei Bitdefender. "Zwar scheint die Gefahr mittlerweile gebannt, dennoch sollten Anwender neben der Verwendung einer Anti-Malware-Lösung auch Software-Updates für Produkte von Drittanbietern wie Java, Adobe Reader oder Flash einsetzen, sobald diese verfügbar sind."

Quelle: Bitdefender (ots)

Videos
Daniel Mantey Bild: Hertwelle432
"MANTEY halb 8" deckt auf - Wer steuert den öffentlich-rechtlichen Rundfunk?
Mantey halb 8 - Logo des Sendeformates
"MANTEY halb 8": Enthüllungen zu Medienverantwortung und Turcks Überraschungen bei und Energiewende-Renditen!
Termine
Newsletter
Wollen Sie unsere Nachrichten täglich kompakt und kostenlos per Mail? Dann tragen Sie sich hier ein:
Schreiben Sie bitte siebte in folgendes Feld um den Spam-Filter zu umgehen

Anzeige