Krypto-Trojaner: TeslaCrypt erschwert Desinfektion des Rechners, verschlüsselt weitere Formate

Inhaltsverzeichnis

Die Entwickler des Erpressungs-Trojaners TeslaCrypt werden nicht müde, ihren Schädling weiter zu optimieren: Derzeit kursiert die Version 4.1A, die einige neue, fiese Tricks auf Lager hat. Laut einer Analyse der Sicherheitsfirma Endgame verschlüsselt die neue Version nun unter anderem auch Bitcoin-Wallets und Spielstände. Zudem hat es der Trojaner auf Dateien mit der Endung .bak abgesehen, die diverse Programme für Backups nutzen. Dabei lässt sich TeslaCrypt nicht gern über die Schulter schauen: Analyse-Tools wie den Process Explorer von SysInternals oder den Task-Manager schießt die neue Version des Schädlings ab.

Verschlüsselt weitere Formate

TeslaCrypt verschlüsselt Dateien, die bestimmte Dateinamenerweiterungen haben – so will der Krypto-Trojaner jene Daten erwischen, die dem Nutzer lieb und teuer sind, während etwa Systemdateien verschont bleiben. Die jüngst hinzugefügten Dateiendungen lauten .bak, .bsa, .litesql, .tiff und .wallet.. Die Endung .bak nutzen diverse Programme für Backups, bei .bsa handelt es sich um Spielstände des Entwicklers Bethesda (Fallout 3, The Elder Scrolls und weitere). Bei .litesql-Dateien erhofft sich TeslaCrypt vermutlich, dass es sich um Datenbanken handelt, .tiff ist ein verbreitetes Grafikformat. Zudem hat es der Erpresser auf .wallet-Dateien abgesehen: Diese Endung wird zum Beispiel von dem verbreiteten Bitcoin-Wallet MultiBit HD genutzt.

Analyse nicht gern gesehen

Zudem haben die Ransomware-Entwickler Maßnahmen eingebaut, welche die Analyse des befallenen Rechners erschweren: So killt der Schädling unter anderem den Taskmanager. Wer ungewöhnliche Festplattenaktivitäten bemerkt und ergründen möchte, welcher Prozess dafür verantwortlich ist, schaut in die Röhre. Auch den Process Explorer von SysInternals beendet der Trojaner. Eine Desinfektion des befallenen Rechners gestaltet sich ebenfalls schwierig, denn TeslaCrypt verhindert zudem das Ausführen des Registrierungs-Editors, der Eingabeaufforderung und des Konfigurations-Tools msconfig. Mit letzerem kann man schnell herausfinden, ob beim Systemstart verdächtige Prozesse ausgeführt werden. Der Krypto-Trojaner versucht darüber hinaus, das Debugging zu erschweren.

Schneller Schutz gegen TeslaCrypt

Laut der Analyse wird TeslaCrypt nach wie vor allem über Mails mit Dateianhang verbreitet. Im Anhang befindet sich ein Zip-Archiv, das eine JavaScript-Datei enthält. Es handelt sich dabei um den Downloader Nemucod, der den eigentlichen Schädling nachlädt und ausführt.

Vor solchen Downloadern kann man sich recht einfach schützen, indem man den Windows Script Host deaktiviert, der für das Ausführen von Skripten zuständig ist. Wie in c't 7/16 auf Seite 79 geschildert, legt man dazu einen in der Registry unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings eine Zeichenfolge namens "Enabled" an und setzt deren Wert auf "0". Kommt es anschließend zu Komplikationen, etwa weil ein genutztes Programm ohne den Host nicht funktioniert, setzt man den Wert auf "1", um die Systemkomponente wieder zu aktivieren. Noch komfortabler ist es, die von uns vorbereiteten Registry-Dateien zu importieren, die wir kostenfrei zum Download anbieten.

Wer sich umfassend über das Thema Krypto-Trojaner informieren möchte, kann an unserem heisec-Webinar Erpressungs-Trojaner - jetzt richtig vorbeugen! teilnehmen, das am 18. Mai 2016 um 11:00 Uhr stattfinden wird. In etwa 45 Minuten erklären wir live, wie man sich effizient vor TeslaCrypt, Locky und Co. schützt. Anschließend ist Raum für Fragen. Das Webinar richtet sich an IT-Verantwortliche in Firmen und Behörden.

Lesen Sie dazu auch:

• Neue Entwicklungen bei Erpressungstrojanern
  

(rei)