Erpressungs-Trojaner CTB-Locker verschlüsselt sicher und verwischt Spuren
Wenn man diesem Schädling zum Opfer fällt, gibt es wenig Hoffnung für die eigenen Daten. Diese sind mit State-of-the-Art-Verschlüsselung gesichert und der Trojaner kommuniziert nur verschlüsselt über das Tor-Netz mit seinen Kontrollservern.
- Fabian A. Scherschel
Erpressungs-Trojaner werden von ihren kriminellen Schöpfern kontinuierlich weiterentwickelt. Die Virenjäger von Kaspersky berichten jetzt über eine neue Variante namens CTB-Locker: Der Trojaner verschlüsselt nicht nur die Daten seiner Opfer wirkungsvoll, er schützt auch jegliche Kommunikation mit den eigenen Command-and-Control-Servern, indem er sie verschlüsselt. Um seine Spuren zu verwischen, werden diese Server über Onion-Adressen im Anonymisierungsnetz Tor versteckt. Das erschwert es den Virenjägern, sie zu finden und auszuschalten.
Opfer des Trojaners sehen sich, wie mittlerweile bei dieser Art Schadcode üblich, damit konfrontiert, dass ihre Daten vom Schädling nahezu unknackbar verschlüsselt sind und der entsprechende Schlüssel auf dem Command-and-Control-Server in Sicherheit gebracht wurde.
(Bild: Kaspersky)
Der Trojaner fordert sie dann auf, ein Lösegeld in Bitcoin zu zahlen – einer Forderung, der man unter keinen Umständen nachkommen sollte, da es keine Garantie gibt, dass die Gauner ihr Wort halten.
Diffie-Hellman statt AES/RSA
Ungewöhnlich ist, dass bei CTB-Locker nicht wie andere Erpressungstrojaner auf eine Kombination aus AES und RSA setzt, sondern statt dessen auf eine ausgefeilte Variante des Algorithmus Elliptic Curve Diffie–Hellman (ECDH). Kaspersky geht deshalb davon aus, dass es für die Daten der Opfer wenig Hoffnung gibt. Ebenso wenig scheint es erfolgversprechend, den geheimen Schlüssel auf dem Transportweg zum Server abzufangen, da CTB-Locker diese Daten auf die gleiche Weise verschlüsselt.
Kaspersky hat bis jetzt weniger als 100 Fälle von Befall mit CTB-Locker registriert. Ein entdeckter Angriff fand in Deutschland statt. Sollte man dem Trojaner zum Opfer fallen, helfen nur ein aktuell gehaltener Virenscanner und möglichst umfassende Backups aller wichtigen Daten. (fab)
