Sicherheitsforscher warnen vor TeslaCrypt, einer neuen Version der Ransomware, die Computer infiziert und Daten chiffriert. Für Opfer ist es nun noch schwerer herauszufinden, was mit ihren Dateien passiert ist.

TeslaCrypt, der Erpressungs-Trojaner, ist in Version 4.0 angekommen und aktuell im Umlauf. Davor warnt Bleepingcomputer.com, eine IT-Seite und Informationsquelle für Ransomware-Opfer. Die Sicherheitsforscher von Heimdal Security bestätigen die neue Version ebenfalls. Eine Analyse steht noch aus.

Einige Fakten von TeslaCrypt 4.0 sind aber schon bekannt: Dateien, die größer als vier GByte sind, können von TeslaCrypt 4.0 jetzt auch korrekt verschlüsselt werden. Die Vorgänger hatten solche Dateien zerstört. Als erster Erpressungs-Trojaner werden keine Namenszusätze an verschlüsselte Dateien gehängt. Für Opfer macht es das schwerer zu verstehen, was mit ihren Dateien passiert ist.

Um einen individuellen Schlüssel zu erzeugen, soll der Trojaner zusätzlich Informationen (SystemBiosDate, DigitalProductID, und MachineGuid) über den infizierten Computer auslesen können. Dieser verbleibt auf den Command-and-Control-Servern der Kriminellen außer Reichweite der Opfer.

Die Verbreitung von TeslaCrypt 4.0 soll Heimdal Security zufolge derzeit größtenteils via Drive-by-Downloads über das Angler Exploit Kit verteilt werden.

Opfer von TeslaCrypt 2.0 hatten aufgrund eines Fauxpas der Gauner Glück im Unglück, denn mit dem kostenlosen Tool TeslaDecoder lies sich der Schlüssel rekonstruieren. Dieser Fehler wurde in TeslaCrypt 3.0 Anfang 2016 behoben. Auch bei einer Infektion mit der aktuellen TeslaCrypt-Version hilft das Tool nicht weiter.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE