Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Erpressungs-Trojaner Surprise verbreitet sich anscheinend über TeamViewer

24.03.2016

 zur Newsdatenbank home

Im Forum von Bleepingcomputer.com diskutieren Opfer über den Verschlüsselungstrojaner Surprise und deren Infektionswege. Viele gehen davon aus, dass der Schädling über Team-Viewer auf ihre Computer geschoben wurde. Mit der Fernwartungssoftware ist es möglich, Dateien an Kontakte zu schicken. Das nutzen die Erpresser im Fall von Surprise, anscheinend zum infizieren von Windows-Computern.

Die Kriminellen missbrauchen keine Sicherheitslücke um dies zu erreichen, wurde gegenüber heise Security von einem Teamviewersprecher versichert. Sie kapern vielmehr Accounts, um Surprise dann an alle mit dem Konto verknüpften Computern zu verteilen. Von TeamViewer wird empfohlen, ihre Accounts zusätzlich abzusichern, indem sie die Zwei-Faktor-Authentifizierung nutzen.

Noch ist unklar, wie die Angreifer an die Log-in-Daten kommen. Brute-Force-Angriffe schließt TeamViewer aufgrund der abgesicherten Infrastruktur gegen direkte Attacken aus. Aufgrund der Ende-zu-Ende-Verschlüsselung sei ein Man-in-the-Middle-Angriff auch unwahrscheinlich.

Seitens Teamviewer wird davon ausgegangen, dass die Account-Daten von den Gaunern aus einer unbekannten Quelle kopiert wurden. Dabei wird vermutet, dass die Daten auf gut Glück bei einem TeamViewer-Client eingegeben wurden. Ob eigene Account-Daten kompromittiert wurden, kann man auf der Webseite haveibeenpwned.com prüfen.

Es müssen für eine erfolgreiche Infektion aber noch mehrere Voraussetzungen erfüllt sein: Der Computer muss eingeschaltet sein. Zusätzlich fällt es einem potenziellen Opfer natürlich auf, wenn plötzlich eine Fernwartungs-Session startet. Der Angreifer muss letztlich die Kontrolle für einen gewissen Zeitraum über den zu infizieren Computer haben, um den Erpressungs-Trojaner zu installieren und vorher herüberzuschieben.

Die Ransomware versieht verschlüsselte Dateien mit der Namenserweiterung .surprise. Aktuell gibt es keine Möglichkeit, die Dateien zu entschlüsseln ohne das Lösegeld zu zahlen. Ein Tool, mit dem die Daten entschlüsselt werden können, gibt es derzeit nicht.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89