Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
News Disclaimer
Neue Infektions-Masche: Erpressungs-Trojaner missbraucht Windows PowerShell

29.03.2016

 zur Newsdatenbank home

PowerWare, ein Verschlüsselungs-Trojaner, infiziert Computer über die Windows PowerShell, um die Daten eines Opfers als Geisel zu nehmen und dies nicht in Form einer .exe-Datei. Die Sicherheitsforscher von Carbon Black warnen davor, nachdem eine nicht näher beschriebene Gesundheitsorganisation Opfer der Ransomware wurde.

Die Erpresser setzen auf eine bekannte Methode, um die Infektion einzuleiten. Eine gefälschte E-Mail ist der Ausgangspunkt, die im Anhang eine vermeintliche Rechnung in Form einer manipulierten Word-Datei mitbringt.

Wird dieses Dokument vom Opfer geöffnet, wird die Eingabeaufforderung mittels Macro von Windows aufgerufen und anschließend die PowerShell gestartet. Diese führt ein heruntergeladenes Ransomware-Skript aus, erklären die Kryptologen.

Da der Verschlüsselungs-Trojaner sich so sehr unauffällig verhält, beschreiben die Kyptologen diese Vorgehensweise als besonders raffiniert. Die Infektion findet schließlich aus einem legitimen Windows-Prozess statt und PowerShell wird missbraucht, um "die dreckige Arbeit" zu erledigen.

Sicherheitsforschern zufolge verrichtet PowerWare sein Zerstörungswerk gänzlich ohne den Download zusätzlicher Dateien und vermeidet Schreibzugriffe auf die Festplatte. Das gab es bisher noch nicht.

Eine Infektion leitet zwar auch oft andere Verschlüsselungs-Trojaner wie Locky & Co über die Makro-Funktion von Word ein, läd im Zuge dessen aber ausführbare Dateien herunter. Bei PowerWare stößt ebenfalls ein Skript aus der PowerShell die Verschlüsselung an.

Carbon Black zufolge können Opfer unter Umständen den Schlüssel zum Dechiffrieren der Daten abgreifen. Wenn PowerWare die Command-and-Control-Server kontaktiert, findet das Übertragen der Daten unverschlüsselt statt und man könnte den Schlüssel im Klartext einsehen.

PowerWare dürfte sich mit seiner Vorgehensweise effektiv vor Viren-Wächtern verstecken können. Sicherheitsforscher empfehlen als Schutzmaßnahme den Aufruf der Eingabeaufforderung aus Word heraus (winword.exe) zu blockieren. Allerdings führen sie nicht aus, wie das funktionieren soll. In ihrer kostenpflichtigen Sicherheitslösung Carbon Black Enterprise Protection verweisen sie lediglich auf eine entsprechende Funktion.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89