Am Dienstag hat eine neue Ransomware-Variante zahlreiche Computer in Russland und der Ukraine verschlüsselt. Nach Angaben der Sicherheitsfirma Eset soll es sich um eine Variante der Ransomware Diskcoder.D handeln.

Badrabbit kann über einen Drive-by-Download auf einer Webseite heruntergeladen werden. Nutzer müssen also die heruntergeladene Datei selbst installieren. Laut Angaben von Kaspersky handelt es sich um einen angeblichen Adobe-Flash-Installer. Der Download soll auf verschiedenen Nachrichtenwebseiten stattgefunden haben. Kaspersky gibt den Link des Droppers mit hxxp://1dnscontrol[.]com/flash_install.php an. Nach derzeitigem Kenntnisstand werden Exploits nicht genutzt, um die Malware zu verteilen.

Der Angriff soll gezielt auf Firmennetzwerke gerichtet sein. Rund 200 Opfer sollen bis gestern Abend betroffen sein. Zu den Betroffenen zählt unter anderem die russische Nachrichtenagentur Interfax, die Metro der ukrainischen Hauptstadt Kiew und der Flughafen von Odessa.

Die Dateien c:\windows\infpub.dat und c:\windows\cscc.dat startet nach derzeitigem Stand die Verschlüsselung des Rechners. Diese sollten von Administratoren blockiert werden. Neuere Versionen der Malware könnten natürlich andere Dateinamen verwenden.

(pp, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE