Zum Windows-Tool-Forum von IObit haben sich offensichtlich unbekannte Hacker Zugang verschafft und verteilen nun den Windows-Verschlüsselungstrojaner DeroHE an Forenmitglieder. Gefälschte E-Mails, die Empfängern ein Jahr lang kostenlose Lizenzen versprechen, enthalten den schadhaften Code.

IObit bietet verschiedene Windows-Tools an, um beispielsweise das System zu optimieren oder Malware zu entfernen.

Es sammeln sich im Forum der Website Bleepingcomputer Berichte von Opfern, die sich die Ransomware eingefangen haben. Diese haben sich aus einer dieser gefälschten E-Mails die verlinkte Datei heruntergeladen und installiert. DeroHE hat im Anschluss deren Dateien verschlüsselt. Nur gegen ein Lösegeld in Höhe von 100 US-Dollar soll der Schlüssel an die Opfer herausgegeben werden.

Hinzu kommt, dass die Malware vom Anbieter signiert ist. Die Angreifer müssen demzufolge einen Schlüssel zum Signieren von Software von IObit erbeutet haben. Der Virenscanner Windows Defender eines Opfers soll nicht auf die Datei angesprungen sein, was unter anderem an der vertrauenswürdigen Signierung liegen könnte. Es ist noch nicht bekannt, wie oft die Ransomware zum Einsatz kam.

Benutzer mit einem Account für das Forum sollten sich vor solchen E-Mails in Acht nehmen. Momentan ist das Forum noch offline. Laut Bleepingcomputer soll die Forensoftware vBulletin in der verwundbaren Version 5.6.1 eingesetzt worden sein.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE