Microsoft warnt Erpresser-Trojaner ZCryptor auf dem Vormarsch
Ein neuer Expresser-Trojaner namens "ZCryptor" verbreitet sich derzeit vor allem über E-Mails und USB-Sticks. Sobald er einen Computer befallen hat, kann er mehr als 80 verschiedene Dateitypen verschlüsseln und für den Nutzer damit unbrauchbar machen. Wer wieder an seine Daten will, soll zahlen.
Microsoft warnt auf seiner englischsprachigen Blogseite zum Microsoft Malware Protection Center, dass ZCryptor ein wurmartiges Verbreitungsschema nutzt. Zunächst schleicht er sich als Dateianhang in Spam- und Phishing-Mails auf fremde Rechner. Teils lauert er auch als gefälschte Installationsdatei, etwa für den Flash Player, im Internet.
Hat er einen Computer infiziert, verseucht der Trojaner auch angeschlossene Wechseldatenträgern wie USB-Sticks, SD-Karten und externen Festplatten. Hier nistet sich ZCryptor in der Autostartroutine ein. Sobald der USB-Stick dann an einen Computer angeschlossen wird, installiert sich der Trojaner dort automatisch.
Daten werden unlesbar verschlüsselt
Dann beginnt ZCryptor sein Unwesen zu treiben, indem er die gespeicherten Dateien auf dem Computer verschlüsselt und damit unlesbar macht. Das gelingt ihm laut Microsoft bei mindestens 80 verschiedenen Dateitypen. Wenn eine Worddatei beispielsweise nicht mehr auf ".docx" sondern auf ".zcrypt" endet, ist es zu spät. Die Dateien werden mit einem 256-Bit-Schlüssel codiert.
Auf einem schwarzen Warnbildschirm wird dem Nutzer des Computers erklärt, dass "Alle persönlichen Daten verschlüsselt sind". Der Nutzer soll 1,2 Bitcoins – derzeit circa 510 Euro – bezahlen. Dazu hat das Opfer vier Tage Zeit. Ab dem fünften Tag steigt der Preis auf 5 Bitcoins, was 2135 Euro entspricht. Sollte der Nutzer nicht binnen sieben Tagen zahlen, würde der Schlüssel für seine Daten gelöscht und diese damit endgültig unbrauchbar. Dasselbe geschehe, wenn der Nutzer versuche, den Trojaner oder die Verschlüsselung zu entfernen.
Derzeit keine Gegenmaßnahmen verfügbar
Derzeit sind keine Gegenmaßnahmen bekannt, mit denen bereits befallene und damit verschlüsselte Dateien wieder hergestellt werden können. Was bleibt, sind vorbeugende Maßnahmen, um den Befall mit Erpresser-Trojanern wie ZCryptor zu verhindern. Diese Empfehlungen sollten Sie befolgen:
- Das Betriebssystem und die Software immer auf dem neuesten Stand halten.
- Das Gleiche gilt für die Antiviren-Software.
- Regelmäßig Backups aller wichtigen Daten am besten auf einer externen Festplatte ablegen.
- Keine verdächtig wirkenden E-Mails und unbekannten E-Mail-Anhänge öffnen.
- In den Office-Programmen das automatische Laden von Markos deaktivieren.
- Die Funktion "Remote Desktop" deaktivieren.
- Bei wichtigen Diensten wenn möglich die Zwei-Faktor-Autentifizierung nutzen.
- Sichere Internetverbindungen nutzen.
- Einen Browser-Schutz wie Web of Trust nutzen, der vor gefährlichen Internetseiten warnt