Auf den Spuren von Cryptolocker

Die Malware "CryptoLocker" hat in den letzten neun Monaten bereits mehr als 27 Millionen US-Dollar bei Anwendern erpresst. Bitdefender war seit Bekanntwerden im November 2013 aktiv daran beteiligt, Schwachstellen zu finden und die Personen zu identifizieren, die hinter dem Trojaner stecken. Mit der Beschlagnahmung des Botnetzes "GameOver Zeus" konnte Anfang Juni die Verbreitung von Cryptolocker zwar gestoppt werden, eine Vielzahl an Rechnern ist aber noch infiziert.

Anwender sollten daher unbedingt einen Virenscan auf ihren Rechnern durchführen, um einen inaktiven Cryptolocker zu erkennen und zu beseitigen.

Die Malware verbreitet sich überwiegend über Spam-Nachrichten, in deren Anhang sich eine Passwort-geschützte Datei mit einem Cryptolocker-Downloader befindet. Sobald dieser Trojaner ausgeführt wird, kontaktiert Cryptolocker sein Command-and-Control-Center, das einen 2048-BIT-RSA-Schlüssel generiert, dessen Entschlüsselung sehr unwahrscheinlich ist.

Die Russland-Verbindung

Bereits kurz nach der Entdeckung des Trojaners versuchten die Experten von Bitdefender über die IP-Adresse herauszufinden, wer hinter Cryptolocker steckt. Sie wurden an einen russischen Händler weitergeleitet, der sich aber nicht als Eigentümer von Cryptolocker erwies, sondern den Server vermietet hatte. Der Reseller fuhr den Server herunter, danach war der Trojaner für einige Tage verschwunden. Kurz darauf wurde aber festgestellt, dass sich der Trojaner trotz des sogenannten „Takedowns“ weiter verbreitete.

In enger Zusammenarbeit mit dem russischen Händler fand Bitdefender heraus, dass der gesuchte Server in Großbritannien gehostet wurde. Daneben begann die britische NCCU ("National Cyber Crime Unit") eine unabhängige Untersuchung und überwachte den Server. Um seinen Zustand zu bewahren, wurde er am 6. Februar 2014 isoliert. Allerdings war es nach der Beschlagnahmung nicht mehr möglich, auf den Server zuzugreifen. Zwei Wochen später informierte die NCCU Bitdefender, dass es sich bei dem Server um einen Proxy handelte, der eine Botnetz-Infrastruktur verbarg.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Auf den Spuren von Cryptolocker
2. Botnetz noch lange aktiv

Lesen Sie mehr zum Thema

Weitere Artikel zu BitDefender GmbH

Bitdefender Labs: Gefahr durch RedCurl

Ransomware attackiert Hypervisoren

7 Trends für IT-Sicherheitsdienstleister

Wenn sich die Hacker neu aufstellen, kann das der Channel auch

Mutmaßlich nordkoreanischer Hintergrund

Fake-Jobangebote für Software-Entwickler auf LinkedIn

Supply-Chain-Angriffe aufgedeckt

Kompromittierte Word-Dokumenten gegen Behörden eingesetzt

Jährlich 1,5 Billionen Dollar Beute

So hocheffizient sind die Taktiken der Cybercrime-Szene

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft

Weitere Artikel zu Mobile Security

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Mobiles Gerätemanagement

Samsung richtet Knox-Services neu aus