ESET TeslaCrypt Decryptor: Schon über 32.000 Downloads, neuer Crysis-Filecoder auf dem Vormarsch

Jena (pts033/07.06.2016/16:05) – Der europäische Security-Software-Hersteller ESET http://www.eset.com/de vermeldet weltweit über 32.000 Downloads seines TeslaCrypt Decryptor Tools. Der kostenfreie Helfer ist dazu in der Lage, von der heimtückischen Schadsoftware TeslaCrypt verschlüsselte private Daten auf einfache Art und Weise wieder freizuschalten. Ein Schädling weniger, aber viele neue sind bereits auf dem Weg.

Über 32.000 Downloads zeigen Ausmaß an Infektionen

Die ESET-Forscher staunten nicht schlecht, nachdem sie sich vor einigen Wochen anonym an die Hintermänner von TeslaCrypt wandten, den Master-Key des Filecoders anfragten und überraschend übersendet bekamen. Prompt nutzte die Entwicklungsabteilung von ESET diesen universell einsetzbaren Entschlüsselungs-Code und übersetzte diesen innerhalb weniger Stunden in das ESET TeslaCrypt Decryptor Tool. Kurz darauf wurde die Verfügbarkeit der Software mit der Öffentlichkeit geteilt und seitdem mehr als 32.000 Mal heruntergeladen. Alleine in Deutschland vermeldet ESET bis 4. Juni über 1100 Downloads, die siebthöchste Größe weltweit – knapp 400 Mal wurde das Tool in Österreich und Schweiz heruntergeladen.

„Die Download-Zahlen des ESET-Tools geben uns einen Geschmack über die Anzahl von Rechnern, die von TeslaCrypt infiziert wurden“, so ESET-Security-Specialist Thomas Uhlemann. „Verschlüsselungs-Trojaner stellen ein großes Risiko dar und werden auf Grund der erpresserischen Komponente für Cyber-Kriminelle immer interessanter. Ist ein Filecoder wie jüngst TeslaCrypt geknackt, verbreiten sich schon etliche neue im Netz – da ist Vorsorge stets besser als Nachsorge.“

Fast täglich neue Erpresser-Viren im Umlauf

Mit dem Ableben von TeslaCrypt treten immer neue Verschlüsselungs-Trojaner auf den Plan: Aktuell verbreiten sich das Schadprogramm Nemucod (JS/TrojanDownloader.Nemucod) und gefährliche Script-Anhänge (JS/Danger.ScriptAttachment) rasend schnell in Europa, vornehmlich über infektiöse E-Mail-Anhänge, und laden nach der Ausführung verschiedene Varianten von Locky (Win32/Filecoder.Locky) nach.

Neue Auswertungen der ESET-LiveGrid-Statistik zeigen außerdem immer öfter einen neuen Spieler namens Win32/Filecoder.Crysis auf dem Virenradar – diese bösartige Software verschlüsselt Dateien nach einer Infektion auf fest verbauten, austauschbaren und über das Netzwerk eingebundenen Laufwerken. Crysis verteilt sich nach Informationen von ESET über Spam-Mails und nutzt starke Verschlüsselungs-Algorithmen und -Schemen, wodurch das Wiederherstellen der Daten in kurzer Zeit schwer bis unmöglich ist.

Crysis stellt durch Einträge in die Windows-Registrierung sicher, bei jedem Systemstart ausgeführt zu werden und verschlüsselt alle Daten, die er finden kann – mit Ausnahme der System- und Malwaredaten. Die Schadsoftware sammelt außerdem Systeminformationen und schickt diese an einen Remote-Server, der von den Angreifern betrieben wird. Auf einigen Windows-Versionen stellt Crysis zudem den Versuch an, mit Administratorrechten ausgeführt zu werden, um noch tiefer ins System eindringen zu können.

Nach abgeschlossener Aktivität auf einem Rechner legt Crysis eine Textdatei auf dem Desktop ab, die eine E-Mail-Adresse beinhaltet. Schickt der Betroffene eine E-Mail an diese Adresse, erhält er die Zahlungsaufforderung von 400 bis 900 Euro, zahlbar in BitCoins.

Opfer von Crysis, die von einer älteren Version der Schadsoftware betroffen sind, haben die Chance auf eine Wiederherstellung der Daten. Hier kann der technische Support von ESET helfen. Anders sieht es bei den neueren Versionen von Crysis aus: hier besteht aktuell keine entsprechende Möglichkeit.

Zusatz-Informationen zum TeslaCrypt Decryptor Tool

Das ESET TeslaCrypt Decryptor Tool steht im Download-Bereich von ESET unter der nachfolgenden Adresse kostenfrei zur Verfügung: http://download.eset.com/special/ESETTeslaCryptDecryptor.exe

In der ESET Knowledgebase findet sich zudem eine deutschsprachige Anleitung http://support.eset.com/kb6051/?viewlocale=de_DE , die Betroffenen beim Freischalten ihrer Daten unterstützt. Damit es gar nicht erst zu einer Infektion kommt, rät ESET zum Einsatz einer aktuellen Security-Lösung mit Echtzeit-Schutz, beispielsweise der ESET Smart Security http://www.eset.com/de/home/products/smart-security . Die Sicherheitslösung mit Banking-Browser, Personal Firewall und Anti-Theft erzielte im Vergleichstest von Stiftung Warentest die Endnote GUT (2,4).

(Ende)

Aussender: ESET Deutschland GmbH Ansprechpartner: Michael Klatte Tel.: +49 364 13114 257 E-Mail: michael.klatte@eset.de Website: www.eset.de