Skip to main content
Verschlüsselung - (C) Nemo CC0 via Pixabay.de Verschlüsselung - (C) Nemo CC0 via Pixabay.de

Verschlüsselungs-Trojaner TeslaCrypt: Gefahr aus dem Web

Und wieder macht ein Trojaner von sich Reden, der den gesamten Datenbestand verschlüsselt. Der kommt nicht per Email, sondern per Webseite. TeslaCrypt treibt schon länger sein Unwesen, aber nun schlägt wohl die Welle richtig zu. Unzählige Webseiten sind infiziert. Der Trojaner kommt nicht nur per Email, sondern auch über Schadcode auf einer Webseite. Und die Betreiber der Webseiten leben in völliger Unkenntnis und setzen ihre Besucher der Gefahr aus.

Inzwischen gibt es die dritte Version von TeslaCrypt. Diese dritte Version namens „TeslaCrypt 3“ wird ins System eingeschleust und macht aus allen Dateien *.mp3-Dateien. So wird aus einer stinknormalen Dokument.doc eine Dokument.doc.mp3. Und es gibt kein Verfahren, um die Dateien zu entschlüsseln. Die Verbrecher hinter dem Trojaner erpressen – wie bei allen anderen Verschlüsselungs-Trojanern – Geld. Bisherige Verschlüsselungen mit den Endungen .aaa, .abc, .ccc, .ecc, .exx, .vvv, .xyz oder .zzz konnten entschlüsselt werden, die mit mp3 jedoch nicht.

Und wenn Sie jetzt denken, dass das mal wieder modifizierte Spam-Emails sind, könnten Sie falsch liegen. TeslaCrypt kommt jetzt auch über Webseiten daher. Es ist zum Beispiel die Rede vom Content Management System Joomla. Aber die Infektionen sind keineswegs nur darauf beschränkt. Praktisch alle Systeme könnten befallen werden: WordPress, Drupal, b2Evolution und so weiter und so fort. Ich vermute mal, dass dreiviertel aller Webseiten potentiell angegriffen werden können.

In Sachen WordPress ist das ja nicht mal ganz neu. Bereits Anfang Februar gab es entsprechende Warnungen. Und bereits vor knapp einem Jahr wurde vor einem Vorgänger des jetzigen TeslaCrypt gewarnt, der WordPress befällt. Möglicherweise ist es ja sinnvoll, dass man als Webmaster seine Webseite regelmäßig von außen überprüfen lässt. Ob das eine sichere Variante ist, kann ich nicht sagen. Aber sollte vielleicht nichts unversucht lassen.

Natürlich ist es sinnvoll, von der Webseite und der Datenbank regelmäßige Backups anzufertigen. Diese Backups kann man ja dann auch mit einem Virenscanner, der auf dem Computer installiert ist, überprüfen. Da muss man keine großen Zaubereien machen. Das gilt nicht nur für lokale Dateien, sondern auch für den Datenbestand der Webseite. Man muss sich aber mal die Arbeit machen und die Backup-Strategie einrichten. Und selbst dann kann es niemals kompletten Schutz geben.

Wer macht so etwas? Sind das „einfach nur Gauner“ auf dem Weg zur schnellen Million? Ich bin mir da mittlerweile nicht mehr sicher. Vielleicht stecken da auch viel höhere Ziele dahinter. Denn wenn niemand mehr das Internet nutzt, fehlt DAS Kommunikationsmittel unserer Zeit. Es ist schon irgendwie bezeichnend, dass ausgerechnet in diesen Tagen die Verschlüsselungs-Trojaner so immens zunehmen. Finden Sie nicht auch?

Verteilen Sie diese Erkenntnis doch einfach wie 7 andere auch

Henning Uhle

Henning Uhle ist gelernter Fachinformatiker für System Integration und zertifizierter System Engineer. Meine Sachgebiete sind Messaging & Collaboration sowie High Availability und Domain-Verwaltung. Ich schreibe über verschiedenste Dinge, die mich bewegen. Und es handelt sich immer um meine Sicht.

4 Gedanken zu „Verschlüsselungs-Trojaner TeslaCrypt: Gefahr aus dem Web

  1. Hallo Henning,

    schön zusammenfassend geschrieben. Die „Konspirations-Theorie“ am
    Ende finde ich auch gar nicht so abwegig… ;)
    Hoffen wir mal, dass die nächste Welle nicht „Industrie-Spionage“-Level
    erreicht und Bios’/Firmwares etc. kompromittiert werden.

    Was man momentan tun noch kann:
    – Blocken der Erstellung/Änderung von Dateien mit den aktuell
    bekannten Endungen (.mp3, .locky, etc)
    – Blocken der Erstellung der „Hinweis“-Texte die angelegt werden,
    und zur Bezahlung auffordern (recovery-xyz.html/txt etc)

    Oder einen Honeypot mit Mail-Alarmierung erstellen – da gab es auf
    Heise.de einen sehr guten Ansatz in den User-Kommentaren.
    (Anlegen von a, aa, aaa Verzeichnissen auf den Shares. Auditing
    aktivieren, 2 oder 3 .doc Dateien ablegen, Mail versenden lassen, wenn Dateien verändert werden und ggf. gleich den Freigabedienst
    auf den Servern beenden lassen oder Shares entfernen)

    Wer will bloß den ganzen Aufwand bezahlen? oO
    Gruselig das Ganze.

    Viele Grüße
    Daniel

    1. Hallo Daniel,

      ja, wer weiß, wohin das Alles noch führt. Mich würde es aber nicht wundern, wenn es am Ende doch um mehr als um den schnöden Mammon geht. Die Honeypot-Variante, die du beschrieben hast, finde ich sehr interessant. Möglicherweise muss man aber genau so etwas tun. Aber kann einem schon Schauer bringen, wenn man an diese ganzen Dinge denkt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.