RAA: Ransomware verschlüsselt Daten und stiehlt Passwörter

  • TIPP

  • HotPi
  • 368 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • RAA: Ransomware verschlüsselt Daten und stiehlt Passwörter

    RAA: Ransomware verschlüsselt Daten und stiehlt Passwörter
    Experten sind auf Ransomware (Erpressungs-Trojaner) gestoßen, die nicht nur Daten verschlüsselt, sondern auch Passwörter stiehlt. So schützen Sie sich.

    Sicherheitsexperten der Website Bleepingcomputer haben eine neuartige Ransomware (Erpressungs-Trojaner) gefunden und analysiert. Die Entdecker nennen sie RAA und heben hervor, dass der Schädling komplett in Javascript geschrieben wurde. Das erlaubt schwerwiegendere Auswirkungen auf dem infizierten Rechner, lässt sich mit bestimmten Vorsichtsmaßnahmen aber leicht umgehen.

    RAA kommt als Javascript-Datei per E-Mail-Anhang. Die Datei selbst versucht sich als Word-Dokument zu tarnen. Führt das Opfer den E-Mail-Anhang aus, öffnet sich eine gefälschte Word-Datei, während gleichzeitig zum einen die Verschlüsselung wichtiger Systemverzeichnisse auf der Windows-Partition beginnt. Zum anderen öffnet die Datei eine Malware namens „Pony“, die es auf Passwörter abgesehen hat.

    Auf dem Desktop findet sich anschließend ein Textdokument, das das Opfer zur Zahlung von etwa 250 US-Dollar zwingt, um die eigenen Daten zurückzuerlangen. Die Passwörter werden nicht erwähnt. Bisher ist RAA nur in russischer Sprache aufgetaucht. Es ist davon auszugehen, dass auch lokalisierte Fassungen in Erscheinung treten werden.

    Was können Sie tun?

    Umgehen lässt sich RAA recht einfach – abgesehen davon, dass Sie E-Mail-Anhänge fremder Absender nicht öffnen, beziehungsweise jegliche Anhänge genau prüfen sollten. Da RAA auf Javascript setzt und Aktionen außerhalb des Browsers auslöst, sollten Sie – wie Bleepingcomputer schreibt – den sogenannten Interpreter ausschalten, also die Basis, auf der Javascript-Code auf einem System ausgeführt wird.

    Dazu brauchen Sie einen Zugriff auf Ihre Windows-Registrierung, öffnen Sie sie per Start-Taste, Ausführen und der Eingabe von „regedit“. Unter dem Pfad „HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled“ fügen Sie einen neuen DWORD-Eintrag ein und geben ihm den Wert „0“. Sollten Sie beispielsweise wegen der Arbeit auf Javascript-basierte Software angewiesen sein, können Sie den Eintrag einfach auf den Wert 1 stellen.

    21.6.2016 von The-Khoa Nguyen

    Quelle: RAA: Ransomware verschlüsselt Daten und stiehlt Passwörter - PC Magazin