Die neu gesichtete Ransomware Surprise soll Windows-Computer nicht per Drive-by-Download oder E-Mail-Anhang infizieren, sondern über die Fernwartungssoftware TeamViewer. Dafür missbrauchen die Kriminellen offensichtlich gekaperte Accounts.

Opfer des Verschlüsselungs-Trojaners Surprise diskutieren im Forum von Bleepingcomputer.com unter anderem über den Infektionsweg und gehen davon aus, dass der Schädling via Team-Viewer auf ihre Computer geschoben wurde. Über die Fernwartungssoftware kann man Dateien an Kontakte schicken. Das machen sich die Erpresser im Fall von Surprise anscheinend zunutze und infizieren so Windows-Computer.

Keine Sicherheitslücke

Um das zu erreichen, missbrauchen die Kriminellen aber keine Sicherheitslücke, versicherte ein Sprecher von TeamViewer gegenüber heise Security. Vielmehr kapern sie Accounts und verteilen Surprise dann an mit dem Konto verknüpfte Computer. TeamViewer empfiehlt allen Nutzern, die Zwei-Faktor-Authentifizierung zu nutzen, um ihre Accounts zusätzlich abzusichern.

Wie die Angreifer an die Log-in-Daten kommen, ist unklar. TeamViewer schließt aufgrund der gegen Brute-Force-Angriffe abgesicherten Infrastruktur direkte Attacken aus. Auch ein Man-in-the-Middle-Angriff sei aufgrund der Ende-zu-Ende-Verschlüsselung unwahrscheinlich.

Der Hersteller geht davon aus, dass Gauner Account-Daten aus einer unbekannten Quelle kopiert haben und auf gut Glück versuchen, ob die Daten auch einem TeamViewer-Account zugehörig sind. Auf der Webseite haveibeenpwned.com kann man prüfen, ob eigene Account-Daten kompromittiert wurden.

Kruder Infektionsweg

Ist das der Fall, müssen für eine erfolgreiche Infektion aber noch mehrere Voraussetzungen erfüllt sein: Zum einen muss der Computer eingeschaltet sein. Des weiteren fällt es einem potentiellen Opfer natürlich auf, wenn plötzlich eine Fernwartungs-Session startet. Letztlich muss der Angreifer für einen gewissen Zeitraum die Kontrolle über den zu infizieren Computer übernehmen, um den Erpressungs-Trojaner herüberzuschieben und zu installieren.

Verschlüsselte Dateien versieht die Ransomware mit der Namenserweiterung .surprise. Aktuell gibt es kein Tool, mit dem man die Daten ohne das Lösegeld zu zahlen entschlüsseln kann.

Dem Thema Erpressungs-Trojaner: Schutz und Erste Hilfe widmet sich auch die aktuelle Ausgabe 7/2016 des c’t magazins, die ab sofort am Kiosk erhältlich ist. Insgesamt vier Artikel erklären nicht nur die Ursachen der aktuellen Trojaner-Flut, sondern auch, wie Nutzer sich und ihre Daten richtig schützen. Ein eigener Artikel untersucht und berät, was man noch tun kann, wenn die eigenen Daten bereits verschlüsselt wurden.

Quelle: http://heise.de/-3148863