Ransomware: Badrabbit verschlüsselt Nachrichtenagentur Interfax

In Russland und der Ukraine verbreitet sich eine neue Ransomware. Badrabbit wurde über Nachrichtenwebseiten verbreitet und befällt offenbar gezielt Unternehmensnetzwerke. Betroffen waren eine Nachrichtenagentur, der Flughafen von Odessa und die Metro von Kiew.

Artikel veröffentlicht am ,
Die Erpresserbotschaft
Die Erpresserbotschaft (Bild: Eset)

Eine neue Ransomware-Variante hat am Dienstag zahlreiche Rechner in Russland und der Ukraine verschlüsselt. Neben dem Schwerpunkt in den beiden genannten Ländern sollen allerdings auch die Türkei und Bulgarien betroffen sein. Es handelt sich nach Angaben der Sicherheitsfirma Eset um eine Variante der Ransomware Diskcoder.D.

Die Ransomware wird über einen Drive-by-Download auf einer Webseite verteilt, Nutzer müssen also die heruntergeladene Datei selbst installieren. Nach Angaben von Kaspersky handelt es sich um einen angeblichen Adobe-Flash-Installer. Der Download der Installer soll auf verschiedenen Nachrichtenwebseiten stattgefunden haben, Kaspersky gibt den Link des Droppers mit hxxp://1dnscontrol[.]com/flash_install.php an.

  • Im Code finden sich Hinweise auf die Serie Game of Thrones. (Bild: Kaspersky)
  • Die Erpresserbotschaft (Bild: Eset)
Im Code finden sich Hinweise auf die Serie Game of Thrones. (Bild: Kaspersky)

Exploits werden nach derzeitigem Kenntnisstand also nicht genutzt, um die Malware zu verteilen - anders als zum Beispeil Wanna Cry oder Notpetya, die über Schwachstellen in Windows (Eternalblue) und einer Finanzsoftware (Medoc) verteilt wurden.

Gezielter Angriff auf Unternehmensnetzwerke

Kaspersky geht von einem gezielten Angriff auf Firmennetzwerke aus. Bis gestern Abend soll es rund 200 Opfer gegeben haben, die die Ransomware installiert haben. Betroffen waren unter anderem die russische Nachrichtenagentur Interfax, die Metro der ukrainischen Hauptstadt Kiew und der Flughafen von Odessa. Interfax konnte zwischenzeitlich keine Nachrichten an Kunden mehr zustellen. Das geforderte Lösegeld beträgt 0,05 Bitcoin, derzeit etwa 230 Euro, das Zahlungsziel wird mit 40 Stunden angegeben.

Administratoren können die Ausführung der Dateien c:\windows\infpub.dat und c:\windows\cscc.dat blockieren, diese starten nach derzeitigem Stand die Verschlüsselung des Rechners. Eine neue Version der Malware könnte natürlich andere Dateinamen verwenden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Not Petya
Maersk erneuerte IT-Infrastruktur in zehn Tagen
artikel-bild
Ransomware
Badrabbit verbreitete sich auch über Shadowbroker-Exploit
artikel-bild
Skygofree
Kaspersky findet mutmaßlichen Staatstrojaner
Meistgelesen
artikel-bild
Thermomodul
Mahle will Reichweite von E-Autos um 20 Prozent steigern
artikel-bild
US-Behörden
Microsoft als Gefahr für die nationale Sicherheit
artikel-bild
25 Jahre The Faculty
Nicht gut gealtert
Kommentarübersicht
Re: Warum gibts eigentlich keine Anti-Ransomware...
Benutzer0000 02. Nov 2017

auch gut, nur führe ich es ja trotzdem nicht ohne sandbox aus. das heisst die malware...

Re: Schon wieder nur Windows
FreiGeistler 27. Okt 2017

@jeegeek: Natürlich hast du damit recht, dass Layer 8 Fehlerquelle Nummer 1 ist und ein...

Re: Konsequenz?
Tuxgamer12 25. Okt 2017

AAAHH!!! Hört bitte, bitte auf dieses noexec bzw. x-Flag als die "göttliche, allmächtige...

Waren bestimmt die Russen...
DeathMD 25. Okt 2017

...über Kaspersky ;)

Aktuell auf der Startseite von Golem.de
Thermomodul
Mahle will Reichweite von E-Autos um 20 Prozent steigern

Der Autozulieferer Mahle hat ein Thermomodul vorgestellt, das die Reichweite von Elektroautos um bis zu 20 Prozent steigern soll.

Thermomodul: Mahle will Reichweite von E-Autos um 20 Prozent steigern
Artikel
  1. Russische Störsender: Zahlreiche GPS-Störungen in Europas Flugverkehr gemeldet
    Russische Störsender
    Zahlreiche GPS-Störungen in Europas Flugverkehr gemeldet

    Tausende Flüge von und nach Europa sind durch mutmaßliche russische Störungen der GPS-Systeme beeinträchtigt worden.

  2. Tales of the Shire: Mittelerde ohne Orks und Sauron
    Tales of the Shire
    Mittelerde ohne Orks und Sauron

    Vollkommen friedlich soll das Herr-der-Ringe-Spiel Tales of the Shire werden: Statt Schlachten gibt es Spaziergänge mit Hobbits.

  3. Nach Cyberangriff: Stadt kann Straßenbeleuchtung nicht abschalten
    Nach Cyberangriff
    Stadt kann Straßenbeleuchtung nicht abschalten

    Einige Straßenlaternen in Leicester brennen seit Wochen ununterbrochen. Die Stadtverwaltung musste ihre IT-Systeme aufgrund eines Cyberangriffs abschalten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MindStar: Radeon-Grafikkarten zu Tiefstpreisen • Alternate: Asus Gaming-Laptop 899€ statt 1.599€ • Anker USB-Ladegeräte & Powerbanks -47% • PC-Komponenten -52% • Apple iPad 403,98€ • MSI MEG 342CDE OLED 999€ • Gamesplanet Spring Sale [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /