[TinyTimm]

Zitat:

In Sachen Sicherheit setzte das aktuelle Jahr den "Trend" von 2016 fort und hatte zahlreiche spektakuläre Ransomware-Angriffe zu bieten. Doch 2017 ist noch nicht zu Ende und die Liste derartiger Attacken bzw. Wellen kann und wird wohl auch noch anwachsen.

Aktuell kommt Bad Rabbit hinzu und diese Ransomware ist wohl auch eine der fieseren Sorte. Dieses Jahr hat es viele kleinere Ransomware-Angriffe gegeben, zwei davon können aber als massiv klassifiziert werden, nämlich WannaCry und NotPetya. Die gestern in größerem Ausmaß aufgetauchte Ransomware Bad Rabbit hat laut Sicherheitsexperten von Kaspersky sowie Avast (via Wall Street Journal) das Potenzial, ähnliche Ausmaße zu erreichen.

Bad Rabbit verschlüsselt, wie es bei solcher Malware üblich ist, die Dateien auf einem Rechner und fordert ein Lösegeld, wenn man den Key will, um diese zu dekodieren. Im Fall von Bad Rabbit sind es 0,05 Bitcoins, das sind derzeit in etwa 236 Euro.

Drive-by-Angriff

Allzu viel ist derzeit noch nicht über Bad Rabbit bekannt, die Ransomware scheint aber ihren Ursprung in Russland zu haben bzw. wurde sie dort zum ersten Mal gesichtet. Als erstes betroffen war u. a. die Nachrichtenagentur Interfax. Bad Rabbit nutzt allerdings wohl keine Lücke in einer Software, es ist laut aktuellen Erkenntnissen von Kaspersky ein klassischer Drive-by-Angriff.

Opfer werden auf infizierten Webseiten aufgefordert, einen gefälschten Adobe Flash-Installer herunterzuladen und auszuführen. Dabei muss das Opfer allerdings eine EXE manuell ausführen, hier sollte man deshalb (immer) gut aufpassen. Laut den Sicherheitsforschern verbreitet sich die Ransomware derzeit ausschließlich über Medien- und News-Seiten. Vorsicht ist auch deshalb angesagt, weil derzeit nicht klar ist, ob ein Bezahlen des Lösegeldes tatsächlich den Zugriff auf die verschlüsselten Dateien gewährt.

Bei Kaspersky gibt man auch Tipps, wie sich Bad Rabbit unterbinden lässt. Als Nutzer von Kaspersky Lab-Produkten sollte man System Watcher und Kaspersky Security Network aktiviert haben. Allen anderen gibt man folgenden Tipp:

Man sollte die Ausführung von c:\windows\infpub.dat sowie c:\Windows\cscc.dat blockieren (Näheres dazu hier in den Kommentaren)
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Wenn möglich, sollte der WMI-Service deaktiviert werden, um die Verbreitung über das eigene Netzwerk zu deaktivieren

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]