29.08.2017 11:44 Uhr
Sicherheitsforscher sind auf einen Erpressungstrojaner gestoßen, der Windows-Computer nicht wie bisher gewohnt via Mailanhang infiziert.
Der Verschlüsselungstrojaner Nuclear BTCWare soll die Remote Desktop Services (RDS) von Windows als Einfallstor missbrauchen und über diesen Weg Computer befallen. Das berichten Sicherheitsforscher von Bleepingcomputer, die eigenen Angaben zufolge auf eine aktuelle Version des Schädlings gestoßen sind.
Neuer Ansatz zur Verbreitung
Bei RDS handelt es sich um einen legitimen Dienst, über den man einen entfernten Windows-Client fernsteuern kann – zum Beispiel zur Fernwartung. Damit Nuclear BTCWare sich auf diesem Weg ausbreiten kann, müssen jedoch mehrere Voraussetzungen erfüllt sein: Etwa bei Windows 10 steht der Service ausschließlich in der Enterprise- und Pro-Version zur Verfügung und ist zudem standardmäßig deaktiviert. Außerdem muss der Erpressungstrojaner das für die Verbindung vergebene Passwort knacken.
Wie ein Übergriff im Detail abläuft, führen die Sicherheitsforscher derzeit nicht aus. Interessant ist der Ansatz aber allemal, schließlich verbreitet sich Ransomware in der Regel als Dateianhang von gefälschten Mails. Aufgrund der vielen Hürden bei der Verbreitung via RDS ist es jedoch fraglich, ob Erpressungstrojaner in Zukunft vermehrt auf diesen Infektionsweg setzen.
Gehäuft unterwegs?
Ob Nuclear BTCWare derzeit vermehrt versucht, Computer zu befallen, ist aktuell nicht bekannt. Wenn sich der Schädling auf einem Computer ausbreitet, soll er verschlüsselte Dateien mit der Endung .nuclear kennzeichnen.
Das Lösegeld müssen Opfer in Bitcoin bezahlen. Die Höhe des Betrags soll anwachsen, je länger man die Zahlung herauszögert. Als Vertrauensbeweis bieten die Drahtzieher an, drei Dateien gratis zu entschlüsseln. Derzeit gibt es kein kostenloses Entschlüsselungstool.