Emsisoft warnt vor neuer Angriffswelle auf Windows Server: Fehlende Updates öffnen Hackern Tür und Tor!

(firmenpresse) -

Da hilft kein Anti-Virus-Programm und auch kein Malware-Schutz: Eine Gruppe von Hackern nutzt zurzeit gezielt eine Sicherheitslücke, um Windows-Server anzugreifen, auf denen der Terminal Service/Remote Desktop Dienst läuft. In der Folge wird die Ransomware ACCDFISA aufgespielt, wodurch wichtige Dateien in ein verschlüsseltes RAR-Archiv kopiert und nur gegen Lösegeld wieder freigesetzt werden. Gegen die Attacke hilft das Einspielen des vor etwa zwei Wochen veröffentlichten Microsoft-Patches.

Das kann gefährlich werden: Emsisoft stellt eine aktuelle Angriffswelle auf Windows-Server fest – viele betroffene Firmen und auch Behörden aus aller Welt haben sich bereits mit der Bitte um Hilfe und Unterstützung bei Emsisoft gemeldet.

Wer ist betroffen? Angegriffen werden gezielt Windows-Server, auf denen der Terminal Service/Remote Desktop Dienst aktiv ist und von außen erreichbar ist. haben. Hier gibt es einen Bug, über den Angreifer den Passwortschutz umgehen können, um vollen Zugriff auf die Maschine zu erlangen. Microsoft hat passend dazu zwar schon Mitte März einen Patch (http://technet.microsoft.com/en-us/security/bulletin/ms12-020) veröffentlicht, prekärerweise haben viele Admins diesen aber noch nicht aufgespielt und gefährden damit massiv die Sicherheit der von ihnen betreuten Server, obwohl ein reguläres Windows-Update bereits ausreichen würde.

Diese unnötige Unterlassungssünde kann nun teuer werden. Haben die Hacker Zugriff auf das System erlangt, installieren sie die Ransomware ACCDFISA, welche bereits in 4. Generation vorliegt. Dieser Schritt kann von Antivirenprogrammen aufgrund des regulären Remote Zugriffes grundsätzlich nicht unterbunden werden. Schutzprogramme werden einfach durch den Eindringling manuell deaktiviert oder die Malware auf die Whitelist gesetzt. ACCDFISA besteht aus drei Komponenten, der eigentliche Schaden entsteht durch Crypro Malware. Nach der Verschlüsselung wird die Verschlüsselungskomponente selbst wieder entfernt. Es bleibt lediglich der Teil, der den Besitzer des PCs oder Servers informiert und den Zugriff auf andere Programme einschränkt (Screen-Locker) sowie der Entschlüsselungsteil wo man das Passwort eintragen muss. Ein Löschen dieser verbleibenden Komponenten ist einfach möglich, bringt die verschlüsselten Daten jedoch nicht zurück.

Die Crypto Malware verwendet den beliebten Packer WinRAR, um wichtige Dateien mit bestimmten Endungen in verschlüsselte RAR-Archive zu verschieben. Diese RAR-Archive können aus eigener Kraft nicht wieder entschlüsselt werden. Das Geschäftsmodell der Hacker: Sie erpressen die Anwender und geben die Kennwörter erst gegen die Zahlung von Lösegeld heraus. Viele der betroffenen Anwender zahlen, da sie die ?entführten? Dateien sehr dringend benötigen und nicht auf sie verzichten können.

Der Erpresserbrief setzt die Opfer gezielt unter Zeitdruck: Entweder man bezahlt US $500 innerhalb der ersten 24 Stunden oder das Lösegeld erhöht sich auf $1.000, welches man innerhalb 48 Stunden bezahlen muss. Da es sich bei der verwendeten Verschlüsselung um AES handelt, ist die Aussicht auf ein eigenmächtiges Knacken des Passwortes gering. Die Angreifer beziffern die theoretische Zeit, die es benötige würde, um das Passwort via Brute-Force Methode zu ermitteln, mit rund 66.282.862.563.751.221.625.826.507.369.649.000.000.000.000.000.000.000.000 Jahren, vorausgesetzt man hätte einen Cluster von einer Million CPUs zur Verfügung.

Christian Mairoll, Geschäftsführer bei Emsisoft, einem Unternehmen, das Sicherheits-Software für Windows entwickelt: “Eine vorhandene Schutzsoftware gegen Viren und Malware nützt in diesem Fall nichts. Die Hacker loggen sich per Remote Control auf die Server ein. Das ist so, als würden sie anschließend direkt vor dem ferngesteuerten Rechner sitzen. Jetzt können sie das Anti-Viren-Schutzprogramm ausschalten und installieren erst dann ihre Malware. Wir warnen deswegen alle Admins: Es ist wichtig, IMMER SOFORT alle neuen Patches zu installieren und generell nur sichere Passwörter mit ausreichender Komplexität für den Remote-Control-Zugriff zu verwenden. Gerade auf Servern sind automatische Windows-Updates Pflicht.?

Die Ransomware ACCDFISA wurde von Emsisoft gemeinsam mit den Malware-Experten von www.bleepingcomputer.com erstmalig analysiert. Betroffenen wird dort individuelle Hilfe angeboten.

(ca. 6.000 Zeichen, zum kostenlosen Abdruck freigegeben)

Wichtige Links:

Homepage: http://www.emsisoft.de/
Facebook: http://www.facebook.com/emsisoft

 

Hinweise zum Unternehmen:
Emsisofts Anspruch ist es, die beste Viren-Erkennung und Abwehr für Heimanwender und Unternehmen zu produzieren. Dies wird durch die Kombination einer erstklassigen Dual-Scanner-Technologie mit einer über Jahre entwickelten und perfektionierten Verhaltensanalyse-Technik realisiert. Das schnell wachsende Unternehmen ist ein technologisch führender europäischer Anbieter von Software zum generischen Aufspüren von Schadcode wie Viren, Trojanern, Spyware, Keyloggern, Rookits und anderer Malware. Die Produkte erreichen dadurch kontinuierlich Spitzenpositionen in unabhängigen Vergleichstests.

Gegründet wurde das Unternehmen 2003 von Christian Mairoll, der damit seine Vision einer virtuellen Firma umsetzt: Die 20 Mitarbeiter der Firma sind auf der ganzen Welt verteilt, arbeiten aber über das Internet so zusammen, als würden sie nebeneinander im echten Büro sitzen. Für dieses innovative Betriebsführungskonzept wurde Emsisoft beim österreichischen IT-Preis “Constantinus” 2005 ausgezeichnet.

Mehr als 6 Millionen Anwender weltweit setzen Produkte von Emsisoft ein. Marktforscher ermittelten 2011 einen weltweiten Verbreitungsgrad von mehr als 1% im Virenscanner-Segment. Zur Produktpalette von Emsisoft gehören die Sicherheitsprogramme Emsisoft Anti-Malware, Emsisoft Online Armor Firewall und Emsisoft Mamutu Behavior Blocker.

Informationen zum verantwortlichen Unternehmen:
Emsi Software GmbH
Mamoosweg 14
A-5303 Thalgau
Österreich
Ansprechpartner für die Presse: Thomas Günther
Tel: +49-180-590066-3
(0,14 ?/Minute aus dem deutschen Festnetz, Mobilfunk je nach Anbieter ggf abweichend)
Fax: +43-6235-20053
E-Mail: tg(at)emsisoft.com
Web: http://www.emsisoft.de/

Journalisten wenden sich bitte an die aussendende Agentur:
Pressebüro Typemania GmbH
Carsten Scheibe (GF)
Werdener Str. 10
14612 Falkensee
HRB: 18511 P (AG Potsdam)
Tel: 03322-50 08-0
Fax: 03322-50 08-66
E-Mail: info(at)itpressearbeit.de
Internet: http://www.itpressearbeit.de/

Dies ist eine Pressemitteilung mit aktuellen Informationen nur für Journalisten. Dieser Text ist für branchenfremde Empfänger nicht vorgesehen. Das Pressebüro ist auch nicht autorisiert, Nicht-Journalisten Fragen zum Produkt zu beantworten.
Gern vermitteln wir den Journalisten ein Interview oder versorgen sie mit weiterführenden Informationen. Bei PC-Programmen, Büchern und Spielen können wir für die Journalisten auch ein Testmuster besorgen – eine Anfrage per E-Mail reicht aus.
Wir freuen uns sehr, wenn Sie uns über Veröffentlichungen auf dem Laufenden halten. Bei Online-Texten reicht uns ein Link, ansonsten freuen wir uns über ein Belegexemplar, einen Scan, ein PDF oder über einen Sendungsmitschnitt.

Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Bereitgestellt von Benutzer: Typemania
Datum: 11.04.2012 - 12:30 Uhr
Sprache: Deutsch
News-ID 614098
Anzahl Zeichen: 8114

Kontakt-Informationen:

Kategorie:

New Media & Software

Freigabedatum: Wed, 11 Apr 2012 08:08:39 +0000

Diese Pressemitteilung wurde bisher 0 mal aufgerufen.

Alle Meldungen von Emsisoft Pressekunde Pressemitteilungen