Neuer Lösegeldtrojaner missbraucht Windows Powershell

28. März 2016, 12:55
40 Postings

Mit Powershell treibt ein weiterer Erpresservirus sein Unwesen – seine Vorgehensweise ist neu

Sicherheitsforscher warnen vor einem neuen Virus namens Powerware, der Dateien am Computer verschlüsselt und Lösegeld gegen ihre Freigabe fordert. Der Schädling hat laut Carbon Black bereits eine Gesundheitsorganisation befallen. Dabei geht er mit einem neuen Trick vor.

"Powershell erledigt die Drecksarbeit"

Der Trojaner gelangt wie folgt auf einen Computer: per E-Mail wird Nutzern eine manipulierte Word-Datei untergejubelt. Beispielsweise wird vorgegeben, dass es sich dabei um eine Rechnung handelt. Öffnet der Nutzer die Datei, wird er aufgefordert die Funktion zum Bearbeiten des Inhalts zu aktivieren. Danach wird die Eingabeaufforderung aufgerufen und Windows Powershell gestartet. Darüber wird dann das Skript des Erpresserschädlings ausgeführt.

Diese Vorgehensweise unterscheidet Powerware von bisherigen Lösegeld-Trojanern. Denn bisherige Schädlinge installieren selbst neue Dateien auf dem System. Der neu entdeckte Trojaner lasse aber die Windows Powershell die Drecksarbeit erledigen, so die Forscher. Zunächst verlangen die Hacker 500 US-Dollar, nach zwei Wochen 1.000 Dollar.

Vorsicht bei E-Mail-Anhängen

Als Schutzmaßnahme verweisen die Forscher auf ein eigenes Sicherheitstool, das das Aufrufen der Eingabeaufforderung aus Office-Dokumenten blockiert. Sicherer ist es für Nutzer jedoch, gar nicht erst Dateianhänge unbekannter E-Mail-Absender zu öffnen. E-Mails, die als Nachricht bekannter Unternehmen getarnt sind, fliegen bei näherem Durchlesen oft auf. Fehlerhafte Texte sind etwa ein Hinweis, dass es sich um eine Fälschung handelt. Wer nicht sicher ist, ob es sich um eine legitime Rechnung handelt, kann auch beim Kundendienst des jeweiligen angeblichen Absenders nachfragen. (red, 28.3.2016)

  • Powerware tarnt sich als Rechnung und befällt Computer indem er die Windows Powershell missbraucht.
    foto: carbon black

    Powerware tarnt sich als Rechnung und befällt Computer indem er die Windows Powershell missbraucht.

Share if you care.