Erpressungstrojaner auf frischer Tat ertappt
Heute morgen (02.02.13) bekam ich folgende Email:
Das ist soweit nichts Neues, diese Masche läuft seit Monaten und setzt darauf, dass der erschrockene Empfänger dieser Email angesichts einer Forderung von über 900 € die angehängte zip-Datei öffnet, um näheres zu erfahren. Diese zip-Datei ist mit einem Verschlüsselungstrojaner infiziert, der sämtliche persönlichen Dateien verschlüsselt und den PC mit einer Meldung sperrt, welche die anonyme Bezahlung einer dreistelligen Summe per an Tankstellen erhältlichen Geldgutscheinen wie Paysafe oder Ukash fordert, damit der Zugang zum PC wieder freigegeben und die Dateien entschlüsselt werden. HIER DARF MAN AUF KEINEN FALL BEZAHLEN, DER RECHNER WIRD DADURCH NICHT ENTSPERRT!
Interessant war in diesem Fall, dass die Schadsoftware von meinem Virenscanner nicht erkannt wurde, auch nicht als ich die zip-Datei aus der Mail auf die Festplatte speicherte und einen Virenscan durchführte! Der Upload der zip-Datei bei www.virustotal.com ergab, dass zu diesem Zeitpunkt nur 12 von über 40 Virenscannern diese Variante erkannten. Allerdings hätte laut dieser Liste mein Kaspersky Internet Security die Datei enttarnen müssen – erstaunlich!
Ein Blick auf den Virenscanner offenbarte dann, dass das Programm seit der letzten Nutzung am Vorabend seine Virensignaturen noch nicht aktualisiert hatte! Nach einem manuellen Update und erneutem Scan wurde der Trojaner sofort erkannt und gelöscht – hätte ich die zip-Datei zuvor unvorsichtiger Weise gelöscht, hätte der Trojaner zugeschlagen.
Die Voreinstellung für die Updates der Signaturen steht bei Kaspersky auf „automatisch“, was laut Recherche im Netz wohl ein Intervall von ca. 2 Stunden bedeutet, außerdem ist nach dem Hochfahren des Systems eine Wartezeit von 15 Minuten vor dem nächsten Update eingerichtet – für jemanden, der wie ich sofort nach dem Start seine Emails abruft, ein klares Sicherheitsrisiko. Ich habe daher das Updateintervall manuell auf 30 Minuten gesetzt und die Wartezeit abgeschaltet.