Cryptowall meldet sich mit schädlichen Hilfedateien (.chm) zurück

Schwerte, 10. März 2015 – Teaser Laut den Bitdefender-Malware-Forschern hat eine neue Spam-Welle mit schädlichen .chm-Anhängen bereits hunderte Posteingänge erreicht, um auf diesem Wege die berühmt-berüchtigte Cryptowall-Ransomware zu verbreiten. Interessanterweise greifen die Hacker dabei zu einer Methode, die vielleicht ein wenig aus der Mode gekommen ist, sich dafür aber als umso effektiver bei der automatischen Ausführung von Malware und der Verschlüsselung von Daten auf den Computern der Opfer erweist: schädliche .chm-Anhänge.

.chm ist eine Dateierweiterung für kompilierte HTML-Hilfedateien. Diese werden verwendet, um Benutzerhandbücher für Software-Anwendungen verfügbar zu machen. Zu diesem Zweck werden HTML-Dateien komprimiert und als Binärdatei mit der Erweiterung .chm zur Verfügung gestellt. Das Format besteht aus komprimierten HTML-Dokumenten, Bildern und JavaScript-Dateien, ergänzt durch ein verlinktes Inhaltsverzeichnis, einen Index und eine Volltextsuche.

Was macht die Hilfedateien so gefährlich?
.chm-Dateien sind auf Interaktion ausgelegt und nutzen eine Reihe von Technologien, darunter auch JavaScript, welches in der Lage ist, einen Nutzer auf eine externe URL weiterzuleiten, wenn dieser eine .chm-Datei nur öffnet. Irgendwann begannen Hacker dann, .chm-Dateien für ihre Zwecke zu missbrauchen, um beim Öffnen der Dateien Schadcode automatisch auszuführen. Und es leuchtet ein: Je weniger der Nutzer dafür tun muss, desto wahrscheinlicher ist eine Malware-Infektion.

Eine angebliche Faxbenachrichtigung geht per E-Mail beim Nutzer ein und gibt vor, über einen Computer in der Domain des Nutzers verschickt worden zu sein. Dies legt nahe, dass diese E-Mails bewusst die Mitarbeiter verschiedener Unternehmen ins Visier nehmen, um so Zugriff auf deren Unternehmensnetzwerke zu erhalten.

Greift ein Nutzer auf die Inhalte des .chm-Archivs zu, wird der Schadcode über http://*********/putty.exe heruntergeladen, unter %temp%natmasla2.exe auf dem System gespeichert und danach ausgeführt. Während dieses Vorgangs öffnet sich ein Eingabeaufforderungsfenster.

Bei Cryptowall handelt es sich um eine Weiterentwicklung von Cryptolocker, einer dateiverschlüsselnden Ransomware, die bereits bekannt dafür ist, ihre Schadroutinen als harmlose Anwendung oder Datei zu tarnen. Diese Schadroutinen verschlüsseln dann die Dateien auf infizierten Computern, um Lösegeld für deren Entschlüsselung zu verlangen.

Kaum eine Malware-Kategorie stellt Sicherheitsfirmen vor so große Herausforderungen wie Ransomware, denn sie müssen immer aggressivere Heuristiken entwickeln, damit interne Daten auch in Zukunft vertraulich bleiben. Hier erfahren Sie, wie sich Unternehmen besser vor Angriffen mit Ransomware schützen können.

Die fraglichen E-Mails wurden am 18. Februar gezielt an einige hundert Nutzer verschickt. Die Spam-Server scheinen ihren Ursprung in Vietnam, Indien, Australien, den USA, Rumänien und Spanien zu haben. Eine Analyse der Domain-Namen der Empfänger hat zudem gezeigt, dass die Angreifer es offenbar auf Nutzer aus aller Welt abgesehen haben – auch auf Deutschland.

Bitdefender erkennt die Malware als Trojan.GenericKD.2170937.

Wie lässt sich eine Infektion mit Cryptowall verhindern?

Die Virenforscher von Bitdefender haben eine Liste mit Empfehlungen zusammengestellt, die eine Infektion mit Cryptowall verhindern sollen, darunter auch das Anlegen von Sicherheitskopien auf externen Speichermedien. Hier gibt es dazu weitere Informationen. Um noch mehr Schutz zu bieten, hat Bitdefender zudem den Cryptowall Immunizer entwickelt. Dieses Tool hilft Nutzern dabei, ihre Computer zu immunisieren und jeden Verschlüsselungsversuch erfolgreich abzuwehren. Bitdefender rät zudem dazu, den Virenschutz immer aktiviert zu lassen und dieses Tool als zusätzlichen Schutz einzusetzen.