{"id":185555,"date":"2016-12-31T09:55:26","date_gmt":"2016-12-31T08:55:26","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=185555"},"modified":"2022-03-29T15:42:58","modified_gmt":"2022-03-29T13:42:58","slug":"killdisk-ransomware-lscht-disks-und-fordert-lsegeld","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/12\/31\/killdisk-ransomware-lscht-disks-und-fordert-lsegeld\/","title":{"rendered":"KillDisk-Ransomware l&ouml;scht Disks und fordert L&ouml;segeld"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Eine neue Erpressungssoftware, auf den Namen KillDisk getauft, droht die Festplatte zu l\u00f6schen und fordert ein \"fettes\" L\u00f6segeld. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/500a232bdb464e45b8846560cbce6696\" width=\"1\" height=\"1\"\/>Die Malware-Familie, dessen Code KillDisk verwendet, wurde wohl von einer Gruppe mit dem Namen \"Sandworm\" oder \"Telebots\" entwickelt. Unter dem Namen \"Sandworm\" ist die Gruppe f\u00fcr Angriffe auf industrielle Steuer- und \u00dcberwachungssysteme (Scada) durch die KillDisk-Malware bekannt. Die Gruppe zeichnet f\u00fcr Angriffe in den Jahren 2015\/2016 auf Banken und Unternehmen in der Ukraine verantwortlich. Es wird angenommen, dass \"Sandworm\" sp\u00e4ter in \"Telebots\" aufgegangen sei. Der Name \"Telebots\" f\u00fcr die Gang und die Malware stammt daher, dass f\u00fcr die Angriffe auf Banken ein Trojaner zum Einsatz kam, der das Telegram-Protokoll f\u00fcr die Kommunikation verwendet. Verbreitet wird die Malware f\u00fcr Windows-Systeme wohl \u00fcber E-Mail-Anh\u00e4nge. <\/p>\n<p>Wie Bleeping Computer berichtet, wurde die Malware nun durch eine Erpressungskomponente erweitert und kommt als Ransomware zum Einsatz. Sobald die Malware auf das System gelangt ist, sammelt sie wichtige Informationen \u00fcber den infizierten Rechner. Anschlie\u00dfend beginnt sie, Systemdateien zu l\u00f6schen oder zu ersetzen und auch die Dateinamenerweiterungen auszutauschen. Ziel des erfolgreichen Angriffs ist es, dass das System nicht mehr bootf\u00e4hig ist und gleichzeitig die Identit\u00e4t der Angreifer verschleiert wurde. <\/p>\n<p><a href=\"https:\/\/www.bleepstatic.com\/images\/news\/u\/986406\/Ransomware\/KillDisk\/FSociety.png\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" title=\"Ransomeware-Meldung\" alt=\"Ransomeware-Meldung\" src=\"https:\/\/www.bleepstatic.com\/images\/news\/u\/986406\/Ransomware\/KillDisk\/FSociety.png\" width=\"578\" height=\"434\"\/><\/a><br \/>(Quelle: Bleeping Computer)<\/p>\n<p>Bei den Angriffen auf Banken in der Ukraine wurde die Malware so ver\u00e4ndert, dass sie Windows GDI (Graphics Device Interface) verwenden kann, um Grafikausgaben siehe Screenshot auf der Anzeige zu zeichnen. <\/p>\n<p>KillDisk verwendet einen eigenen AES-Schl\u00fcssel, um die (System-)Dateien zu verschl\u00fcsseln. In der modifizierten Variante greifen die Entwickler nun zu einem schmutzigen Trick: Es wird \u00fcber die Ransomeware-Komponente ein L\u00f6segeld von 222 Bitcoins (ca. 215.000 US $) gefordert (siehe Screenshot). <\/p>\n<p><a href=\"https:\/\/www.bleepstatic.com\/images\/news\/u\/986406\/Ransomware\/KillDisk\/killdisk-ransom.jpg\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" title=\"Ransomeware-Meldung\" alt=\"Ransomeware-Meldung\" src=\"https:\/\/www.bleepstatic.com\/images\/news\/u\/986406\/Ransomware\/KillDisk\/killdisk-ransom.jpg\" width=\"606\" height=\"221\"\/><\/a><\/p>\n<p>Bezahlen Firmen das L\u00f6segeld, erhalten sie den Schl\u00fcssel zum Entschl\u00fcsseln der Dateien. Wird der Rechner restauriert, so dass er wieder l\u00e4uft, befindet sich weiterhin ein Trojaner samt Backdoor auf den betroffenen Maschinen. Daher gehe ich davon aus, dass diese Ransomware auf gro\u00dfe Unternehmen oder Banken, und weniger auf private Rechner zielt. Die Urheber hoffen wohl darauf, dass sie nicht nur das L\u00f6segeld kassieren, sondern aus sensitive Daten von den Systemen abziehen k\u00f6nnen. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eine neue Erpressungssoftware, auf den Namen KillDisk getauft, droht die Festplatte zu l\u00f6schen und fordert ein \"fettes\" L\u00f6segeld.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715],"class_list":["post-185555","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/185555","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=185555"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/185555\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=185555"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=185555"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=185555"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}