Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support
Support 24/7

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Doctor Web: Rückblick und Analyse von Bedrohungen im April 2018

Frankfurt, 28. April 2018

Die Malwareanalysten von Doctor Web haben Anfang April eine neue Version eines gefährlichen Banking-Trojaners für Android entdeckt. Darüber hinaus wurde im April die Verbreitung eines Encoders für Windows registriert, der wegen einem Fehler im Code Benutzerdaten nicht dekodieren konnte.

Hauptereignisse

  • Entdeckung eines gefährlichen Banking-Trojaners für Android
  • Verbreitung eines Encoders, der Windows-Geräte infiziert

Bedrohung des Monats

Der Schädling Trojan.Encoder.25129 wird durch Dr.Web als DPH:Trojan.Encoder.9 erkannt. Nachdem er gestartet wurde, prüft er den Standort des Benutzers gemäß der IP-Adresse des infizierten Endgeräts. Nach Plan der Übeltäter nimmt der Schädling von der Verschlüsselung Abstand, wenn die IP-Adresse des Gerätes in Russland, Weißrussland oder Kasachstan liegt oder Russisch als Benutzersprache vordefiniert ist. Aufgrund eines Codefehlers verschlüsselt der Schädling jedoch alle Dateien auf sämtlichen infizierten Geräten.

Trojan.Encoder.25129 verschlüsselt den Inhalt der Ordner des aktuellen Benutzers, seines Windows-Desktops sowie von Dienstverzeichnissen wie AppData und LocalAppData. Die Verschlüsselung erfolgt unter Einsatz von Algorithmen AES-256-CBC. Den verschlüsselten Dateien wird die Erweiterung .tron zugewiesen. Das Lösegeld variiert zwischen 0,007305 bis 0,04 Bitcoins.

#drweb Trojan.Encoder.25129

Obwohl die Erpresser behaupten, sie könnten den Geschädigten helfen, indem sie ihre Daten dekodieren, ist dies wegen einem Codefehler nicht möglich. Mehr zur Funktionsweise von Trojan.Encoder.25129 wurde in diesem Beitrag berichtet.

Serverstatistik von Doctor Web

Serverstatistik von Doctor Web

JS.BtcMine.36
Ein JavaScript-Szenario, das zum verdeckten Mining von Kryptowährung gedacht ist.
JS.Inject
Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.
Trojan.DownLoader
Eine Familie von Trojanern, die zum Einschleusen von böswilligen Apps gedacht ist.
Trojan.Starter.7394
Ein Vertreter der Trojaner-Familie, die im infizierten Betriebssystem eine ausführbare Datei mit einer vordefinierten Funktion startet.
JS.DownLoader
Eine Familie von Trojanern auf JavaScript, die auf dem infizierten Gerät weitere Malware herunterlädt.

Malware im E-Mail-Traffic

Malware im E-Mail-Traffic #drweb

Trojan.PWS.Spy.20884
Ein Vertreter von Spionage-Trojanern für Windows, die vertrauliche Daten klauen können.
Trojan.DownLoader
Eine Familie von Trojanern auf JavaScript, die auf dem infizierten Gerät weitere Malware herunterlädt.
JS.BtcMine.36
Ein JavaScript-Szenario, das zum verdeckten Mining von Kryptowährung gedacht ist.
JS.Inject
Böswillige Szenarien auf JavaScript, die den Schadcode in den HTML-Code von Webseiten integrieren.

Encoder

Encoder

Support-Anfragen aufgrund von Encodern im April 2018:

Gefährliche Webseiten

Im April 2018 wurden 287.661 Internetadressen in die Datenbank nicht empfohlener Webseiten aufgenommen.

März 2018April 2018Wachstum
+ 624 474+ 287 661- 53,9%

Malware für mobile Geräte

Im April 2018 wurde eine neue Version des Banking-Trojaners für Android entdeckt, der später als Android.BankBot.358.origin getauft wurde. Er griff über 60.000 Smartphones russischer Kunden einer Großbank an. Darüber hinaus entdeckten die Malwareanalysten von Doctor Web eine Vielzahl böswilliger Apps auf Google Play, die zur Familie von Android.Click gehören. Unter diesen befinden sich auch Android.Click.245.origin, Android.Click.246.origin und Android.Click.458. Nachdem die Apps gestartet wurden, abonnierten sie kostspielige Services. Später wurde auf Google Play die potenziell gefährliche App Program.PWS.2 entdeckt, die eine Verbindung zum in Russland gesperrten Nachrichtendienst Telegram ermöglichte. Die übermittelten Informationen wurden dabei nicht verschlüsselt. Dies konnte zu Datenabwanderung führen. Weiterhin wurde Ende April auf Google Play der Schädling Android.RemoteCode.152.origin entdeckt. Er lud andere böswillige Module herunter, erstellte mit deren Hilfe Werbebanner und klickte auf diese. Dadurch konnten die Cyber-Kriminellen Einnahmen generieren. Unter den im April entdeckten Apps für Android befinden sich auch Spionage-Trojaner wie Android.Hidden.5078, Android.Spy.443.origin und Android.Spy.444.origin.

Hauptereignisse in der mobilen Sicherheitsszene:

  • Verbreitung eines Banking-Trojaners, der über 60.000 Smartphones in Russland infizierte;
  • Neue Spionage-Trojaner;
  • Entdeckung von Malware und Riskware auf Google Play.

Mehr zur Sicherheitslage in der mobilen Szene lesen Sie in unserem Monatsbericht zu mobilen Bedrohungen.

Führender russischer Hersteller von Dr.Web Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2018

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt