Jetzt mit Plus alles auf einer Seite lesen

Jahres-AboUNSER TIPP

12 Monate

 Bester Preis
 Heftarchiv jederzeit buchbar
2,99€

pro Monat

Auf geht's
Quartals-Abo
3,99€

pro Monat

3 Monate

 20% günstiger als Flexi-Abo
 Heftarchiv jederzeit buchbar
3,99€

pro Monat

Auf geht's
Flexi-Abo
4,99€

pro Monat

1 Monat

 Monatlich kündbar
 Heftarchiv jederzeit buchbar
4,99€

pro Monat

Auf geht's

Schadsoftware Teslacrypt 2.0 - Spiele im Visier von Viren

Eine Schadsoftware namens Teslacrypt 2.0, die Daten verschlüsselt und für die Entschlüsselung Lösegeld verlangt, attackiert auch Spieler und deren Spielstände. Wir stellen die Ransomware vor und geben Tipps bei Befall.

von Georg Wieselsberger,
18.09.2015 15:02 Uhr

Ransomware wie diese ältere Version (0.2.0) von Teslacrypt verschlüsselt Daten auf dem PC und fordert zur Entschlüsselung eine Zahlung von mehreren Hundert Euro.Ransomware wie diese ältere Version (0.2.0) von Teslacrypt verschlüsselt Daten auf dem PC und fordert zur Entschlüsselung eine Zahlung von mehreren Hundert Euro.

Seit einiger Zeit gibt es besonders hinterhältige Schadsoftware, die Daten auf infizierten PCs verschlüsselt und den Zugriff darauf so verhindert. Um sie wieder zu entschlüsseln, wird ein Lösegeld verlangt, mittlerweile sind davon auch gezielt Spieldatein betroffen. Dem Vorgehen entsprechend werden solche Programm als »Ransomware« bezeichnet (engl. Ransom = Lösegeld).

Ein besonders aktiver Schädling dieser Art heißt »Teslacrypt« und greift speziell Spieler und deren Daten an, vor allem Speicherstände sind betroffen. Erstmals im Februar 2015 entdeckt, verschlüsselt Teslacrypt 2.0 viele verschiedene Dateien, die in Zusammenhang mit Spielen stehen, aber nicht größer als 268 MByte sind. Auch Dateien der Spiele-Installation selbst sind Ziel der Angriffe, sodass die Spiele nicht mehr gestartet werden können.

Wir schauen uns genauer an, wie die Schadsoftware vorgeht, wie viele Spieler davon betroffen sind und welche Lösungsmöglichkeiten es gibt. Grundlage ist dabei eine ausführliche Analyse von Teslacrypt auf Viruslist.com. Die Seite stammt von der Firma Kaspersky, die bekanntermaßen Virenscanner vertreibt und sich dementsprechend auch mit Ransomware auseinandersetzen muss.

Beliebte Spiele im Visier

Insgesamt greift die Schadsoftware gleich 185 unterschiedliche Dateiformate an, darunter vor allem solche, die in der Regel persönliche oder berufliche Inhalte haben wie Fotos, Office-Dokumente, Videos, Musik, PDFs, Datenbanken, verschiedene Dateiformate von Adobe Software und andere.

Zu den Spielen, nach denen Teslacrypt sucht, gehören unter anderem League of Legends, Minecraft, World of Tanks, diverse Teile von Call of Duty, Day Z, Fallout: New Vegas, Skyrim, Spiele mit der Unreal Engine 3 sowie diverse Titel von Blizzard und Valve. Ein Großteil der Spieler dürfte zumindest einen der betroffenen Titel installiert haben, auf den es die Ransomware abgesehen hat, da gezielt besonders beliebte Spiele gesucht werden.

Teslacrypt greift neben persönlichen Dokumenten auch die Dateien von besonders beliebte Spielen wie League of Legends an.Teslacrypt greift neben persönlichen Dokumenten auch die Dateien von besonders beliebte Spielen wie League of Legends an.

Bei Online-Spielen wie World of Tanks verlieren Sie dabei zwar keinen Fortschritt, da alle Daten auf den Servern des Anbieters gespeichert sind, starten wird das Spiel aber solange nicht mehr, bis sie die Schadsoftware wieder los sind. Erheblich schlimmer ist dagegen der Verlust von Spielständen bei Skyrim oder der Fallout-Serie, in die teils Hunderte Spielstunden sowie viel Herzblut geflossen sind.

Infektion über Webseiten

Da sich die Schadsoftware im System versteckt, hilft nach einer Infektion nicht einmal eine Neuinstallation des Spiels, da Teslacrypt anschließend die entsprechenden Dateien erneut durch Verschlüsselung unbrauchbar macht. Damit Sicherheitssoftware während der Verschlüsselung nicht Alarm schlägt, setzt Teslacrypt auf Standards, wie sie auch in WinRAR, GnuPG oder OpenSSL verwendet werden. Vorhandene Schattenkopien von Dateien, die Windows anlegt, werden ebenfalls gelöscht.

Die Schadsoftware wird dabei über sogenannte Exploit-Kits namens Angler, Sweet Orange und Nuclear und damit infizierte Webseiten verbreitet. Diese Kits kennen viele verschiedene Schwachstellen von Browsern oder Plugins und können diese mit entsprechendem Schadcode ausnutzen – oft ganz ohne Zutun des Nutzers. Laut einer Meldung von Viruslist.com wird Teslacrypt besonders häufig über Internetseiten verbreitet, die veraltete Versionen der kostenlosen Webseiten-Software Wordpress nutzen.

Neue Version, gleiches Ergebnis: Teslacrypt hat sein Aussehen zwischenzeitlich mit der Version 0.4.0 verändert, aber die gleichen Methoden angewandt.Neue Version, gleiches Ergebnis: Teslacrypt hat sein Aussehen zwischenzeitlich mit der Version 0.4.0 verändert, aber die gleichen Methoden angewandt.

1 von 2

nächste Seite



Kommentare(66)

Nur angemeldete Benutzer können kommentieren und bewerten.