Ransomware Bad Rabbit: Virus trickst Nutzer aus und verschlüsselt die Dateien

Eine neue Ransomware mit Namen „Bad Rabbit“ – böses Kaninchen – verbreitet sich aktuell: Sie soll aus Russland stammen und sich mittlerweile auch in Deutschland verbreiten. Der Virus nutzt aber keine Schwachstellen in vorhandener Software aus, sondern täuscht dem Nutzer ein dringendes Update vor: Zum Beispiel für den Flash Player. Dieser enthält mehrere Sicherheitslücken und wird daher regelmäßig mit neuen Updates versorgt, daher könnten viele Nutzer die Meldung für echt halten.

Betroffen sind in Russland schon verschiedene Unternehmen, unter anderem die Nachrichtenagentur Interfax, melden die Sicherheitsexperten von Kaspersky in ihrem Blog. Mit WannaCry hat dieses Jahr bereits ein anderer Verschlüsselung-Trojaner die IT-Infrastruktur verschiedene große Unternehmen lahmgelegt: In Deutschland unter anderem die Deutsche Bahn, in England mehrere Krankenhäuser.

Wurde der Virus heruntergeladen und ausgeführt, verschlüsselt „Bad Rabbit“ die vorhandenen Dateien auf der Festplatte: Diese sollen sich nur wieder freischalten lassen, wenn man ein digitales Lösegeld in Form der Krypto-Währung Bitcoins zahlen, andernfalls sollen die Nutzer keinen Zugriff mehr auf die eigenen Daten haben.

Ransomware Bad Rabbit: Wie schütze ich mich?

Um sich zu schützen, sollte man generell regelmäßige Backups der eigenen Daten machen: So kann man auch bei einem Virus-Befall das System und alle Programme neu installieren und die gesicherten Daten wieder zurückspielen, ohne das Lösegeld zu bezahlen. Denn auch bei bezahltem Lösegeld ist schließlich nicht sichergestellt, dass die Daten auch tatsächlich wieder entsperrt werden.

Zusätzlich sollten Nutzer keine Programme und Updates von fremden Webseiten installieren – oder von Seiten, die nicht vom Hersteller stammen: So kann man Adobes Flash-Player immer direkt auf der Adobe-Webseite herunterladen und installieren, andere Plugins und Programme ebenfalls.

Laut Kaspersky sind die eigenen Anti-Virus-Lösungen bereits im Stande, den Virus in dem gefälschten Flash-Installer zu erkennen. Außerdem soll es helfen, dass Ausführen der Dateien „C:\windows\infpub.dat“ und „C:\Windows\cscc.dat“ zu verhindern, und nach Möglichkeit WMI Dienst abzuschalten, damit sich der Virus nicht im eigenen Netzwerk weiter verbreiten und andere PCs infizieren kann.