{"id":1000,"date":"2016-11-07T14:20:10","date_gmt":"2016-11-07T13:20:10","guid":{"rendered":"https:\/\/dev.sicherheitsforum.ch\/?p=1000"},"modified":"2023-03-14T08:57:10","modified_gmt":"2023-03-14T07:57:10","slug":"achtung-support-betrueger","status":null,"type":"post","link":"https:\/\/news.save.ch\/de\/achtung-support-betrueger\/","title":{"rendered":"Achtung Support-Betr\u00fcger"},"content":{"rendered":"

\"achtung-support-betrueger-it-security\"<\/p>\n

Das kennt man: Ein Anrufer aus Indien versucht Ihnen einzureden, dass ihr Rechner kaputt w\u00e4re und sie unbedingt eine Software installieren sollen. Diese Masche ist zwar nicht neu, aber diese Form des Social Engineering<\/a> ist brandaktuell.<\/p>\n

Eine Form des Tech Support Scams, die Microsoft in seiner Analyse nicht explizit herausstellt, ist der Angriff mit Screenlocker Ransomware. Computernutzer erhalten hier keinen Anruf und keine E-Mail, sondern ihr Zugriff auf den Rechner wird durch Erpressertrojaner gesperrt. Die Opfer sollen nun eine angebliche Microsoft Telefonnummer anrufen, um ihre vermeintlich abgelaufene Lizenz f\u00fcr ihren PC zu erneuern. Die Experten von G\u00a0Data <\/a>haben diese Art des Betrugs mal genauer unter die Lupe genommen:<\/p>\n

Die Masche mit der Screenlocker Ransomware<\/strong><\/p>\n

Die Schaddatei kommt immer als angeblicher Installer f\u00fcr ein Produkt, zum Beispiel als VMC Media Player oder \u00e4hnlich. Das beworbene Programm ist aber in diesem Installer gar nicht enthalten! Die untersuchte Malware-Familie nutzt Smart Install Maker, um den Installer zu generieren. Die nachfolgende Analyse von G Data basiert auf folgender Datei, die sich als \u201eFree Download Manager\u201c ausgegeben hat: SHA256: c72fb6e95375900999d14cd10541021a4db0a9065e387ed6b45266d80bb18d55<\/p>\n

Dieser Installer legt nach dem Ausf\u00fchren eine .bat und eine .exe-Datei ab (je nach Variante haben diese verschiedene Namen). Die .exe-Datei wird als Autostart eingetragen, sowohl unter Winlogon Shell als auch dem \u00fcblichen Autostarteintrag:\u00a0SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run<\/p>\n

Die .bat-Datei<\/strong><\/p>\n

Die .bat enth\u00e4lt Batch-Code, der den Rechner nach einiger Zeitverz\u00f6gerung neu startet.<\/p>\n

Die .exe-Datei<\/strong><\/p>\n

Dies ist der eigentliche Schadcode, der Screenlocker. Die .NET Assembly Datei heisst in unserem Fallbeispiel fatalerror.exe und ben\u00f6tigte zur Ausf\u00fchrung .NET 2.0.<\/p>\n

G Data schreibt, man habe andere Samples gesehen, die .NET 4.6 zur Ausf\u00fchrung brauchen. Stossen diese Dateien auf Windows XP (hier kann die Version nicht installiert werden) oder auf ein System mit niedrigerer .NET-Version, resultiert der ausgef\u00fchrte Neustart in einem leeren Bildschirm, der nur noch das eigene Windows-Hintergrundbild und den Maus-Cursor zeigt.<\/p>\n

Ein Einloggen oder Starten des Windows Explorers ist aber in keinem der beiden F\u00e4lle m\u00f6glich.<\/p>\n

Betroffene bekommen einen Lockscreen im Design von Windows 10 angezeigt. Wenn man kein Windows 10 benutzt, k\u00f6nnte an dieser Stelle schon auffallen, dass etwas nicht stimmt, wie G-Data schreibt.<\/p>\n

Fazit<\/strong><\/p>\n

Die Tech-Support Scams sind kein neues Ph\u00e4nomen. Man wird zu keinem Zeitpunkt von Microsoft oder von Partnern von Microsoft einen ehrlich gemeinten Anruf erhalten, bei dem man f\u00fcr Computer-Reparatur zur Kasse gebeten wird.<\/p>\n

Das vermehrte Aufkommen der Screenlocker Ransomware war in diesem Zusammenhang eine Weiterentwicklung und kann Benutzer noch weitaus mehr verunsichern. Zumal ein Betr\u00fcger hier nicht auf vermeintliche Probleme auf dem Rechner hinweist, sondern aktiv der Zugriff auf das Ger\u00e4t gesperrt wird. Ein Ignorieren der falschen Warnungen ist daher leider ausgeschlossen.<\/p>\n

Tipps und Tricks<\/strong><\/p>\n