Dann verschlüsselt er

Trojaner Clop schaltet heimlich den Virenschutz ab

Ein IT-Sicherheitsexperte hat einen besonders hoch entwickelten neuen Erpresser-Trojaner namens „Clop“ entdeckt. Er verschlüsselt die Daten seiner Opfer und gibt sie erst nach Zahlung eines Lösegelds wieder frei. Damit er sein Werk ungestört vollenden kann, sucht er nach der Infektion des Systems zu allererst den Virenschutz - und schaltet ihn aus.

Das berichtet das IT-Magazin „Bleeping Computer“ unter Berufung auf den Security-Experten Vitali Kremez. Er hat den Trojaner analysiert und berichtet, dass er nach der Infektion im Hintergrund versucht, den Windows Defender auszuschalten und andere Antivirenprogramme zu deinstallieren. Zumindest bei älteren Virenscannern von Malwarebytes soll die Malware dabei erfolgreich gewesen sein.

Manipulationsschutz beim Windows Defender aktivieren!
Aber auch der Windows Defender kann von Clop - es handelt sich um eine Abwandlung der Ransomware CryptoMix - ausgeschaltet werden, zumindest in älteren Versionen von Windows 10. Ab Version 1903 verfügt Microsofts Virenschutz über einen Manipulationsschutz, der - wenn man ihn in den Security-Einstellungen aktiviert - eine Deaktivierung verhindert.

Die Malware kursiert derzeit insbesondere in öffentlichen Einrichtungen - etwa einer Universität in Belgien und einem Krankenhaus in Frankreich. Die Wahl der Ziele dürfte dabei nicht zufällig erfolgen: Cyberkriminelle wissen, dass sie dort, wo hochsensible Daten verschlüsselt werden, maximalen Druck mit ihrem Erpresser-Trojaner ausüben und hohe Beträge verlangen können.