Erpressungstrojaner LOCKY, Petya, Goldeneye etc.

gatasa

Moderator
Teammitglied
Registriert
8 Nov. 2005
Beiträge
7.356
Wie Heise Security heute berichtet, hat ein Erpressungstrojaner am Montag, den 15.02.2016 um 15:06 Uhr koordiniert auf verschiedenen Systemen gleichzeitig zugeschlagen.
Zitat:
Locky lauerte vermutlich bereits eine Weile auf den infizierten Systemen, ehe es am vergangenen Montag zeitgleich bei mehreren Opfern mit der Verschlüsselung persönlicher Dateien begonnen hat.

Für die Entschlüsselung erwartet man Bitcoins in Höhe von 360€.
 
Zuletzt bearbeitet von einem Moderator:
Die infizierende Datei kommt als Anhang einer Email, ist als Rechnung getarnt, Dateiendung ".docm". Verschlüsselt alle Office-Dateien, alle Bilddateien, alle Datev-Dateien. Nach derzeitigem Stand kommt der Trojaner nur an Netzwerkfreigaben und Dateien in Benutzerverzeichnissen ran wenn man als Administrator angemeldet ist (beim Öffnen der bösen Datei). Ist man als Benutzer angemeldet, erreicht er nur lokale Verzeichnisse und Dateien im Benutzerverzeichnis des angemeldeten Nutzers.

Habe hier 2 betroffene Rechner, 1x nur Benutzerdateien im angemeldeten Userverzeichnis, 1x diese und C:\Datev. Habe erst einmal alle PC's vom Netz genommen und "Startverbot" gegeben.

Und beide Rechner haben den entgegen der "Schlummermeldung" sich gerade frisch um 13:36 Uhr / 13:39 Uhr von einer email geholt. Absenderemails waren (laut Absenderkennung) aus Domäne "aacarpetsandfurniture.co.uk".



ATh.
 
Zuletzt bearbeitet:
Von der Domain habe ich heute auch einige abgefangen.

Ergänzend zum oben verlinkten Heise-Artikel:
Siehe diesen bei Heise
Es gibt auch noch den TeslaCrypt 3, der gleiches macht und im Gegensatz zu seinen Vorgängerversionen keinen Key im System ablegt. Darum konnte bei den Vorversionen die Verschlüsselung geknackt werden.

Die infizierende Datei kommt als Anhang einer Email, ist als Rechnung getarnt, Dateiendung ".docm".
Auch in .doc und vermutlich xls-Dateien.
Alls Rechnung, Mahnung, Auftragsbestätigung getarnt, mit schön bunt gestaltetem HTML-Mailtextkörper, selten ohne Rechtschreibfehler.

Unser in der Firma eingesetzter Kaspersky Endpoint hat bisher schlimmeres verhindern können, ein Rechner mit Trendmicro Antivirensoftware wurde befallen, die Antivirensoftware wurde durch ein zusätzlich installiertes Programm am Öffnen des Programmfesnters gehindert.

Office-Dokumente können mit dem Tool OfficeMalScanner auf verdächtige Inhalte geprüft werden, bevor man sie öffnet. - Selbstredend, dass man Mails/Anhänge von unbekannten Absendern nicht öffnet.

Leider kommen derartige Mails aber auch von (gefälschten) vertrauten Absendern.

Unternehmen erhalten auch scheinbar Mails von Kopierer@meinefirma.com oder scanner@meinefirma.com z.B. mit dem Betreff "Message from KMBT_C224 xxxxx" (Standardbetreff von KonicaMinolta Bizhub-Kopierern) mit angehängten Word- oder Excel-Dateien - Dateiformate, die die Kopierer nicht erzeugen können.

Leider hat sich die Unsitte, Office-Dateien als Anlage zu versenden, sehr weit verbreitet, obwohl es schon jahrelang bekannt ist, dass derartige Dateien die sicherste Methode darstellen, einen Rechner zu infizieren. Da nützen auch von MS eingebaute Schutzmechanismen in Office-Programmen nichts, sondern täuschen einem nur Sicherheit vor.


Siehe auch Kaspersky-Blog
 
Zuletzt bearbeitet:
Avira Exchange Server (Exchangeserver) und Avira Professional (Client) finden aktuell nichts.

ATh

Sorry; finden schon was, nur nicht Locky.
 
... es geht voran ...

Ich hatte letztens ein ähnliches Beispiel. Eine Bekannte hatte einen Trojaner an ihr komplettes Adressbuch versandt. Virustotal lieferte 3 Treffer Kaspersky und Microsoft waren darunter.
Interessant in diesem Zusammenhang (ich nutze MS-Essentials): Ich konnte ich die Datei noch aus der Mail isolieren und hochladen. Nachdem ich Microsoft in der Trefferliste fand, aktualisierte ich die Signaturen. Erst dann wurde das Isolieren durch MS-Essential unterbunden. Also eine ganz frische Geschichte!
 
Bei uns ist heute einer dieser Fieslinge als *.bin angekommen.:cursing:
 
Tja, die Bösen lernen wohl auch dazu...
Und die Guten lernen nichts dazu.
Öffne keine Mail, deren Absender man nicht kennt und schon gar nicht einen Anhang an einer solchen Mail.
Aber gibt genug Leute die eine Mail mit Betreff "Rechnung" oder "Auftragsbestätigung" öffnen, obwohl sie seit einem halben Jahr nix bestellt oder gekauft (außer mit Bargeld beim ALDI) haben:facepalm:
 
Das kann schneller schiefgehen als man denkt. Ein Bekannter hat mir erzählt, dass auf der Arbeit ein Localization Engineer eine gefakte Mail eines dort aufgestellten Druckers bekam, bei dem sich der Anhang als gescanntes Dokument ausgegeben hat.
 
Mittlerweile sind die kriminellen schon länger so perfide und machen social Engineering, fangen Mails ab und senden dann mit deren Signatur, Mailverlauf und einigermaßen passendem Zusammenhang verseuchte Mails. Sowas ist selbst für einen erfahrenen Admin manchmal erst auf dem 2. Blick zu sehen, vor allem wenn die echten Absender nicht nur von einem Mailgateway schicken, sondern von mehreren und die Reverse-MX Einträge auch dort nicht richtig gesetzt sind.
 
@Aviator:
Unternehmen erhalten auch scheinbar Mails von Kopierer@meinefirma.com oder scanner@meinefirma.com z.B. mit dem Betreff "Message from KMBT_C224 xxxxx" (Standardbetreff von KonicaMinolta Bizhub-Kopierern) mit angehängten Word- oder Excel-Dateien - Dateiformate, die die Kopierer nicht erzeugen können.
Genau solche "Schwachstellen" nutzt man aus.

Aber gibt genug Leute die eine Mail mit Betreff "Rechnung" oder "Auftragsbestätigung" öffnen, obwohl sie seit einem halben Jahr nix bestellt oder gekauft (außer mit Bargeld beim ALDI) haben
Bei Privatpersonen ist dies auch weniger "problematisch", wenn man "Brain.exe" einsetzt. Aber in Unternehmen sieht es anders aus, wenn der Rechnungsempfänger eine andere Person ist, als Besteller oder Lieferemfänger.
Hier sollte man aber nur Rechnungen als PDF-Datei oder in Papierform akzeptieren.
 
Unbekannte Anhänge, die trotzdem von Interesse sind, öffne ich gefahrlos mit dem Editor oder besser mit Notepad++ (schneller). Man sieht so den versteckten Text, kann ihn lesen. Wichtig ist aber, man kann leicht erkennen, ob ausführbarer Code enthalten ist. Dann findet man ein "MZ" iin den ersten paar Bytes vom Anhang; Schadcode => Anhang sofort löschen. Öfter findet man auch im Klartext HTML-Links (schliesslich holen die Schädlinge Code aus dem Internet); die Seite mal aufrufen, ein whois gibt nähere Erläuterungen, aus welchem Land der Code kommt. Lese ich da China, UK u.ä., weiss ich, was los ist.
Ich habe manchmal auch IDA bemüht (Code vom Anhang dissassembliert), auch das gibt interessante Hinweise.
Wichtig ist aber: man darf den Code NIE ausführen (Doppelklick usw.). Solange er nur als Datei auf der Festplatte schlummert, bleibt er ungefährlich. Virenscanner sollten aber regelmässig Alarm schlagen; wenn nicht, taugt der Virenscanner nichts. Hier scheint mir besonders Avira grosse Schwächen zu haben.
In Outlook kann man den Email-Absender in die Junk-Liste aufnehmen, auch das hilft etwas.
 
Bei Privatpersonen ist dies auch weniger "problematisch", wenn man "Brain.exe" einsetzt. Aber in Unternehmen sieht es anders aus, wenn der Rechnungsempfänger eine andere Person ist, als Besteller oder Lieferemfänger.
Hier sollte man aber nur Rechnungen als PDF-Datei oder in Papierform akzeptieren.
Es sein denn, der User besitzt ein wirklich, wirklich sehhhhhr grosses Gehirn. Scheinbar kann dann auch rein gaaaaaar nichts passieren, wie einige Benutzer hier kundtun. ;)
 
Unbekannte Anhänge, die trotzdem von Interesse sind, öffne ich gefahrlos mit dem Editor oder besser mit Notepad++ (schneller). Man sieht so den versteckten Text, kann ihn lesen. Wichtig ist aber, man kann leicht erkennen, ob ausführbarer Code enthalten ist. Dann findet man ein "MZ" iin den ersten paar Bytes vom Anhang;

Wobei es ja gerade bei diesen Läufen momentan eben nicht um ausführbare Programmdateien geht, sondern um Office Dokumente mit Macros. Wenn man an den Standardeinstellungen von Office nichts vergurkt hat, muss man dann also nicht nur den Anhang öffnen, sondern auch noch gezielt die Nutzung von Macros bestätigen.

Aber das Ziel sind wohl auch eher Firmen. Die Mails, die hier ankommen, haben teilweise auch perfekte Texte, Signaturen mit Logo und vieles mehr, was den Normaluser im Büro in einer international tätigen Firma vermutlich schneller dazu bringt, es doch mal zu öffnen.

Virustotal meldet auch bei den heute frisch eintreffenden .doc und .docm Dateien nur wenige Treffer.
Interessant war, dass einige .doc Dateien eigentlich umbenannte .docx Dateien waren. Merkt man daran, dass man sie bequem per 7-zip entpacken kann.

Andererseits ist das Verschicken von Office Dokumenten nun aber auch absolut normal und ich wüsste jetzt nicht, wie die Arbeitsabläufe sonst funktionieren sollten. Nicht alles lässt sich mit .pdf abhandeln und auch .pdf kann wieder bösartige Inhalte haben.
 
Hier wird viel von brain.exe...... geschrieben.
Wir sind hier in einem Forum, welches sich um IT dreht.
Nutzer von Windows und Office sind aber nicht nur IT-affine Menschen:
- Es ist die Putzfrau, die ihre Arbeitsstunden im Excelsheet erfassen muss (evtl. mit Makro)
- Es sind die Nicht-IT-Angestellten, die von überall (Chef, Geschäftspartner, Sekretärin, Buchhaltung......) Officedateien bekommen um sie zu bearbeiten und zu retournieren
- Es ist der Schüler, der als Hausaufgabe einen Lückentext in Word ausfüllen muss
- Es ist der Chef, der ...............

Merkt Ihr, was ich meine: Das Risiko muss definitiv vom Endnutzer weg. Wie das passiert ist Sache von Microsoft und den IT-Abteilungen.
Man kann nicht der Empfangsdame im Krankenhaus kündigen/ sie abmahnen, weil sie dachte, dass sie einen Unfallbericht von einem Hausarzt bekam, aber dann versehentlich per Makro die Hälfte der elektr. Daten des Krankenhauses verschlüsselte.
 
Wie das passiert ist Sache von Microsoft und den IT-Abteilungen.
Auf MS kannst Du warten, bis Du schwarz geworden bist und die IT-Abteilungen können auch nicht alles abfangen.

Macros und VBA-Anwendungen werden gerade in Unternehmen und Behörden in großem Umfang genutzt, wenn es darum geht, bestimmte Abläufe und Funktionen rationell zu gestalten. Hausintern werden derartige Dokumente auch per Mail verschickt. Also darf der Mailserver nicht generell derartige Mails blockieren, wohl dem, der noch ein Front-end zum Internet vorgeschaltet hat, der solche Mails ausfiltern kann.

Hinzu kommt - und das ist das eigentliche Problem -, dass Fakturierungs- und Warenwirtschaftssysteme automatisch generierte E-Mails mit ebenso automatisch generierten MS-Office-Dokumenten im Anhang (doc, docx, xls, xlsx) mit Liefer-, Umsatz- oder sonstigen Daten im beleglosen Datenaustausch versenden. So verwendet ein großes internationales Chemieunternehmen offenbar ein Warenwirtschaftssystem von IBM, das Produktzertifikate und Auftragsdaten im doc-Format versendet, obwohl PDF sicher besser wäre. Der Austausch von Umsatzdaten könnte statt mit xls-Dateien auch mit formatierten Textdateien erfolgen, die zudem oft noch besser eingelesen werden könnten, als über die Zwischenstation "Benutzer" zwischengespeicherten und konvertierten xls-Dateien.

Du siehst, die Sache ist sogar noch komplexer und "undisziplinierter", als dass "nur eine Empfangsdame" davon betroffen wäre. - Es liegt vielmehr am System selbst, das aufgrund der Bequemlichkeit vollkommen außer Kontrole geraten ist. Darum hilft in den meisten Fällen nur "Argwohn", ein guter Virenschutz, Aufklärung und z.B. Tools, wie virustotal (wenn nicht vertrauliche oder geheime Dateien zu prüfen sind).

Unternehmen und Behörden sind extrem anfällig für Schadsoftware, weil gerade diese nicht einfach alles blockieren können, was nach "potentiell gefährlich" aussehen kann. Wenn es dann "kracht", dann in größerem Ausmaß, wie man im vergangenem Jahr am Beispiel "Deutscher Bundestag" sehen konnte.
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben