Erpressungstrojaner LOCKY, Petya, Goldeneye etc.

[vlooe]

.. wenn die Malware stark zeitverzögert ihr Werk entfaltet. Die meisten Backups, Systemimages & Co. wären in einem solchen Fall schlicht wertlos....

Inkementelle Backups sollten immun dagegen sein, denn niemand ändert so schnell alle Daten auf einmal -> also ist was im Busch.

 

[Kiwie]

Inkementelle Backups sollten immun dagegen sein, denn niemand ändert so schnell alle Daten auf einmal

Wieso sollten inkrementelle Backups immun dagegen sein? Ganz im Gegenteil: Bei inkrementellen Sicherungen müssen immer das 1. Vollbackup sowie alle inkrementellen Backups in der zeitlichen Kette danach vollständig vorhanden und in Ordnung sein.

 

[vlooe]

Wenn das Inkrementelle Backup beginnt haufenweise alte Dokumente erneut zu Sichern obwohl man nichts geändert hat dann ist was im Busch.

So habe ich das mit dem Immun gemeint.

 

[tapf!]

Mal so nebenbei gefragt: Ist es denkbar, dass uns eines lieben Tages eine perfide Erpressungssoftware überraschen wird, die stark zeitversetzt zuschlägt? Soll heißen: Sie verschlüsselt alles erst nach - sagen wir - 6 Monaten. Viele Backups würden ins Leere laufen, da sie auch "verseucht" sind.

Für die Systemimages ja, aber die Daten wären ja bis kurz vor der Verschlüsselung noch heile. Anders wäre es, wenn die SW die Daten unbemerkt verschlüsseln würde und erst nach den 6 Monaten den Zugriff verweigert.

Ich bin ein großer Fan von "forever-incremental"-Datenbackups (z.B. mit rsync), die würden auch vor einem solchen Szenario schützen.

Grüße

Fabian

 

[Mornsgrans]

Laut Heise geht nachwie vor eine hohe Gefahr von der MeDoc-Software aus:

Nach Erkenntnissen des BSI wurde die Software früher kompromittiert als bisher angenommen. Außerdem wurde die Software laut der Behörde vor dem NotPetya-Ausbruch bereits als Verteilungsvektor für weiteren Schadcode missbraucht. Da es sich dabei wohl um Spionagesoftware handelt, wüssten Firmen eventuell gar nicht, dass sie infiziert sind, warnt das BSI.

MeDoc muss demnach seit April als suspekt betrachtet werden.

Demnach war "NotPetya" nur eine "Anwendungsmöglichkeit" der kompromittierten Software.

 

[Mornsgrans]

Zumindest für einen Teil der von Ramsomware betroffenen User gibt es laut Heise Hoffnung:

Master-Schlüssel der Erpressungstrojaner GoldenEye, Mischa und Petya veröffentlicht

Die Entwickler der Ransomware Petya und seiner Abkömmlinge haben den Master-Schlüssel veröffentlicht. So kann man wieder Zugriff auf verschlüsselte Daten bekommen. Opfer von NotPetya profitieren davon aber offenbar nicht.
... Mittlerweile haben verschiedene Sicherheitsforscher die Echtheit des Schlüssels bestätigt.
...

 

[Helios]

Gelöscht.

 

[Mornsgrans]

Helios,
Du musst schon lesen, was Du wo verlinkst:

This key can decrypt all ransomware families part of the Petya family except NotPetya, which isn't the work of Janus.

und in diesem Thread dreht es sich eben um NotPetya.

Im Locky, Petya...-Thread ist das Thema schon verlinkt.

 

[Helios]

Ups... danke für die Info, Mornsgrans.

 

[Mornsgrans]

Ein kleiner Trojaner, der Daten verschlüsselt, wird die Welt nicht aus den Angeln heben...

Das würde ich nicht zu laut herumposaunen. Der Schaden wird von Welle zu Welle größer.

Heute bei Heise:

Mit Maersk ist die größte Containerschifflinie der Welt betroffen. Auch TNT Express und Reckitt Benckiser, Hersteller von Sagrotan und Durex, haben immer noch nicht alle Computer bereinigt. Bei TNT verzögert sich die Paketauslieferung.
...
Nach Informationen von heise online legte der Trojaner bei Maersk Systeme auf Bohrinseln lahm und brachte das Beladen und Löschen von Containerschiffen zum Stocken.
...
man (Reckitt Benckiser) rechne erst gegen Ende August mit einer vollständigen Rückkehr zur Normalität in den eigenen Betriebsstätten.
...Allein bei dieser Firma geht man daher von einem Verlust von über 111 Millionen Euro durch NotPetya aus.

..aber angesichts der bisher genannten Zahlen ist mindestens von hunderten Millionen, wenn nicht gar über einer Milliarde Euro (Gesamtschaden) auszugehen.

Und auch:

Reckitt Benckiser und Maersk sprechen davon, dass Anti-Viren-Software, die in den Firmen im Einsatz war, die Infektion nicht habe aufhalten können. Maersk zufolge haben auch die eingespielten Windows-Updates den Ausbruch des Trojaners nicht verhindern können.

Was klar war, da ja normale Funktionen unter Windows zur Verbreitung im Unternehmen verwendet wurden (siehe oben)

 

[think_pad]

Das würde ich nicht zu laut herumposaunen. Der Schaden wird von Welle zu Welle größer.

---> https://www.heise.de/security/meldu...-Opfer-mit-Entschluesselungstool-3783882.html

Die Firma hat ein Entschlüsselungs-Tool herausgebracht, das Daten wiederherstellen kann, die von Petya verschlüsselt wurden – dazu zählt auch der Master Boot Record (MBR) von betroffenen Festplatten. Gegen den Trojaner NotPetya ist die Software allerdings nutzlos, da dieser lediglich auf Petya aufbaut und wohl von einer anderen Gruppe entwickelt wurde.

 

[Mornsgrans]

Lies mal das von Dir gepostete Zitat:

Gegen den Trojaner NotPetya ist die Software allerdings nutzlos,

Also ist der Schaden immer noch nicht einfach behebbar.

 

[Mornsgrans]

Maersk erwartet bis zu 300 Millionen Dollar Verlust :

Maersk, das dänische Industrie-Konglomerat, zu dem unter anderem mit der Maersk Line die größte Containerschifflinie der Welt gehört, hat nach eigenen Angaben 200 Millionen bis 300 Millionen US-Dollar (nach aktuellem Kurs etwa 170 Millionen bis 256 Millionen Euro) Verlust durch den Angriff des Kryptotrojaners NotPetya erlitten. Von dem Angriff seien vor allem die Maersk Line, der Logistikdienstleister Damco und APM Terminals betroffen gewesen. APM Terminals betreibt Containerhäfen und Verladestationen für Containerschiffe auf der ganzen Welt.

und

Reckitt Benckiser erwartet einen Umsatzrückgang von zwei Prozent für das Jahr 2017 (über 111 Millionen Euro).

Da kommt schon einiges zusammen.

 

[Mornsgrans]

Threads " Erpressungstrojaner LOCKY, Petya, Goldeneye etc." und "Ransomware NotPetya - Update" zusammengeführt

 

[think_pad]

Locky ist wieder da, diesmal als Font-Update...

---> https://www.heise.de/security/meldu...pdate-installiert-Locky-Trojaner-3819907.html

 

[Helios]

nRansomware: Freigabe des PCs gegen Nacktfotos statt Bitcoin

Dass Angreifer die persönlichen Daten eines PCs verschlüsseln und nur nach Zahlung mittels Bitcoin das Passwort zur Entschlüsselung herausgeben, ist seit Jahren Praxis. Bei nRansomware fordern die Angreifer nun aber Nacktfotos statt Bitcoin – mindestens 10 Stück.

ComputerBase.de - nRansomware: Freigabe des PCs gegen Nacktfotos statt Bitcoin

 

[AndreasBloechl]

Jo, habe ich gestern auch gelesen.