luxnote lapstore servion thinkspot
Seite 1 von 16 12311 ... LetzteLetzte
Ergebnis 1 bis 20 von 317

Thema: Erpressungstrojaner LOCKY, Petya, Goldeneye etc.

  1. #1
    Moderator Avatar von gatasa
    Registriert seit
    08.11.2005
    Ort
    nördliches Münsterland
    Beiträge
    6.693
    Danke
    86
    Thanked 264 Times in 217 Posts

    Erpressungstrojaner LOCKY, Petya, Goldeneye etc.

    Wie Heise Security heute berichtet, hat ein Erpressungstrojaner am Montag, den 15.02.2016 um 15:06 Uhr koordiniert auf verschiedenen Systemen gleichzeitig zugeschlagen.
    Zitat:
    Locky lauerte vermutlich bereits eine Weile auf den infizierten Systemen, ehe es am vergangenen Montag zeitgleich bei mehreren Opfern mit der Verschlüsselung persönlicher Dateien begonnen hat.

    Für die Entschlüsselung erwartet man Bitcoins in Höhe von 360€.
    Geändert von Mornsgrans (09.07.2017 um 15:19 Uhr)
    Spass: Asus Eee PC, 560, 760DC, 240, i1200, 2x T20, A31, X31, X41t, X60s, X61, T60, X200 unterwegs: X250 (i5-5300U, 8GB RAM, 240 GB SSD Intel, IPS) zu Hause: T530, Lenovo TAB 2 A7 zur Pflege:Lenovo X250

  2. #2

    Registriert seit
    06.08.2006
    Ort
    Berlin
    Beiträge
    3.342
    Danke
    7
    Thanked 85 Times in 79 Posts
    Die infizierende Datei kommt als Anhang einer Email, ist als Rechnung getarnt, Dateiendung ".docm". Verschlüsselt alle Office-Dateien, alle Bilddateien, alle Datev-Dateien. Nach derzeitigem Stand kommt der Trojaner nur an Netzwerkfreigaben und Dateien in Benutzerverzeichnissen ran wenn man als Administrator angemeldet ist (beim Öffnen der bösen Datei). Ist man als Benutzer angemeldet, erreicht er nur lokale Verzeichnisse und Dateien im Benutzerverzeichnis des angemeldeten Nutzers.

    Habe hier 2 betroffene Rechner, 1x nur Benutzerdateien im angemeldeten Userverzeichnis, 1x diese und C:\Datev. Habe erst einmal alle PC's vom Netz genommen und "Startverbot" gegeben.

    Und beide Rechner haben den entgegen der "Schlummermeldung" sich gerade frisch um 13:36 Uhr / 13:39 Uhr von einer email geholt. Absenderemails waren (laut Absenderkennung) aus Domäne "aacarpetsandfurniture.co.uk".



    ATh.
    Geändert von ATh (16.02.2016 um 20:06 Uhr)
    "Nicht alles was neu ist muß falsch, nicht alles was alt ist muß richtig sein."
    Asus GL702VM als Desktopersatz, X260 für unterwegs, Macbook-Air weil's benötigt wird

  3. #3
    Help-Desk Avatar von Mornsgrans
    Registriert seit
    20.04.2007
    Ort
    Idar-Oberstein
    Beiträge
    62.962
    Danke
    30
    Thanked 1.316 Times in 1.181 Posts
    Von der Domain habe ich heute auch einige abgefangen.

    Ergänzend zum oben verlinkten Heise-Artikel:
    Siehe diesen bei Heise
    Es gibt auch noch den TeslaCrypt 3, der gleiches macht und im Gegensatz zu seinen Vorgängerversionen keinen Key im System ablegt. Darum konnte bei den Vorversionen die Verschlüsselung geknackt werden.

    Zitat Zitat von ATh Beitrag anzeigen
    Die infizierende Datei kommt als Anhang einer Email, ist als Rechnung getarnt, Dateiendung ".docm".
    Auch in .doc und vermutlich xls-Dateien.
    Alls Rechnung, Mahnung, Auftragsbestätigung getarnt, mit schön bunt gestaltetem HTML-Mailtextkörper, selten ohne Rechtschreibfehler.

    Unser in der Firma eingesetzter Kaspersky Endpoint hat bisher schlimmeres verhindern können, ein Rechner mit Trendmicro Antivirensoftware wurde befallen, die Antivirensoftware wurde durch ein zusätzlich installiertes Programm am Öffnen des Programmfesnters gehindert.

    Office-Dokumente können mit dem Tool OfficeMalScanner auf verdächtige Inhalte geprüft werden, bevor man sie öffnet. - Selbstredend, dass man Mails/Anhänge von unbekannten Absendern nicht öffnet.

    Leider kommen derartige Mails aber auch von (gefälschten) vertrauten Absendern.

    Unternehmen erhalten auch scheinbar Mails von Kopierer@meinefirma.com oder scanner@meinefirma.com z.B. mit dem Betreff "Message from KMBT_C224 xxxxx" (Standardbetreff von KonicaMinolta Bizhub-Kopierern) mit angehängten Word- oder Excel-Dateien - Dateiformate, die die Kopierer nicht erzeugen können.

    Leider hat sich die Unsitte, Office-Dateien als Anlage zu versenden, sehr weit verbreitet, obwohl es schon jahrelang bekannt ist, dass derartige Dateien die sicherste Methode darstellen, einen Rechner zu infizieren. Da nützen auch von MS eingebaute Schutzmechanismen in Office-Programmen nichts, sondern täuschen einem nur Sicherheit vor.


    Siehe auch Kaspersky-Blog
    Geändert von Mornsgrans (16.02.2016 um 21:07 Uhr)
    Mainzer Stammtisch sucht neue Räume - Vorschläge gesucht ------ Meine ThinkPads
    Ich trinke meinen Kaffee wie Chuck Norris: Schwarz und ohne Wasser
    "Der Computer rechnet mit allem - nur nicht mit seinem Besitzer." - Dieter Hildebrandt

  4. #4
    Avatar von kolja
    Registriert seit
    19.09.2007
    Ort
    D:\Hessen\Kassel
    Beiträge
    1.352
    Danke
    5
    Thanked 20 Times in 13 Posts
    Tja, die Bösen lernen wohl auch dazu...
    Sie glauben vielleicht nicht, dass ich immer die richtige Entscheidung treffe.
    Aber sie vertrauen mir, weil sie wissen, dass ich es wieder ausbügele, wenn ich eine falsche Entscheidung getroffen habe. Linus Torvalds

  5. #5

    Registriert seit
    06.08.2006
    Ort
    Berlin
    Beiträge
    3.342
    Danke
    7
    Thanked 85 Times in 79 Posts
    Avira Exchange Server (Exchangeserver) und Avira Professional (Client) finden aktuell nichts.

    ATh

    Sorry; finden schon was, nur nicht Locky.
    "Nicht alles was neu ist muß falsch, nicht alles was alt ist muß richtig sein."
    Asus GL702VM als Desktopersatz, X260 für unterwegs, Macbook-Air weil's benötigt wird

  6. #6

    Registriert seit
    24.10.2011
    Ort
    Wuppertal
    Beiträge
    312
    Danke
    0
    Thanked 4 Times in 3 Posts
    Was sagt virustotal
    https://www.virustotal.com/
    zu der .docm

    Datei isolieren und hochladen


  7. #7

    Registriert seit
    23.09.2009
    Ort
    Schweiz
    Beiträge
    12.518
    Danke
    28
    Thanked 269 Times in 253 Posts
    Vorerst haben drei Virenscanner (Kaspersky, Qihoo-360, AegisLab) die Ransomware erkannt. Mittlerweile sind es sechs (+ ESET-NOD32, TrendMicro, TrendMicro-HouseCall).

    https://www.virustotal.com/en/file/5e945c1d27c9ad77a2b63ae10af46aee7d29a6a43605a9bfbf 35cebbcff184d8/analysis/

  8. #8

    Registriert seit
    24.10.2011
    Ort
    Wuppertal
    Beiträge
    312
    Danke
    0
    Thanked 4 Times in 3 Posts
    ... es geht voran ...

    Ich hatte letztens ein ähnliches Beispiel. Eine Bekannte hatte einen Trojaner an ihr komplettes Adressbuch versandt. Virustotal lieferte 3 Treffer Kaspersky und Microsoft waren darunter.
    Interessant in diesem Zusammenhang (ich nutze MS-Essentials): Ich konnte ich die Datei noch aus der Mail isolieren und hochladen. Nachdem ich Microsoft in der Trefferliste fand, aktualisierte ich die Signaturen. Erst dann wurde das Isolieren durch MS-Essential unterbunden. Also eine ganz frische Geschichte!


  9. #9
    Avatar von goemichel
    Registriert seit
    04.11.2008
    Beiträge
    1.020
    Danke
    8
    Thanked 8 Times in 8 Posts
    Bei uns ist heute einer dieser Fieslinge als *.bin angekommen.
    Gruß, Michael
    Valar morghulis
    X200 [7459-D70 Win7 Pro] - X1 Carbon [20A7-0066GE Win10 Pro]

  10. #10

    Registriert seit
    24.10.2011
    Ort
    Wuppertal
    Beiträge
    312
    Danke
    0
    Thanked 4 Times in 3 Posts
    locky.exe.bin?


  11. #11
    Avatar von Pferdle
    Registriert seit
    06.07.2012
    Ort
    Viersen
    Beiträge
    1.732
    Danke
    0
    Thanked 149 Times in 142 Posts
    Tja, die Bösen lernen wohl auch dazu...
    Und die Guten lernen nichts dazu.
    Öffne keine Mail, deren Absender man nicht kennt und schon gar nicht einen Anhang an einer solchen Mail.
    Aber gibt genug Leute die eine Mail mit Betreff "Rechnung" oder "Auftragsbestätigung" öffnen, obwohl sie seit einem halben Jahr nix bestellt oder gekauft (außer mit Bargeld beim ALDI) haben
    X200s, SL9600, AFFS, 8RAM, 180SSD, Linux-Mint / X201, i5-520M, 8RAM, 256SSD, Win7 / T530, i5-3320M, 16RAM, 512SSD, Win7 / ThinCentre M900, i7-6700, 64RAM, 256+512+1TB SSD, GTX1050Ti

  12. #12

    Registriert seit
    11.04.2012
    Ort
    Bayern
    Beiträge
    785
    Danke
    10
    Thanked 78 Times in 73 Posts
    Zitat Zitat von Mornsgrans Beitrag anzeigen
    Selbstredend, dass man Mails/Anhänge von unbekannten Absendern nicht öffnet.
    Den Merksatz sollte man vielen "Usern" in Großdruck auf den Monitor kleben...
    Geändert von Chris K (16.02.2016 um 23:19 Uhr)
    Diverse T60(p), T500, T520, T42, alle mit Win 7 Pro

  13. #13
    Meisterhoppler Avatar von Aviator
    Registriert seit
    20.06.2007
    Ort
    In einem Land mit etwa 81 Millionen anderen Menschen
    Beiträge
    4.832
    Danke
    40
    Thanked 86 Times in 82 Posts
    Das kann schneller schiefgehen als man denkt. Ein Bekannter hat mir erzählt, dass auf der Arbeit ein Localization Engineer eine gefakte Mail eines dort aufgestellten Druckers bekam, bei dem sich der Anhang als gescanntes Dokument ausgegeben hat.

  14. #14

    Registriert seit
    17.12.2013
    Beiträge
    174
    Danke
    80
    Thanked 11 Times in 11 Posts
    Mittlerweile sind die kriminellen schon länger so perfide und machen social Engineering, fangen Mails ab und senden dann mit deren Signatur, Mailverlauf und einigermaßen passendem Zusammenhang verseuchte Mails. Sowas ist selbst für einen erfahrenen Admin manchmal erst auf dem 2. Blick zu sehen, vor allem wenn die echten Absender nicht nur von einem Mailgateway schicken, sondern von mehreren und die Reverse-MX Einträge auch dort nicht richtig gesetzt sind.
    T530 i7-3630QM, 16 GB, NVS 5400M, 256GB mSATA-SSD, 160GB + 1TB HDD, Full-HD
    T61 T7300 @ 2,93 GHz, 4 GB, 120 GB SSD, WXGA+ 14,1"
    X230 i5-3360M, 8GB, 250GB mSATA, 500GB SSHD, IPS | T540p i5-4210M, 16 GB, 525 GB SSD, FHD

  15. #15
    Help-Desk Avatar von Mornsgrans
    Registriert seit
    20.04.2007
    Ort
    Idar-Oberstein
    Beiträge
    62.962
    Danke
    30
    Thanked 1.316 Times in 1.181 Posts
    @Aviator:
    Zitat Zitat von Mornsgrans Beitrag anzeigen
    Unternehmen erhalten auch scheinbar Mails von Kopierer@meinefirma.com oder scanner@meinefirma.com z.B. mit dem Betreff "Message from KMBT_C224 xxxxx" (Standardbetreff von KonicaMinolta Bizhub-Kopierern) mit angehängten Word- oder Excel-Dateien - Dateiformate, die die Kopierer nicht erzeugen können.
    Genau solche "Schwachstellen" nutzt man aus.

    Zitat Zitat von Pferdle Beitrag anzeigen
    Aber gibt genug Leute die eine Mail mit Betreff "Rechnung" oder "Auftragsbestätigung" öffnen, obwohl sie seit einem halben Jahr nix bestellt oder gekauft (außer mit Bargeld beim ALDI) haben
    Bei Privatpersonen ist dies auch weniger "problematisch", wenn man "Brain.exe" einsetzt. Aber in Unternehmen sieht es anders aus, wenn der Rechnungsempfänger eine andere Person ist, als Besteller oder Lieferemfänger.
    Hier sollte man aber nur Rechnungen als PDF-Datei oder in Papierform akzeptieren.
    Mainzer Stammtisch sucht neue Räume - Vorschläge gesucht ------ Meine ThinkPads
    Ich trinke meinen Kaffee wie Chuck Norris: Schwarz und ohne Wasser
    "Der Computer rechnet mit allem - nur nicht mit seinem Besitzer." - Dieter Hildebrandt

  16. #16

    Registriert seit
    27.08.2013
    Beiträge
    581
    Danke
    0
    Thanked 22 Times in 22 Posts
    Unbekannte Anhänge, die trotzdem von Interesse sind, öffne ich gefahrlos mit dem Editor oder besser mit Notepad++ (schneller). Man sieht so den versteckten Text, kann ihn lesen. Wichtig ist aber, man kann leicht erkennen, ob ausführbarer Code enthalten ist. Dann findet man ein "MZ" iin den ersten paar Bytes vom Anhang; Schadcode => Anhang sofort löschen. Öfter findet man auch im Klartext HTML-Links (schliesslich holen die Schädlinge Code aus dem Internet); die Seite mal aufrufen, ein whois gibt nähere Erläuterungen, aus welchem Land der Code kommt. Lese ich da China, UK u.ä., weiss ich, was los ist.
    Ich habe manchmal auch IDA bemüht (Code vom Anhang dissassembliert), auch das gibt interessante Hinweise.
    Wichtig ist aber: man darf den Code NIE ausführen (Doppelklick usw.). Solange er nur als Datei auf der Festplatte schlummert, bleibt er ungefährlich. Virenscanner sollten aber regelmässig Alarm schlagen; wenn nicht, taugt der Virenscanner nichts. Hier scheint mir besonders Avira grosse Schwächen zu haben.
    In Outlook kann man den Email-Absender in die Junk-Liste aufnehmen, auch das hilft etwas.

  17. #17

    Registriert seit
    23.09.2009
    Ort
    Schweiz
    Beiträge
    12.518
    Danke
    28
    Thanked 269 Times in 253 Posts
    Zitat Zitat von Mornsgrans Beitrag anzeigen
    Bei Privatpersonen ist dies auch weniger "problematisch", wenn man "Brain.exe" einsetzt. Aber in Unternehmen sieht es anders aus, wenn der Rechnungsempfänger eine andere Person ist, als Besteller oder Lieferemfänger.
    Hier sollte man aber nur Rechnungen als PDF-Datei oder in Papierform akzeptieren.
    Es sein denn, der User besitzt ein wirklich, wirklich sehhhhhr grosses Gehirn. Scheinbar kann dann auch rein gaaaaaar nichts passieren, wie einige Benutzer hier kundtun.

  18. #18

    Registriert seit
    22.10.2009
    Beiträge
    2.888
    Danke
    40
    Thanked 289 Times in 232 Posts
    Zitat Zitat von mccs Beitrag anzeigen
    Unbekannte Anhänge, die trotzdem von Interesse sind, öffne ich gefahrlos mit dem Editor oder besser mit Notepad++ (schneller). Man sieht so den versteckten Text, kann ihn lesen. Wichtig ist aber, man kann leicht erkennen, ob ausführbarer Code enthalten ist. Dann findet man ein "MZ" iin den ersten paar Bytes vom Anhang;
    Wobei es ja gerade bei diesen Läufen momentan eben nicht um ausführbare Programmdateien geht, sondern um Office Dokumente mit Macros. Wenn man an den Standardeinstellungen von Office nichts vergurkt hat, muss man dann also nicht nur den Anhang öffnen, sondern auch noch gezielt die Nutzung von Macros bestätigen.

    Aber das Ziel sind wohl auch eher Firmen. Die Mails, die hier ankommen, haben teilweise auch perfekte Texte, Signaturen mit Logo und vieles mehr, was den Normaluser im Büro in einer international tätigen Firma vermutlich schneller dazu bringt, es doch mal zu öffnen.

    Virustotal meldet auch bei den heute frisch eintreffenden .doc und .docm Dateien nur wenige Treffer.
    Interessant war, dass einige .doc Dateien eigentlich umbenannte .docx Dateien waren. Merkt man daran, dass man sie bequem per 7-zip entpacken kann.

    Andererseits ist das Verschicken von Office Dokumenten nun aber auch absolut normal und ich wüsste jetzt nicht, wie die Arbeitsabläufe sonst funktionieren sollten. Nicht alles lässt sich mit .pdf abhandeln und auch .pdf kann wieder bösartige Inhalte haben.
    Der ThinkPad Zoo: T540p, L430, T410s, W700, W500, T500, X200, R61, X61T: Win 10; L420: Win 8.1; X200s: Win 7, R52: XP, T61: Linux

  19. #19

    Registriert seit
    01.10.2008
    Ort
    CH-Spiez,D-Hermeskeil
    Beiträge
    1.711
    Danke
    29
    Thanked 200 Times in 148 Posts
    Hier wird viel von brain.exe...... geschrieben.
    Wir sind hier in einem Forum, welches sich um IT dreht.
    Nutzer von Windows und Office sind aber nicht nur IT-affine Menschen:
    - Es ist die Putzfrau, die ihre Arbeitsstunden im Excelsheet erfassen muss (evtl. mit Makro)
    - Es sind die Nicht-IT-Angestellten, die von überall (Chef, Geschäftspartner, Sekretärin, Buchhaltung......) Officedateien bekommen um sie zu bearbeiten und zu retournieren
    - Es ist der Schüler, der als Hausaufgabe einen Lückentext in Word ausfüllen muss
    - Es ist der Chef, der ...............

    Merkt Ihr, was ich meine: Das Risiko muss definitiv vom Endnutzer weg. Wie das passiert ist Sache von Microsoft und den IT-Abteilungen.
    Man kann nicht der Empfangsdame im Krankenhaus kündigen/ sie abmahnen, weil sie dachte, dass sie einen Unfallbericht von einem Hausarzt bekam, aber dann versehentlich per Makro die Hälfte der elektr. Daten des Krankenhauses verschlüsselte.

  20. #20
    Help-Desk Avatar von Mornsgrans
    Registriert seit
    20.04.2007
    Ort
    Idar-Oberstein
    Beiträge
    62.962
    Danke
    30
    Thanked 1.316 Times in 1.181 Posts
    Zitat Zitat von StefanW. Beitrag anzeigen
    Wie das passiert ist Sache von Microsoft und den IT-Abteilungen.
    Auf MS kannst Du warten, bis Du schwarz geworden bist und die IT-Abteilungen können auch nicht alles abfangen.

    Macros und VBA-Anwendungen werden gerade in Unternehmen und Behörden in großem Umfang genutzt, wenn es darum geht, bestimmte Abläufe und Funktionen rationell zu gestalten. Hausintern werden derartige Dokumente auch per Mail verschickt. Also darf der Mailserver nicht generell derartige Mails blockieren, wohl dem, der noch ein Front-end zum Internet vorgeschaltet hat, der solche Mails ausfiltern kann.

    Hinzu kommt - und das ist das eigentliche Problem -, dass Fakturierungs- und Warenwirtschaftssysteme automatisch generierte E-Mails mit ebenso automatisch generierten MS-Office-Dokumenten im Anhang (doc, docx, xls, xlsx) mit Liefer-, Umsatz- oder sonstigen Daten im beleglosen Datenaustausch versenden. So verwendet ein großes internationales Chemieunternehmen offenbar ein Warenwirtschaftssystem von IBM, das Produktzertifikate und Auftragsdaten im doc-Format versendet, obwohl PDF sicher besser wäre. Der Austausch von Umsatzdaten könnte statt mit xls-Dateien auch mit formatierten Textdateien erfolgen, die zudem oft noch besser eingelesen werden könnten, als über die Zwischenstation "Benutzer" zwischengespeicherten und konvertierten xls-Dateien.

    Du siehst, die Sache ist sogar noch komplexer und "undisziplinierter", als dass "nur eine Empfangsdame" davon betroffen wäre. - Es liegt vielmehr am System selbst, das aufgrund der Bequemlichkeit vollkommen außer Kontrole geraten ist. Darum hilft in den meisten Fällen nur "Argwohn", ein guter Virenschutz, Aufklärung und z.B. Tools, wie virustotal (wenn nicht vertrauliche oder geheime Dateien zu prüfen sind).

    Unternehmen und Behörden sind extrem anfällig für Schadsoftware, weil gerade diese nicht einfach alles blockieren können, was nach "potentiell gefährlich" aussehen kann. Wenn es dann "kracht", dann in größerem Ausmaß, wie man im vergangenem Jahr am Beispiel "Deutscher Bundestag" sehen konnte.
    Mainzer Stammtisch sucht neue Räume - Vorschläge gesucht ------ Meine ThinkPads
    Ich trinke meinen Kaffee wie Chuck Norris: Schwarz und ohne Wasser
    "Der Computer rechnet mit allem - nur nicht mit seinem Besitzer." - Dieter Hildebrandt

Ähnliche Themen

  1. T4xx T400 Schlimmer geht offenbar immer
    Von my.minimoy im Forum T - Serie
    Antworten: 32
    Letzter Beitrag: 10.01.2016, 19:41
  2. T6x T61 Biosupdate schlägt fehl
    Von Schwarzie im Forum T - Serie
    Antworten: 2
    Letzter Beitrag: 25.11.2014, 14:10
  3. Systemwiederherstellung schlägt fehl
    Von Daniel26 im Forum ThinkVantage Software und Apps
    Antworten: 5
    Letzter Beitrag: 10.10.2014, 19:03
  4. Lenovo offenbar an Blackberry interessiert
    Von xyz im Forum Was sonst nicht passt
    Antworten: 4
    Letzter Beitrag: 19.10.2013, 21:34
  5. Windows 8.1 update schlägt fehl
    Von hamo im Forum Windows
    Antworten: 9
    Letzter Beitrag: 18.10.2013, 12:35

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
CeCon Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen CaptainNotebook NBWN - Notebooks wie neu