Erpressungstrojaner LOCKY, Petya, Goldeneye etc.

gatasa

gatasa

Moderator
Teammitglied
Themenstarter
Registriert
8 Nov. 2005
Beiträge
7.587
Wie Heise Security heute berichtet, hat ein Erpressungstrojaner am Montag, den 15.02.2016 um 15:06 Uhr koordiniert auf verschiedenen Systemen gleichzeitig zugeschlagen.
Zitat:
Locky lauerte vermutlich bereits eine Weile auf den infizierten Systemen, ehe es am vergangenen Montag zeitgleich bei mehreren Opfern mit der Verschlüsselung persönlicher Dateien begonnen hat.
Für die Entschlüsselung erwartet man Bitcoins in Höhe von 360€.
 
Zuletzt bearbeitet von einem Moderator:
Was da aber nicht drin steht, was bei Helios Artikel explizit erwähnt wird, ist ein eventueller politischer Hintergrund, der die Ukraine treffen soll. Ist allerdings alles nur Vermutung...
 
Mal so nebenbei gefragt: Ist es denkbar, dass uns eines lieben Tages eine perfide Erpressungssoftware überraschen wird, die stark zeitversetzt zuschlägt? Soll heißen: Sie verschlüsselt alles erst nach - sagen wir - 6 Monaten. Viele Backups würden ins Leere laufen, da sie auch "verseucht" sind.
 
Sicher - diese Gefahr besteht und die Gefahr katastrophaler Auswirkungen wächst in dem Maße, wie immer mehr Systeme im Alltag miteinander vernetzt werden.
 
Zuletzt bearbeitet:
Helios schrieb:
2) Eine weitere, schwere Sicherheitslücke im Windows Defender wurde letzten Freitag mit dem ausserplanmässigen Patch geschlossen. Die Ausnutzung der Sicherheitslücke war lächerlich einfach. Der Angreifer musste lediglich eine missgestaltete Datei dem Opfer entweder über Email, Chat Messenger, File Download oder durch Anklicken einer infizierten Webseite mit einer JS Datei.

Es braucht keine Aktion seitens des Clients, da MsMpEng sofort anfängt, neue Inhalte auf einem Zielrechner zu scannen und der Angreifer erhält sofortige Kontrolle über den Zielrechner. Die gepatchte Version der Windows Defender-Engine lautet: 1.1.13903.0.
Zum Vergrößern anklicken....
Da ich Defender nutze: sind solche bugs auch bei anderen AV-Herstellern "gang und gäbe"? Mir ist schon klar, dass es keinen 100% Schutz gibt und ich mich vor allem durch mein Surf- und email Öffnungsverhalten sichere.
 
Schau mal in die älteren THreads dieses Unterforums. Da stand z.b: Kasperky auch schon mindestens einmal wegen des gleichen Problems im Blichpunkt. Auch andere AV-Hersteller wie Symantec, Avast etc. fanden Erwähnung.

Bei Heise:
https://www.heise.de/ct/ausgabe/2015-22-aktuell-Sicherheit-2827706.html (gleiches Thema, wie beim Defender)
https://www.heise.de/meldung/Vom-Ja...r-laesst-sich-leicht-austricksen-2824437.html
https://www.heise.de/meldung/Kaspersky-torpediert-SSL-Zertifikatspruefung-3587871.html



schdrag schrieb:
und ich mich vor allem durch mein Surf- und email Öffnungsverhalten sichere
Zum Vergrößern anklicken....
Brain.exe war schon immer die bessere Software, aber auch diese kann "Sicherheitslücken" enthalten ;)
 
Zuletzt bearbeitet:
Spätestens wer den Snowden Film gesehen hat weis das man sich sowieso nicht mehr schützen kann.
 
AndreasBloechl schrieb:
Spätestens wer den Snowden Film gesehen hat weis das man sich sowieso nicht mehr schützen kann.
Zum Vergrößern anklicken....
Du lässt also auch die Haustür offen stehen, packst dein Tafelsilber mitnahmefertig ein, legst noch deine Kontoverbindungen dazu und postest das dann auf Facebook?

Auch wenn im Bios ein bösartiger Hypervisor steckt, vPro Hintertüren enthält oder deine Frau in Wirklichkeit ein Geheimagent ist: Es gibt noch andere Gefahren, vor denen man sich schützen kann und sollte. Die Maßnahmen dazu (AV Scanner außen vor gelassen) sind mit wenig Aufwand umzusetzen und bieten ein hohes Maß an Sicherheit, an dem auch der gemeine Hacker von Nebenan nicht leicht vorbei kommt.
 
Halbzeit.

buddabrod schrieb:
Du lässt also auch die Haustür offen stehen, packst dein Tafelsilber mitnahmefertig ein, legst noch deine Kontoverbindungen dazu und postest das dann auf Facebook?
Zum Vergrößern anklicken....

Kein Mensch benutzt Tafelsilber, Kontoverbindungen sind kein Geheimnis und Facebook hat wohl auch keine Haustür.

buddabrod schrieb:
... oder deine Frau in Wirklichkeit ein Geheimagent ist: Es gibt noch andere Gefahren, vor denen man sich schützen kann und sollte.
Zum Vergrößern anklicken....
Ach was, nicht mal das können sie: Die sortieren den Müll in verschiedenfarbige Müllsäcke, brabbeln dabei wie eine durchgeknallte Talkshow-Uschi und haben die erotische Ausstrahlung eines gusseisernen Kleiderständers! Von so etwas geht nun wirklich keine Gefahr aus, und da kann man auch nicht mit einem Virenscanner helfen. ;)

OT: Die deutsche Studenten-WG hat schon wieder das Vorspiel gewonnen!
 
Zuletzt bearbeitet:
think_pad schrieb:
Kein Mensch benutzt Tafelsilber, Kontoverbindungen sind kein Geheimnis und Facebook hat wohl auch keine Haustür.
Zum Vergrößern anklicken....
*Kopfschüttel

Ach was, nicht mal das können sie: Die sortieren den Müll in verschiedenfarbige Müllsäcke, brabbeln dabei wie eine durchgeknallte Talkshow-Uschi und haben die erotische Ausstrahlung eines gusseisernen Kleiderständers! Von so etwas geht nun wirklich keine Gefahr aus, und da kann man auch nicht mit einem Virenscanner helfen. ;)
Zum Vergrößern anklicken....
Ja, genau.
 
Es geht weiter. Bei heise:

...
Die Macher der Malware NotPetya wollen offenbar gegen 100 Bitcoin (derzeit rund 245.000 Euro) den Schlüssel herausgeben, mit dem Opfer die meisten ihrer Daten entschlüsseln können – offenbar mit Ausnahme des irreversibel beschädigten MBR. Das zumindest geht aus einem anonymen Statement hervor, das der Kaspersky-Forscher Aleks Gostev entdeckt und über Twitter öffentlich gemacht hat.
...
Zum Vergrößern anklicken....
Ob es ernsthaft ist, wird bezweifelt.

Laut ukrainischer Polizei wurden auf dem MeDoc-Servern Aktivitäten beobachtet, die zur Beschlagnahme der Server geführt haben:
...
Es seien "neue Aktivitäten" beobachtet worden, zitiert die Nachrichtenagentur AP die sogenannte Cyberpolizei. Demnach scheint es Hinweise darauf gegeben zu haben, das von den Servern für die Steuersoftware MeDoc ein neues Update versendet wurde oder bald werden sollte, das weiteren Schaden hätte anrichten können.
...
Zum Vergrößern anklicken....

Von einem Arbeitskollegen habe ich erfahren, dass DHL (Reederei-Sparte) und die Container-Reederei Maersk immer noch erhebliche Probleme haben, Container von Hand gebucht und teilweise nur halbvoll verladen werden müssen, da die Abwicklung nicht verzögert werden darf. - Kurz: In den Überseehäfen herrscht teilweise das reine Chaos.
Alle Vorgänge müssen von Hand geführt und später nachgebucht werden, wenn die Systeme wieder laufen.

Ich persönlich finde es gut, dass so etwas endlich mal passiert wird, um den blauäugigen "Alles-Vernetzern" und "alles ist sicher" - Leuten aufzuzeigen, dass sie auf Sand bauen.

Sehr spaßig wird es mal werden, wenn Microsoft Server auf die gleiche Weise kompromittiert werden und hunderte Millionen Anwender durch die MS-Zwangsupdate-Philosophie binnen weniger Tage mit Schadsoftware "beglückt" werden. - Ich bin sicher, dass es nicht mehr lange dauern wird, bis das eintritt.


Nachtrag:
In diesem Artikel bei Heise wird beschrieben, wie die Schadsoftware verteilt wurde:

...
Der Angriff war offenbar keine Hauruck-Aktion, sondern gut vorbreitet: Die Täter verteilten mindestens drei trojanisierte Versionen der Bibliothek; die erste am 14. April, die zweite am 15. Mai und die dritte schließlich am 22. Juni. Zwischenzeitlich erhielten die MeDoc-Nutzer mehrere Versionen ohne Trojaner-Code – offenbar von den legitimen Entwicklern. Dabei kam es anscheinend zu für die Angreifer unerwarteten Überschneidungen: So erschien nur zwei Tage nach einer trojanisierten Fassung schon wieder eine saubere Kopie der Bibliothek, einen weiteren Tag später versuchten die Täter den Schädling Win32/Filecoder.AESNI.C durch die Backdoor zu verbreiten.
...
Zum Vergrößern anklicken....

Im Heise-Artikel geht es noch weiter, auch, wie die Täter Rückmeldungen über die befallenen Systeme erlangten.
 
Zuletzt bearbeitet:
mornsgrans schrieb:
Sehr spaßig wird es mal werden, wenn Microsoft Server auf die gleiche Weise kompromittiert werden und hunderte Millionen Anwender durch die MS-Zwangsupdate-Philosophie binnen weniger Tage mit Schadsoftware "beglückt" werden. - Ich bin sicher, dass es nicht mehr lange dauern wird, bis das eintritt.
Zum Vergrößern anklicken....

Richtig toll kann ich mir das ohnehin schon schlimme Szenario dann vorstellen, wenn die Malware stark zeitverzögert ihr Werk entfaltet. Die meisten Backups, Systemimages & Co. wären in einem solchen Fall schlicht wertlos.

Aus meiner laienhaften Sicht befinden wir uns in einer Komplexitätsfalle. Mit der gegenwärtigen IT- und Softwareinfrastruktur ist der GAU vorprogrammiert.

Man stelle sich einmal vor, das europäische Strom-Verbundnetz würde nach einem Angriff zusammenbrechen und wir müssten für 1 oder 2 Wochen ohne Elektrizität auskommen. Nichts ginge mehr. Wozu dann noch konventionelle Kriege führen?
 
Kiwie schrieb:
... und wir müssten für 1 oder 2 Wochen ohne Elektrizität auskommen. Nichts ginge mehr. Wozu dann noch konventionelle Kriege führen?
Zum Vergrößern anklicken....

Frage falsch gestellt: Der Witz an konventionellen Waffen ist, dass sie keinerlei Infrastruktur, Elektronik oder Netzwerk brauchen.

Frage richtig gestellt: Wieso brauchen konventionelle Informationen Datenformate, die sich als Programme herausstellen, die jene Daten zerstören, die sie bearbeiten wollen?

Und grundsätzlich: Welchen Sinn hat ein LAN noch, wenn sich alle Computer per WAN verbinden können?

Antwort: Die Redundanz der Netze ist das Einfallstor. Die Nicht-Eindeutigkeit der Informationen zerstört diese, weil ohne diese Struktur ihr grundlegender Charakter missachtet wird. Die Revolution frisst ihre Kinder.
 
Mornsgrans schrieb:
Ich persönlich finde es gut, dass so etwas endlich mal passiert wird, um den blauäugigen "Alles-Vernetzern" und "alles ist sicher" - Leuten aufzuzeigen, dass sie auf Sand bauen.
Zum Vergrößern anklicken....
Es passiert danach aber ja nicht unbedingt was. An vielen Stellen wird nur an den Auswirkungen rumgedoktort.
Dass fast alles irgendwie vernetzt ist, lässt sich wohl kaum sinnvoll aufhalten.
Probleme haben dabei momentan diejenigen, die das Tempo nicht halten können. Das Tempo von Aktualisierungen, neuen Sicherheitsfunktionen, neuen Releases. Da kann man uralte Protokolle nicht abschalten, weil dann Geräte nicht mehr funktionieren würden. Systeme nicht aktualisieren, weil dann spezielle Software nicht mehr laufen würde.

In wie vielen Domänen ist RC4 für Kerberos noch aktiv? Wie viele Domänen lassen NTLM zu, evtl. sogar noch NTLMv1? Wie viele Systeme haben noch SSL aktiv? Wo läuft noch XP? Wo ist noch SMB1 aktiv? Wer hat durchweg CredentialGuard aktiv? Wer nutzt überall ATP Funktionalitäten und bekommt mit, was überhaupt im Netz los ist? Ja alleine: wer hat in der Firma auf 100% der Clients nur User ohne Adminrechte?
Kaum jemand wird das alles abgearbeitet haben - und das war nur ein Teil dessen, was im Windows Umfeld relevant wäre.

Es fehlt also oft "nur" an der Durchsetzung. Deutlich mehr Sicherheit ist möglich. Muss man wollen, muss man konsequent umsetzen und alle Steine, die einem dabei in den Weg gelegt werden, auch wegräumen können. Es muss nicht alles vernetzt werden und nichts ist dauerhaft sicher. Wir werden aber weiter mit einer steigenden Vernetzung leben müssen, weil einfach kaum ein Weg dran vorbei führt.
 
der_ingo schrieb:
Dass fast alles irgendwie vernetzt ist, lässt sich wohl kaum sinnvoll aufhalten. ... Probleme haben dabei momentan diejenigen, die das Tempo nicht halten können. Das Tempo von Aktualisierungen, neuen Sicherheitsfunktionen, neuen Releases. Da kann man uralte Protokolle nicht abschalten, weil dann Geräte nicht mehr funktionieren würden. Systeme nicht aktualisieren, weil dann spezielle Software nicht mehr laufen würde.
Zum Vergrößern anklicken....

Ja, aber gute, verantwortungsvolle Admins sind schwer zu finden. Und so lange Unternehmens- und Behördenchefs die Informatik regelrecht hassen, nur weil sie selbst keine Ahnung davon haben, wird sich wenig ändern. Auf der anderen Seite sagt mir meine Lebenserfahrung und humanistische Bildung aber auch, dass man nicht jeden Bereich des menschlichen Lebens digitalisieren muss. Und vom biographischen Standpunkt aus bin ich froh, dass ich das alles vom ersten "Plastikbrot mit Tastatur und Schnittstellen" bis zur "heutigen Internet-Live-Schalte der Welt" mitmachen durfte.

Das, was da in letzten 30 Jahren passiert ist, ist nur mit der Erfindung des Buchdrucks durch Johann Gutenberg im Jahre 1450 zu vergleichen. (Die Erfindung des Fernsehens entfällt, weil es ein passives Medium war.)

Ein kleiner Trojaner, der Daten verschlüsselt, wird die Welt nicht aus den Angeln heben... ;)
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben