Erpressungstrojaner LOCKY, Petya, Goldeneye etc.

gatasa

Moderator
Teammitglied
Themenstarter
Registriert
8 Nov. 2005
Beiträge
7.587
Wie Heise Security heute berichtet, hat ein Erpressungstrojaner am Montag, den 15.02.2016 um 15:06 Uhr koordiniert auf verschiedenen Systemen gleichzeitig zugeschlagen.
Zitat:
Locky lauerte vermutlich bereits eine Weile auf den infizierten Systemen, ehe es am vergangenen Montag zeitgleich bei mehreren Opfern mit der Verschlüsselung persönlicher Dateien begonnen hat.

Für die Entschlüsselung erwartet man Bitcoins in Höhe von 360€.
 
Zuletzt bearbeitet von einem Moderator:
also selbst mit nicht aktuellen Mitteln kann man einfach verhindern, dass solche Schädlinge eine Firma außer Gefecht setzen.
Wie wäre es mit Verschlüsselung? De-Mail?
Theoretisch kann zwar der Versender quasi den Schädling mit verschlüsseln. Aber der Empfänger bekommt nur verschlüsselte Mails und kann nur die an ihn persönlich zugestellte Mail öffnen...alles andere geht in den Trash bzw wird erst überprüft.
Ist wohl (noch, wobei wieder mal von Geheimdiensten gesteuert) nicht ganz so sicher, aber besser als jeglich unverschlüsselt und ohne Absender - Empfänger Kennung (Ende-zu-Ende-Verschlüsselung).
 
Wenn man so siht, was sich böse Menschen alles ausdenken bekommt man immer mehr den Eindruck das man lieber auf Linux setzt.
Ich hoffe das Linux weiterhin sicherer bleibt als Windows.
Ich glaube ich werde zu Linux wechseln mit damit befassen und dann meiner besseren Hälfte auch Linux auf ihr Thinkpad packen.
 
Wenn man so siht, was sich böse Menschen alles ausdenken bekommt man immer mehr den Eindruck das man lieber auf Linux setzt.
Ich hoffe das Linux weiterhin sicherer bleibt als Windows.
Ich glaube ich werde zu Linux wechseln mit damit befassen und dann meiner besseren Hälfte auch Linux auf ihr Thinkpad packen.

Linux ist nicht sicherer, wie man z.B. am gerade bekanntgewordenen glibc-Problem sehen kann (siehe z.B. http://arstechnica.com/security/201...zzying-number-of-apps-and-devices-vulnerable/). Dieses Sicherheitsloch gab's seit 2008. Und Shellshock z.B. war über 20 Jahre lang in der bash. Ausnutzbare Sicherheitslücken gab und gibt es also.

Der einzige Vorteil von Linux ist Security by Obscurity, also dass aufgrund der geringen Verbreitung auf Clientseite weniger Exploits für die Sicherheitslöcher geschrieben werden. Was sich aber recht schnell ändern würde, wenn es keine Minderheitenveranstaltung mehr wäre.

Abgesehen davon - der hauptsächliche Verbreitungsvektor von Locky waren ja Word-Dateien mit VBA-Skript. Das setzt schon eine gewisse aktive Dummheit voraus, diese bei unbekanntem Absender zu öffnen und dann auch noch obendrein die Rückfrage, ob die Makros/VBA-Skripts ausgeführt werden dürfen zu bejahen (oder die Sicherheitseinstellung von MS Office auf die niedrigste Stufe gestellt zu haben, was noch bescheuerter ist).
 
Zuletzt bearbeitet:
Der genannte glibc Bug kann aber auch nur ausgenutzt werden, wenn man sich einen gehackten DNS-Server unterschieben lässt.
 
Security by Obscurity, also dass aufgrund der geringen Verbreitung auf Clientseite weniger Exploits für die Sicherheitslöcher geschrieben werden.
Richtige Erklärung, falscher Begriff!
"Security by Obscurity" bedeutet, dass sicherheitsrelevante Teile eines Systems durch undurchsichtige Benennungen/Strukturen/... geheim gehalten, oder Eindringlinge absichtlich auf falsche Fährten geführt werden. (Also eigentlich das genaue Gegenteil zu quelloffenen Systemen wie es viele Linuxuide sind.)
Dass geringe Verbreitung allerdings viele Angriffe unlukrativ macht ist auch logisch (Windows als weit verbreitetes System mit im Schnitt nur wenigen Benutzerkonten pro System ist da schließlich das lohnendere Ziel ;) )
 
Richtige Erklärung, falscher Begriff!
"Security by Obscurity" bedeutet, dass sicherheitsrelevante Teile eines Systems durch undurchsichtige Benennungen/Strukturen/... geheim gehalten, oder Eindringlinge absichtlich auf falsche Fährten geführt werden. (Also eigentlich das genaue Gegenteil zu quelloffenen Systemen wie es viele Linuxuide sind.)

Traditionell wird die "Sicherheit durch geringe Verbreitung" schon mit unter security by obscurity subsumiert, siehe auch den englischen Wikipedia-Artikel:

A variant of the basic approach is to rely on the properties (including whatever vulnerabilities might be present) of a product which is not widely adopted, thus lowering the prominence of those vulnerabilities (should they become known) against random or even automated attacks. This approach has a variety of names, "minority"[SUP][7][/SUP] being the most common. Others are "rarity",[SUP][8][/SUP] "unpopularity",[SUP][9][/SUP] "scarcity", and "lack of interest".
.
 
Linux ist nicht sicherer, wie man z.B. am gerade bekanntgewordenen glibc-Problem sehen kann (siehe z.B. http://arstechnica.com/security/201...zzying-number-of-apps-and-devices-vulnerable/). Dieses Sicherheitsloch gab's seit 2008. Und Shellshock z.B. war über 20 Jahre lang in der bash. Ausnutzbare Sicherheitslücken gab und gibt es also.

Der einzige Vorteil von Linux ist Security by Obscurity, also dass aufgrund der geringen Verbreitung auf Clientseite weniger Exploits für die Sicherheitslöcher geschrieben werden. Was sich aber recht schnell ändern würde, wenn es keine Minderheitenveranstaltung mehr wäre.

Abgesehen davon - der hauptsächliche Verbreitungsvektor von Locky waren ja Word-Dateien mit VBA-Skript. Das setzt schon eine gewisse aktive Dummheit voraus, diese bei unbekanntem Absender zu öffnen und dann auch noch obendrein die Rückfrage, ob die Makros/VBA-Skripts ausgeführt werden dürfen zu bejahen (oder die Sicherheitseinstellung von MS Office auf die niedrigste Stufe gestellt zu haben, was noch bescheuerter ist).

Gut das ich Office nicht nutze und unbekannte nicht angeforderte Anhänge in Emails garnicht erst öffne.
Ich nutze nicht mal einen Email Client auf dem Notebook sondern rufe meine Mails lieber auf der Seite auf, wo mein Mail Hoster sie mir anbietet.
Hatte das damals, als ich noch Outlook und ähnliches von Office nutzte, da wurden mir manches mal die Anhänge gleich mit Präsentiert, das führte öffter zu Problemen.

Nun ja dann dürfte eigendlich kein Betriebssystem wirklich sicher sein.
 
security through obscurity ist nicht gleichzusetzen mit security through minority (das steht auch nicht anders im von dir zitierten Wikipedia Artikel).
Die Ansätze sind zwar ähnlich, jedoch kann man es so halten wie im Wikipediaartikel beschrieben: "Eine Variante zum eigentlichen Vorgehen"
 
Nun ja dann dürfte eigendlich kein Betriebssystem wirklich sicher sein.

...und genau so ist es. Absolute Sicherheit gibt es da nicht, solange man mehrere Formen von Annehmlichkeit haben möchte (Austauschmedien, Netzwerkzugriff, Internetzugriff, Schreibrechte, ...). Wir sprechen von relativer Sicherheit.
Wenn sich jemand die Arbeit machen möchte, ein System zu kompromittieren, dann schafft er das mit entsprechendem Aufwand (weil z.B. überall der Faktor Mensch mitspielt). Du kannst dir auch Schadsoftware über den Browser fangen. Oder über einen USB-Stick eines guten Bekannten / Familienmitgliedes. An meiner Hochschule war damals klar - wer den USB-Stick einmal in einen Rechner am PC-Pool gesteckt hat durfte den erstmal entseuchen.
Eine Abwägung zwischen Kosten und Nutzen führt in vielen Fällen zu Windows-Systemen und Office-Produkten, weil beides bei "unbedarften Nutzern" und in Firmen recht weit verbreitet ist.
 
Die Methoden der Infizierung via Spammail und Sozial Engeniering (Passende Mailadressen usw.) oder sogar via Lücken in Browsern würden sicher auch unter Linux funktionieren, und die schreibreche auf die Datein mit denen er Arbeitet muss der User ja haben. Das miese an den Crypto Schädlingen ist ja eben das sie keine Administrativen Rechte brauchen um wirklich große Schäden anzurichten, da der User die Datein mit denen er Arbeitet ja eh verändern muss. Und leider denkt der User nicht viel darüber nach wenn word ihn fragt ob er denn nun wirklich dieses Makro ausführen will.

Aber, selbst wenn Administrative rechte benötigt werden sehe ich da keinen großen unterschied zwischen Windows und Linux, ob da nun eine Fehlermeldung kommt das der User es bitte mit sudo probieren soll, oder der Nein/Ja abfragedialog der UAC bzw. die Forderung sich für den einen Prozess mit Administrativen Kennwort anzumelden ist nun auch kein rießiger Unterschied. In Firmen sollte er dazu ja eh nicht in der Lage sein, sonst lauft eh einiges schief.

Wir hatten Teracrypt 3 an der Arbeit, dank Stündlichen Snapshots des Storrages war das nach einer Stunde wieder erledigt. Am schlimmsten sollten Viren dieser art sein die sich zeit lassen, so das man soweit zurückgehen muss um die Infektiion zu löschen das das ganze ziemlich aufwendig wird.
 
Wir hatten Teracrypt 3 an der Arbeit, dank Stündlichen Snapshots des Storrages war das nach einer Stunde wieder erledigt. Am schlimmsten sollten Viren dieser art sein die sich zeit lassen, so das man soweit zurückgehen muss um die Infektiion zu löschen das das ganze ziemlich aufwendig wird.
Und genau das sollen Teslacrypt 3 und Locky können.
 
Dann schaut euch doch mal Locky bei der Arbeit an:


 
Zuletzt bearbeitet:
TeslaCrypt über Joomla

Zwar nicht Locky, aber TeslaCrypt:
http://www.heise.de/newsticker/meld...-Erpressungs-Trojaner-TeslaCrypt-3114184.html
"Auch wer seine Mails sorgfältig filtert, läuft Gefahr, sich den Erpressungs-Trojaner TeslaCrypt einzufangen. Auf scheinbar harmlosen Web-Seiten lauern Exploits, die deren Besucher infizieren.""Darüber hinaus ist natürlich davon auszugehen, dass das Problem keineswegs auf Joomla begrenzt ist; vielmehr attackieren die Angreifer auch Wordpress, Drupal und andere CMS."

Viel Spass an alle, die glauben Brain.exe 2.0 schützt sie vor allem Ärger, der so aus dem Internet kommt.
 
Zu TeslaCrypt 3.0 habe ich hier auch noch etwas Passendes:

New TeslaCrypt variant now uses the .MP3 Extension

Unfortunately at this time there is still no way to decrypt the new variants of TeslaCrypt.

LG Uwe



Übrigens... ab Firefox 45.0 (Beta) wird die Domäne ".onion" by default auf DNS-Level blockiert. Beispielsweise lässt sich der Tor-Browser nicht herunterladen.

Firefox 45.0 (Beta) - Release Notes:

  • Introduce a new preference (network.dns.blockDotOnion) to allow blocking .onion at the DNS level
Onion.PNG
 
Zuletzt bearbeitet:
Wieder einmal ein alter Bekannter, der sich in einem neuen Gewand zeigt. Derzeit ist wirklich ein Revival für Ransomware angesagt.

CTB-Locker for Websites: Reinventing an old Ransomware

CTB-Locker, otherwise known as Critroni, is a Windows ransomware that saw wide distribution in the summer of 2014 and slowly decreased in distribution. This is a big month for CTB Locker as they have reinvented themselves by releasing a new variant that I have dubbed "CTB-Locker for Websites" that only targets and encrypts websites. Furthermore, this month CTB-Locker for Windows has also seen an increased distribution, but is still not nearly as active as other ransomware infections such as TeslaCrypt, CryptoWall, and Locky.
Full article - CTB-Locker for Websites: Reinventing an old Ransomware

P.S.:
Emsisoft Releases a Decrypter for HydraCrypt and UmbreCrypt Ransomware

- - - Beitrag zusammengeführt - - -

PadCrypt Updated with Additional Chat Features and a Computer Blacklist
 
Und wieder ein neuer:
Erpressungs-Trojaner verschlüsselt mit PGP
Ein recht neuer Erpressungs-Trojaner erzeugt auf den Systemen seiner Opfer .trun-Dateien. Einer Analyse von heise Security zufolge handelt es sich dabei um PGP-verschlüsselte Daten.

Heise Security liegt der Quellcode einer noch nicht sonderlich weit verbreiteten Ransomware vor, die das Open-Source-Verschlüsselungs-Programm Gnu Privacy Guard, kurz GnuPG oder GPG missbraucht.
...
Der trun-Trojaner wird derzeit vor allem via Mail verbreitet und befällt Windows-Systeme. Er hat bereits erste Opfer gefunden;
Und WICHTIG!!!!
Achtung: Wer das Trojaner-Skript rechtzeitig abbricht, findet den geheimen Schlüssel eventuell noch im Ordner %temp% (unter AppData\Local\Temp). Selbst wenn der Trojaner sie gelöscht hat, können Experten ihn unter Umständen mit Wiederherstellungs-Tools wie Recuva noch retten. Diese Chancen werden jedoch geringer, je länger der Computer nach der Infektion noch genutzt wurde; bei SSDs stehen sie generell eher schlecht.

Quelle

- - - Beitrag zusammengeführt - - -

Neues von Heise:

Krypto-Trojaner Locky: Batch-Dateien infizieren Windows, Tool verspricht Schutz
...
Da die Ransomware-Entwickler sehr umtriebig sind und laufend neue Varianten ihrer Schädlinge in Umlauf bringen, sollte man sich bei diesem Katz- und Mausspiel nicht auf die Virenscanner verlassen. Zusätzlichen Schutz verspricht das Tool Anti-Ransomware von Malwarebytes, das Krypto-Trojaner anhand ihres Verhaltens erkennen und stoppen soll.
...

Sicher kein Allheilmittel, aber vielleicht ein Mittel, um den Erpressungstrojanern zumindest derzeit das Wirken zu erschweren.

Das Tool ist derzeit in der Beta-Phase.
 
ComputerBase.de: Krypto-Trojaner - Locky weiterhin auf dem Vormarsch

Deutschland und Frankreich am schlimmsten betroffen

Kaspersky-Grafik_Locky-Infizierungskarte.png


Kaspersky Lab kennt derzeit über 60 Modifikationen der Ransomware Locky
 
Zuletzt bearbeitet:
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben