Erpressungstrojaner LOCKY, Petya, Goldeneye etc.

[gatasa]

Wie Heise Security heute berichtet, hat ein Erpressungstrojaner am Montag, den 15.02.2016 um 15:06 Uhr koordiniert auf verschiedenen Systemen gleichzeitig zugeschlagen.
Zitat:
Locky lauerte vermutlich bereits eine Weile auf den infizierten Systemen, ehe es am vergangenen Montag zeitgleich bei mehreren Opfern mit der Verschlüsselung persönlicher Dateien begonnen hat.
Für die Entschlüsselung erwartet man Bitcoins in Höhe von 360€.

 

[Helios]

Bleeping Computer - CTB-Locker for Websites: Reinventing an old Ransomware

CTB-Locker, otherwise known as Critroni, is a Windows ransomware that saw wide distribution in the summer of 2014 and slowly decreased in distribution. This is a big month for CTB Locker as they have reinvented themselves by releasing a new variant that I have dubbed "CTB-Locker for Websites" that only targets and encrypts websites. Furthermore, this month CTB-Locker for Windows has also seen an increased distribution, but is still not nearly as active as other ransomware infections such as TeslaCrypt, CryptoWall, and Locky.

This article will primarily focus on the new website version, but will also cover a new change to the Windows variant. For victim's who requires help with CTB-Locker for Websites you can visit our support topic here: CTB-Locker for Websites Support and Help Topic.

For those who wish to analyze the source code for CTB-Locker for Websites, it was discovered by security researcher Benkow wokned and uploaded to Kernelmode. Feel free to let me know if I made any mistakes in this analysis.

Full Story: Bleeping Computer - CTB-Locker for Websites: Reinventing an old Ransomware


CTB-Locker Ransomware Spreading Rapidly, Infects Thousands of Web Servers

In last few years, we saw an innumerable rise in ransomware threats ranging from Cryptowall to Locky ransomware discovered last week.

​

Now, another genre of ransomware had been branched out from the family of CTB-Locker Ransomware with an update to infect "Websites", according to Lawrence Abrams of BleepingComputer.
​

Full Story: The Hacker News - CTB-Locker Ransomware Spreading Rapidly, Infects Thousands of Web Servers



Chinese ISPs Caught Injecting Ads and Malware into Web Pages

China has gained a considerable global attention when it comes to their Internet policies in the past years; whether it's introducing its own search engine dubbed "Baidu," Great Firewall of China, its homebrew China Operating System (COP) and many more.

​

Along with the developments, China has long been criticized for suspected backdoors in its products: Xiaomi and Star N9500 smartphones are top examples.
​

​

Now, Chinese Internet Service Providers (ISPs) have been caught red-handed for injecting Advertisements as well as Malware through their network traffic.​

​

Three Israeli researchers uncovered that the major Chinese-based ISPs named China Telecom and China Unicom, two of Asia's largest network operators, have been engaged in an illegal practice of content injection in network traffic.​

Full Story: The Hacker News - Chinese ISPs Caught Injecting Ads and Malware into Web Pages

 

[gatasa]

Und es geht weiter:
Anfang dieser Woche wurde die Stadtverwaltug Rheine mit TeslaCrypt angegriffen: http://www.derwesten.de/region/comp...waltung-rheine-teilweise-lahm-id11615148.html
Ca. 500 Clients und ein paar Server stillgelegt

 

[Adama]

Auch eine Interesannte Methode vertrauen zu ersuchen:
http://www.heise.de/newsticker/meldung/BKA-Warnung-vor-Locky-enthaelt-Virus-3125820.html

 

[Mornsgrans]

Jetzt auch für OS X:

KeRanger: Erste Ransomware-Kampagne bedroht Mac OS X
...
Ein Erpressungs-Trojaner verschlüsselt erstmals auch Daten von Mac-Nutzern. Der Schädling versteckt sich im BitTorrent-Client Transmission. Apple und die Entwickler haben bereits reagiert.
...
OS-X-Nutzer sollten dringend die Version 2.92 einspielen, die den Schädling entfernt. Version 2.91 sei nicht infiziert, entferne aber den Trojaner nicht. Wie sich der verseuchte Installer auf die Webseite des Open-Source-Projektes Transmission geschlichen hat, ist derzeit nicht bekannt.

Quelle: Heise

 

[Koile]

das ist ja direkt im doppelten Sinne perfide:
1.) Weil sich die OS X-User ja immer super sicher gefühlt haben (was das System m.E. für solche Attacken gerade attraktiv macht!)
2.) Weil genau so ein Szenario ja häufig gegen FOSS angeführt wird (klar: Solche Fälle gab es auch bei non-FOSS schon, aber einige bornierte Kontra-Geber wird das nicht interessieren und sie werden es ausnutzen, um FOSS weiter zu diskreditieren)

Ich denke, dass da für OS X auch noch mehr kommen wird, gerade weil sich da kaum jemand wirklich um Virenschutz Gedanken macht und evtl. gar ein besonders riskantes Surfverhalten an den Tag legt, weil "ich kann mir ja nix einfangen"...

 

[Helios]

Siehe Beitrag hier:

KeRanger: The First Apple Ransomware discovered in hacked installer for Transmission

 

[TheGrey]

Ich habe kürzlich ein MacBook gesehen, auf dem war ein Symantec Schutz installiert. Allerdings mit monate-alten Signaturen und eine Aktualisierung war nicht möglich, weil beim Start von LiveUpdate über fehlendes Java gemeckert wurde...

 

[xsid]

Hallo TPler,

sind ist Linux System ohne "WINE" auch gefährdet?

MfG

xsid

 

[Arminius]

HiHo xsid,
das Einfallstor für Apple war nach letztem Stand ja "Transmission" einem auch in Linux-Distries eingesetztes Programm.
Da Win und Apple-OS Serienprodukte sind und somit viele User auf dem gleichen Weg erreicht und geschädigt werden können, könnten wir Linux-User vielleicht noch davon kommen.
Problematisch wird es dann, wenn du über "wine" infizierte .exe einspielst, die dann die verwendeten Win-Teile infizieren.
Aber da du kein "wine" nutzt oder Installiert hast ...

 

[Mornsgrans]

Ich denke mal, dass Linux User auch noch im Visier stehen werden. Ähnlich wie bei OS X wird es auch nur die Dateien betreffen, zu deren Zugriff der User berechtigt ist. Ist sicher auch nur eine Frage der Zeit...

 

[Arminius]

Menno , viele denken es und du musst es aussprechen/hinschreiben.

Ich habe ja die Hoffnung, dass es wegen der Verbreitung und Architektur nicht klappen wird.

 

[caputo]

Menno , viele denken es und du musst es aussprechen/hinschreiben.

Ich habe ja die Hoffnung, dass es wegen der Verbreitung und Architektur nicht klappen wird.

Kann mir gut vorstellen, dass z.B. eine Variante, die Linux-Webserver verschlüsselt und Lösegeld fordert finanziell ein ziemlicher Hit sein könnte, insofern wäre ich mir da nicht so sicher...

 

[Helios]

Hier noch etwas Wissenswertes.

Mac-Erpressungs-Trojaner KeRanger basiert auf Linux.Encoder

Cross-Platform-Ransomware

Entweder haben sich die Entwickler von Linux.Encoder nun auch auf OS X eingestellt oder aber ihren Code an andere, auf Apples Desktop-Betriebssystem spezialisierte Kriminelle lizenziert, merkt BitDefender an.

Damit sei KeRanger nicht nur die erste voll funktionsfähige OS-X-Ransomware, sondern der erste plattformübergreifende Erpressungs-Trojaner überhaupt. Linux.Encoder treibt seit vergangenem Herbst sein Unwesen, zuvor waren nur Windows- und Android-Nutzer von Ransomware bedroht. Die anfangs noch stümperhafte Malware hat in ihrer jüngsten Version 4 laut BitDefender seit Anfang 2016 "Tausende von Linux-Servern" infiziert.

 

[ctulhu]

Hallo,
vielleicht eine dumme Frage: Kann Locky auch auf Daten einer verschlüsselten USB-Festplatte zugreifen? Falls nein wäre das für mich ein Weg wirklich wichtige Daten zusätzlich zu sichern.
Viele Grüße
ctulhu

 

[gerli09]

Locky verschlüsselt alles, wo du als Benutzer ohne zusätzliche Passworteingabe Zugriff drauf hast, egal ob USB-Platte oder Netzlaufwerk. D.h. wenn Zugriff besteht, werden deine verschlüsselten Dateien einfach nochmal verschlüsselt.

 

[ctulhu]

@gerli
Also passwortgeschützte Festplatte ist erstmal sicher.
Viele Grüße
ctulhu

 

[Helios]

Dateien mit folgenden Endungen werden chiffriert:

When Locky is started it will create and assign a unique 16 hexadecimal number to the victim and will look like F67091F1D24A922B. Locky will then scan all local drives and unmapped network shares for data files to encrypt. When encrypting files it will use the AES encryption algorithm and only encrypt those files that match the following extensions:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Furthermore, Locky will skip any files where the full pathname and filename contain one of the following strings:

tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

 

[ctulhu]

@helios

Dateien mit folgenden Endungen werden chiffriert:

habe ich soweit mitbekommen. Gilt das auch für passwortgeschütze FP's?

viele Grüße
ctulhu

 

[Mornsgrans]

Sobald die Platte eingebunden ist, besteht die Gefahr.

 

[Helios]

Gilt das auch für passwortgeschütze FP's?

Nein. Wenn Locky keinen Zugriff auf FPs besitzt, verschlüsselt er auch nichts.