Erpressungstrojaner LOCKY, Petya, Goldeneye etc.

[gatasa]

Wie Heise Security heute berichtet, hat ein Erpressungstrojaner am Montag, den 15.02.2016 um 15:06 Uhr koordiniert auf verschiedenen Systemen gleichzeitig zugeschlagen.
Zitat:
Locky lauerte vermutlich bereits eine Weile auf den infizierten Systemen, ehe es am vergangenen Montag zeitgleich bei mehreren Opfern mit der Verschlüsselung persönlicher Dateien begonnen hat.
Für die Entschlüsselung erwartet man Bitcoins in Höhe von 360€.

 

[martina]

Sobald die Festplatte angeschlossen und durch Eingabe des PW "aufgeschlossen" ist, kann sich auch Locky darauf austoben.

 

[Helios]

Sobald die Festplatte angeschlossen und durch Eingabe des PW "aufgeschlossen" ist, kann sich auch Locky darauf austoben.

Ja, dann hat er ja auch Zugriff. Selbst würde ich keinesfalls eine verschlüsselte FP an ein solch infiziertes System hängen. Das Risiko einer Infektion ist zu hoch.

P.S.: Ausser zu Testzwecken natürlich.

 

[ctulhu]

@ alle

Danke, dann ist das für mich eine Option, wirklich wichtige Daten zussätzlich zu sichern. Sollte das Primärsystem infiziert sein, wird die geschützte USB-FP natürlich nicht aufgeschlossen.
Ich gehe davon aus, das "Locky" zuerst die Daten auf dem Primärsystem verschlüsselt. Sollte er allerdings zeitversetzt arbeiten, nützt der Passwortschutz gar nichts.
Fazit: eine Sicherheitsschranke mehr.
Viele Grüße
ctulhu

 

[independence]

Kann es sein, dass ein System kontaminiert ist aber die Verschlüsselung erst zeitversetzt (Tage oder Wochen) später durchgeführt wird? Oder erfolgt die Verschlüsselung unmittelbar nach Kontamination?

 

[Mornsgrans]

Es gibt Erpressungs-Trojaner, die nach Infizierung auf ihren "Einsatzbefehl" warten. Siehe 1. Seite dieses Threads

 

[fengshui]

Es gibt Erpressungs-Trojaner, die nach Infizierung auf ihren "Einsatzbefehl" warten

Falls man den Verdacht hat, daß sich der PC noch in der "Inkubations-Phase" befindet, leistet das Programm Autoruns https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx gute Hilfe beim Aufspüren von unerwünschten Autostarts.

 

[Helios]

Wie Morns erwähnt, gibt es Ransomware, welche auf einen Trigger warten, andere nicht. Auch Varianten derselben.

Bei Locky ist es so, dass, alsbald der Trojaner einen Weg gefunden hat, sich auf einem System zu installieren, wird der eigentliche Schadcode aus dem Netz nachgeladen. Danach startet Locky umgehend.

 

[Mornsgrans]

Jetzt ist wohl TeslaCrypt 4 im Umlauf:

Erpresser rüsten nach: Verschlüsselungs-Trojaner TeslaCrypt 4.0 gesichtet (Update)
...
Der Erpressungs-Trojaner TeslaCrypt ist in Version 4.0 angekommen und aktuell im Umlauf, warnt die IT-Seite und Informationsquelle für Ransomware-Opfer Bleepingcomputer.com. Auch die Sicherheitsforscher von Heimdal Security bestätigen die neue Version. Eine tiefgehende Analyse steht noch aus.
...

Schwerer zu identifizieren

Einige Fakten sind aber schon bekannt: TeslaCrypt 4.0 soll jetzt auch Dateien die größer als vier GByte sind korrekt verschlüsseln können; die Vorgänger haben derartige Dateien zerstört. Als erster Erpressungs-Trojaner hängt TeslaCrypt 4.0 keine Namenszusätze mehr an verschlüsselte Dateien. Das macht es für Opfer schwerer zu verstehen, was mit ihren Dateien passiert ist
...

Quelle: Heise

 

[Helios]

Emsisoft offering decryption services for the Xorist Ransomware Family

The Xorist family of ransomware is starting to be seen quite often in support requests in our Security Forums. This family of computer infections is built using a builder that allows a potential malware distributor to easily create their own customized version of the ransomware. The problem is that the encrypted file extensions, the targeted files, and the ransom note messages are easily customized and thus it makes it harder for a victim to find help related to their particular build. For example, we have seen variants of this ransomware that have used the EnCiPhErEd,.73i87A, .p5tkjw, and .PoAr2w encrypted file extensions. I am sure there are many more out there.

The good news is that Fabian Wosar of Emsisoft was able to find the builder and create a decrypter for this family of infections. If you find that you are infected with what appears to be a Xorist ransomware variant, you can post in one of the topics below to receive help decrypting your files for free.

HOW TO DECRYPT FILES.TXT (.73i87A, .p5tkjw, PoAr2w extensions) Support Topic

.EnCiPhErEd Ransomware Support and Help Topic

If you want to learn more about how the Xorist ransomware variants are created, you can read below.

Read full story: BleepingComputer - Emsisoft offering decryption services for the Xorist Ransomware Family

- - - Beitrag zusammengeführt - - -

Surprise Ransomware Installed via TeamViewer and Executes from Memory

Recently a member posted in the forums about a new ransomware that was appending the .surprise extension to encrypted files. When I received the sample, I learned that what I had was an loader that executed a heavily modified EDA2 ransomware variant from memory. That was interesting enough, but soon reports started coming in that the those who were infected were being done so via TeamViewer connections.

The first ransomware installed via TeamViewer?

As more reports started to come in from Surprise victims, a disturbing trend was discovered. All of the victim's had TeamViewer installed and logs showed that someone connected to their machine using TeamViewer and uploaded the Surprise.exe files to their desktop.


Post showing a TeamViewer Log

As more logs were posted, it could be seen that there were two TeamViewer IDs that were used by the attackers to upload the ransomware to the computer and execute it. These IDs were 479441239 and 479440875.

Once it was discovered that TeamViewer was involved, I immediately reached out to TeamViewer support to try and get someone who was part of their security team to either call me or email me so we could discuss this attack.Talking to one of the security team members, I was told that the associated IDs have already been disabled so that they could no longer be used on TeamViewer. I was also told, that it appears that the connections made by the ransomware developer were using the credentials of the victim. TeamViewer felt that some of these accounts may have been included in account dumps, where their credentials were retrieved by the ransomware devs.

On checking various databases, I did find that more than half of the victims were listed on the https://haveibeenpwned.com/ site.

At this point, the Surprise ransomware appeared to have gone dark, so we are unable to investigate this further.

Read full story: BleepingComputer - Surprise Ransomware Installed via TeamViewer and Executes from Memory

ComputerBase.de: Krypto-Trojaner - Surprise findet seinen Weg über TeamViewer

 

[Mornsgrans]

Surprise Ransomware Installed via TeamViewer and Executes from Memory

Einfacher ist es, den deutschen Artikel zu verlinken, dann haben auch diejenigen etwas davon, die des englischen nicht ganz so mächtig sind:
http://www.heise.de/newsticker/meld...ich-anscheinend-ueber-TeamViewer-3148863.html



Und wieder eine neue Variante eines Erpressungstrojaners, diesmal über Dropbox verteilt:

Erpressungs-Trojaner Petya riegelt den gesamten Rechner ab
...
Eine neue Ransomware hat es aktuell auf deutschsprachige Windows-Nutzer abgesehen. Petya wird über Dropbox verteilt und manipuliert die Festplatte, wodurch das Betriebssystem nicht mehr ausgeführt werden kann.

Der Erpressungs-Trojaner Petya schlägt seit einigen Stunden auch in Deutschland zu und geht dabei einen ungewöhnlichen Weg: Statt nur bestimmte Datei-Typen zu verschlüsseln, manipuliert er den Master-Boot-Record (MBR) der Festplatte, wodurch der gesamte Rechner blockiert wird. Die installierten Betriebssysteme werden nicht mehr ausgeführt.
...
ie Erpresser verschicken E-Mails, die vermeintlich von einem Bewerber stammen, der sich für einen Job im Unternehmen bewirbt. Die Mails sind in grammatikalisch korrektem Deutsch verfasst. Die angeblichen Bewerbungsunterlagen sind bei dem Cloud-Speicherdienst Dropbox hinterlegt, "weil die Datei für die Email zu groß war".
...

Heise

 

[Helios]

Einfacher ist es, den deutschen Artikel zu verlinken, dann haben auch diejenigen etwas davon, die des englischen nicht ganz so mächtig sind:
http://www.heise.de/newsticker/meld...ich-anscheinend-ueber-TeamViewer-3148863.html

Auf Heise gab es zu jenem Zeitpunkt noch keine Informationen darüber. Erst zwei Tage später.

Und wieder eine neue Variante eines Erpressungstrojaners, diesmal über Dropbox verteilt: Heise

Schon Wahnsinn. Die Dinger schiessen derzeit wie Pilze aus dem Boden.

- - - Beitrag zusammengeführt - - -

Mac OS X Zero-Day Exploit Can Bypass Apple's Latest Protection Feature

A critical zero-day vulnerability has been discovered in all versions of Apple's OS X operating system that allows hackers to exploit the company’s newest protection feature and steal sensitive data from affected devices.

​

With the release of OS X El Capitan, Apple introduced a security protection feature to the OS X kernel called System Integrity Protection (SIP). The feature is designed to prevent potentially malicious or bad software from modifying protected files and folders on your Mac.​

​

The purpose of SIP is to restrict the root account of OS X devices and limit the actions a root user can perform on protected parts of the system in an effort to reduce the chance of malicious code hijacking a device or performing privilege escalation.​

However, SentinelOne security researcher Pedro Vilaça has uncovered a critical vulnerability in both OS X and iOS that allows for local privilege escalation as well as bypasses SIP without kernel exploit, impacting all versions to date.​

Read Full Story: The Hacker News - Mac OS X Zero-Day Exploit Can Bypass Apple's Latest Protection Feature
​

 

[Mornsgrans]

Eine regelrechte Invasion ist da wohl losgetreten worden:

Neue Infektions-Masche: Erpressungs-Trojaner missbraucht Windows PowerShell

Die neu entdeckte Ransomware PowerWare bemächtigt sich der Windows PowerShell, um Computer zu infizieren und Daten zu verschlüsseln.

Der Verschlüsselungs-Trojaner PowerWare infiziert Computer nicht etwa über Schadcode in Form einer .exe-Datei, sondern missbraucht die Windows PowerShell, um die Daten eines Opfers als Geisel zu nehmen.
...
Um die Infektion einzuleiten, setzen die Erpresser auf eine bekannte Methode: Der Ausgangspunkt ist eine gefälschte E-Mail, die im Anhang eine vermeintliche Rechnung in Form einer manipulierten Word-Datei mitbringt.
...
PowerWare verrichtet sein Zerstörungswerk den Sicherheitsforschern zufolge gänzlich ohne den Download zusätzlicher Dateien und vermeidet Schreibzugriffe auf die Festplatte – das hat es bisher noch nicht gegeben.

Heise

Das perfide dabei:
Da die Powershell ein vertrauenswürdiges Programm ist, schlagen Virenwächter keinen Alarm.
Nicht nett: die Sicherheitsforscher von Carbon Black, die vor diesem Trojaner warnen, bieten lediglich eine kostenpflichtige Lösung zur Vermeidung des Aufrufs der Shell aus Word heraus an. - Meiner Meinung nach alles Andere als seriös.

 

[Helios]

Die Verschlüsselung über Windows PowerShell, wie sie PowerWare anwendet, ist nicht neu. Das Vorgehen dieses Typus von Trojaner kann hier nachgelesen werden.

Palo Alto Networks - PowerSniff Malware Used in Macro-based Attacks

 

[te_zwo]

Das perfide dabei:
Da die Powershell ein vertrauenswürdiges Programm ist, schlagen Virenwächter keinen Alarm.
Nicht nett: die Sicherheitsforscher von Carbon Black, die vor diesem Trojaner warnen, bieten lediglich eine kostenpflichtige Lösung zur Vermeidung des Aufrufs der Shell aus Word heraus an. - Meiner Meinung nach alles Andere als seriös.

Kann sich da jemand 'nen Reim drauf machen?
Das kann doch an sich nur über Makros funktionieren ("altbekannte" Masche).

Oder ist das dann eine als .doc getarnte .ps1 Datei? Klingt sehr interessant, vom technischen Hintergrund her

 

[xsid]

Experiment

Hallo, wie könnte ich mein System bewußt infizieren?
Das würde ich gerne ausprobieren.

Wie kann ich mein Linuxsystem infizieren?

Auf welcher Webseite kann ich mein System auf potenzielle Gefährdungen prüfen?


MfG

xsid

 

[qwali]

Das funktioniert auch weiterhin über Macros zum ersten Starten.
Der Unterschied zu den bisherigen Varianten ist halt, dass keine ausführbare Datei nachgeladen wird und daher faktisch alle Virenscanner ihn nicht erkennen werden - ohne Schreibvorgang keine Prüfung (RAM wird nicht geprüft).
Die ausführbare Datei ist hier Powershell und dieses ist integriert.
Eine Verhaltensprüfung wird auch fehlschlagen weil Powershell viel kann, darf und soll.

Ist die Macro-Hürde also überwunden hilft kein Scanner mehr (haben sie bei Locky eh nicht wirklich...)

Kann sich da jemand 'nen Reim drauf machen?
Das kann doch an sich nur über Makros funktionieren ("altbekannte" Masche).

Oder ist das dann eine als .doc getarnte .ps1 Datei? Klingt sehr interessant, vom technischen Hintergrund her

 

[Mornsgrans]

Kann sich da jemand 'nen Reim drauf machen?
Das kann doch an sich nur über Makros funktionieren ("altbekannte" Masche).

Oder ist das dann eine als .doc getarnte .ps1 Datei? Klingt sehr interessant, vom technischen Hintergrund her

Wenn ich den Heise-Artikel richtig verstanden habe, kommt der Trojaner als Office Makro per Mail auf den Rechner. Dieses Makro ruft aus Word die Powershell auf und führt die Powershell-Befehle zur Verschlüsselung aus.
Könnte theoretisch ein Makro sein, das die Powershell mit entsprechenden Parametern aufruft.

Hallo, wie könnte ich mein System bewußt infizieren?
Das würde ich gerne ausprobieren.

Wie kann ich mein Linuxsystem infizieren?

Auf welcher Webseite kann ich mein System auf potenzielle Gefährdungen prüfen?

Unter Linux wirst Du damit nur wenig Chancen haben.
1. Kommt die Schadsoftware per E-Mail vorzugsweise als Word-Dokument .doc oder .docm
2. das MS-Office - System müsste unter Wine oder Codeweavers "Crossover" laufen, damit das nachgeladene .EXE - Programm ausführbar ist.
3. Zur Ausführung der Powershell-Variante müsste die Powershell auf Deinem System unter Wine/Crossover laufen.

Wer weiß, was ich vergessen habe, aufzuführen, um Bedingungen unter Linux zu schaffen.
Es dürfte also gar nicht so einfach sein, die auf Windows ausgerichteten Erpressungetrojaner unter Linux zu "implementieren".

 

[xsid]

Hallo Morngrans und alle,

frohe Ostern, wie schützt Du / Ihr als Admin die Systeme vor Locky?
Mit ist ein mittelständisches Unternehnen (500 MA) das hat Locky zugeschlagen.

MfG

xsid

 

[Helios]

In dem Link in Post #113 wird von Palo Alto Networks detailiert beschrieben, wie file-less Malware funktioniert. Es ist auch kein neuer Infektionsweg, wie es Heise reisserisch darstellt, sondern existiert bereits seit Jahren.

Introduction

The concept of file-less malware is not a new one. Families like Poweliks, which abuse Microsoft’s PowerShell, have emerged in recent years and have garnered extensive attention due to their ability to compromise a system while leaving little or no trace of their presence to traditional forensic techniques.

System administrators have lauded the power and versatility of PowerShell since version 2.0’s integration into Windows 7. Unfortunately, with such versatility comes the opportunity for abuse, specifically surrounding the capability to write directly into memory of the host OS.

Typically, file-less malware has been observed in the context of Exploit Kits such as Angler. Palo Alto Networks has observed a recent high-threat spam campaign that is serving malicious macro documents used to execute PowerShell scripts which injects malware similar to the Ursnif family directly into memory. We call the malware PowerSniff.

....................

Conclusion and Acknowledgements

This widespread spam campaign has been witnessed in the past week. Due to the target-specific details contained within the spam emails and the use of memory-resident malware, this particular campaign should be treated as a high threat. As this malware relies on malicious macros within Microsoft Word documents, users should ensure that macros are not enabled by default and should be wary of opening any macros in files received from untrusted sources.

Palo Alto Networks WildFire customers are protected against this threat, as all encountered files have been correctly flagged as malicious. Additionally, all C2 domains currently encountered have also been marked malicious. AutoFocus users can identify this malware using the PowerSniff tag.

The researchers would like to thank Cert.pl’s @maciekkotowicz for his excellent analysis of the configuration data of the malware.

 

[qwali]

Hallo Morngrans und alle,

frohe Ostern, wie schützt Du / Ihr als Admin die Systeme vor Locky?
Mit ist ein mittelständisches Unternehnen (500 MA) das hat Locky zugeschlagen.

MfG

xsid

Ich habe zwei Wege eingeschlagen - zum einen Software Restriction Policies (Softwareeinschränkungen) die nur Software ausführen lassen die in bestimmten Whitelist-Pfaden liegen (sprich Standard = Nicht zulassen) - das verhindert schonmal sehr zuverlässig (schon bald nervig zuverlässig) das Ausführen von Software aus den Temp-Verzeichnissen. Pfade ist die einfache Variante, Signaturen wäre natürlich besser.
Grundsätzlich versuche ich es so zu steuern, dass Software nur dort auszuführen ist wo ein Nutzer nicht schreiben darf und anders herum.
Der zweite Stein ist die Überwachung auf dem Dateiserver welcher verhindert das die typischen Dateiendungen und Dateinamen geschrieben werden. Sollte dies der Fall sein wird das schreiben verweigert und der betroffene Rechner remote heruntergefahren.

Eine Anleitung dazu findest du auf Administrator.de glaub ich.

Ansonsten - Emails mit Macros sortiere ich derzeit komplett in den Spam.

PS: Die Softwareeinschränkungen gelten bei mir auch für Admins (wichtig) - leider muss dann für Updates und Wartungen manuell eine GPO für Installationen freigegeben werden da viele Updates gerne aus dem %temp% laufen :-(