Erpressungstrojaner LOCKY, Petya, Goldeneye etc.

[gatasa]

Wie Heise Security heute berichtet, hat ein Erpressungstrojaner am Montag, den 15.02.2016 um 15:06 Uhr koordiniert auf verschiedenen Systemen gleichzeitig zugeschlagen.
Zitat:
Locky lauerte vermutlich bereits eine Weile auf den infizierten Systemen, ehe es am vergangenen Montag zeitgleich bei mehreren Opfern mit der Verschlüsselung persönlicher Dateien begonnen hat.
Für die Entschlüsselung erwartet man Bitcoins in Höhe von 360€.

 

[Mornsgrans]

frohe Ostern, wie schützt Du / Ihr als Admin die Systeme vor Locky?

Eingehende Mails müssen erst einmal auf unseren Postfix Mailserver, bevor sie auf einen Exchange-Server weitergeleitet werden.
Postfix besitzt die unschätzbare Eigenschaft, dass man manuell zahlreiche Hürden einbauen kann. So werden grundsätzlich keine docm, xlsm oder pptm - Dateien angenommen. Der Rest wird durch Kaspersky für Linux gefiltert und der schlägt täglich mehrfach an.

Vereinzelte Mails mit makrobehafteten Office-Dokumenten (.doc, .xls) kommen zwar dennoch durch, vor Allem, wenn sie die Schadsoftware nachladen, aber alle Mitarbeiter sind daraufhin getrimmt worden, derartige Mails von unbekannten Absendern lieber zu löschen, als zu öffnen. In der Outlook-Vorschau kann man (wieder/noch) ungefährdet eine Vorschau des Office-Doluments vornehmen, aber "löschen" hat oberste Priorität - das ist von der Geschäftsführung so angeordnet worden. Zitat: "Wenn es wirklich etwas wichtiges für uns bestimmtes war, meldet sich der Absender eh noch einmal!"
Ich erhalte zwar immer wieder telefonische Anfragen von Mitarbeitern, ob löschen oder nicht, aber das ist mir lieber, als die halbe Firma aus einem Backup zu recovern.

Bei uns ist bisher erst ein Fall (ca. 100 Mitarbeiter weltweit) aufgetreten und das war unmittelbar am Anfang der Verschlüsselungstrojaner-Welle - zum Glück außerhalb des Firmennetzwerks. In mehreren anderen Fällen, in denen das Office-Dokument ebenfalls geöffnet wurde, hatte der auf dem PC installierte Kaspersky jegliche Trojaneraktivität sofort unterbunden (auf dem befallenen Rechner war Avast Antivirus installiert).

Es ist auch kein neuer Infektionsweg, wie es Heise reisserisch darstellt, sondern existiert bereits seit Jahren.

Du musst unterscheiden:
Die seit Jahren bekannte Lücke für den Missbrauch der Powershell betrifft Trojaner allgemein. - Neu ist, dass dies auch für einen Erpressungstrojaner verwendet wird. Du musst also Deinen Vorwurf relativieren.

 

[Helios]

Hmmm... frage mich gerade, wie sehr wird PowerShell bei Anwendern im Alltag eigentlich benötigt. Ein einfacher Workaround ist, PowerShell in den Windows-Features zu deinstallieren. Lässt sich ja bei Bedarf einfach wieder installieren.

 

[Mornsgrans]

wie sehr wird PowerShell bei Anwendern im Alltag eigentlich benötigt

So gut wie gar nicht! Es ist aber tief im System verankert und kann nicht ohne weiteres entfernt werden.

Hier ein interessanter Artikel:
http://www.scip.ch/?labs.20150507
Quintessenz:
Man kann die Powershell blockieren, aber dennoch diesen Block umgehen.

Siehe auch diesen Artikel bei Trendmicro aus dem Jahr 2014:
http://blog.trendmicro.de/windows-powershell-infiziert-word-und-excel-dateien/

 

[te_zwo]

Hmmm... frage mich gerade, wie sehr wird PowerShell bei Anwendern im Alltag eigentlich benötigt. Ein einfacher Workaround ist, PowerShell in den Windows-Features zu deinstallieren. Lässt sich ja bei Bedarf einfach wieder installieren.

das nimmt nur die Konsole und die Module raus (letztere sofern installiert) - die Skripte (*.ps1) kann man nach wie vor ausführen

 

[Helios]

Danke euch beiden. Dann erstelle ich mal eine entsprechende Regel.

LG Uwe

 

[der_ingo]

So werden grundsätzlich keine docm, xlsm oder pptm - Dateien angenommen. Der Rest wird durch Kaspersky für Linux gefiltert und der schlägt täglich mehrfach an.
Vereinzelte Mails mit makrobehafteten Office-Dokumenten (.doc, .xls) kommen zwar dennoch durch,

Ich hab hier schon mehrere Anläufe genommen, zumindest die alten Office Formate generell gleich auf dem Postfix zu blocken, aber das war jedes Mal schlicht unmöglich. Irgendwelche Kunden oder Behörden schicken immer wieder Dokumente als .doc und lassen sich auch keinesfalls davon abbringen.

Das Application-Whitelisting aka AppLocker dürfte in Zukunft eh eines der Haupt-Themen sein, um überhaupt noch Firmennetze absichern zu können. PowerShell zu deaktivieren ist hier zumindest generell keine Alternative. Unser komplettes Scripting im Hintergrund (System Start Scripts z.B.) läuft über PS.

 

[xsid]

Ich hab hier schon mehrere Anläufe genommen, zumindest die alten Office Formate generell gleich auf dem Postfix zu blocken, aber das war jedes Mal schlicht unmöglich. Irgendwelche Kunden oder Behörden schicken immer wieder Dokumente als .doc und lassen sich auch keinesfalls davon abbringen.

Hallo der_Ingo, welches Format wäre dein Wunschformat als Altenative für *.doc?
Könnte man die Dokumente nicht in einer Sandbox öffnen und dann in anderem Dateiformat speichern?

MfG

xsid

 

[der_ingo]

Grundsätzlich erst einmal die neueren Office Formate, da die zumindest offen dokumentiert sind und sich einfacher auf Unfug daran analysieren lassen dürften. Prinzipiell könnte man bei denen sogar automatisiert alle aktiven Inhalte rauswerfen.

Die Sandbox Variante ist natürlich eine Möglichkeit, aber dann halt man im Ernstfall halt Dokumente, die mit anderem Layout ankommen als sie abgeschickt wurden. Und mir wäre da auch keine Möglichkeit aus der Praxis bekannt. Die Dokumente werden bei uns in einer Sandbox Umgebung analysiert, aber da bekomm ich dann halt eine Einschätzung raus und kein konvertiertes Dokument.

 

[Mornsgrans]

Nach dem Befall des einen Rechners hatte ich für zwei Wochen alle Mails mit .doc, .xls und .pp* - Anhängen geblockt. Dies war einfach notwendig, um weiteren Schaden abzuwenden, da zu jener Zeit ca. 20 Seuchen-Mails pro Stunde eingeliefert wurden.

Nach der Wiederfreigabe von Mails mit diesen Anhängen konnte ich rund einhundert geblockte Mails manuell aus der Quarantäne holen, prüfen und zustellen - natürlich mit Benachrichtigung des Absenders.

Die Bequemlichkeit von Mitarbeitern, lieber .doc zu versenden anstatt als pdf, txt oder csv, ist extrem weit verbreitet. Was mich am meisten ärgerte, war die Tatsache, dass offenbar einige Fakturierungsprogramme automatisch im .doc- oder .xls-Format versenden (z.B.: Umsatzzahlen zur Weiterverarbeitung, Produkt- und Rohstoffzertifikate oder Anmeldeformulare für die Finanzbehörden).

- - - Beitrag zusammengeführt - - -

Wieder eine neue Masche:

Erpressungs-Trojaner mit neuer Taktik: Erst schauen, dann verschlüsseln

Nach einem Einbruch in ein Netz verschaffen sich die Erpresser hinter Samsa zunächst Zugriff auf so viele Systeme wie möglich. Erst dann kommt die Verschlüsselung zum Einsatz – und die Opfer bekommen gesalzene Lösegeld-Forderungen.
...

Quelle

 

[Helios]

Auf "The Hacker News" wird ein Weg vorgestellt, das System auf Macro-basierender Malware zu schützen.


Enable this New Setting to Secure your Computer from Macro-based Malware

Do you deal with MS Word files on the daily basis?

If yes, then are you aware that even opening a simple doc file could compromise your system?

It is a matter to think that the virus does not directly affect you, but it is you who let the virus carry out the attack by enabling deadly "Macros" to view the doc contents that are generally on eye-catching subjects like bank invoice.

...

Dridex and Locky are Warning Bells!!!

No other incidents could get you the clear picture on the potential threat of Macro viruses apart from Dridex Malware and Locky Ransomware. Both malware had made use of the malicious Macros to hijack systems.

Over 20 Million Euro had been stolen from the UK banks with the Dridex Malware, which got triggered via a nasty macro virus. The infectious bar of Locky ransomware had also seen an exponential growth in a couple of hours.

Kompletter Artikel und Vorgehensweise: The Hacker News - Enable this New Setting to Secure your Computer from Macro-based Malware

 

[independence]

http://codingsec.net/2016/03/ransomware-crypted-encryption-solved/

Hier wird ein Weg vorgestellt, die Verschlüsselung rückgängig zu machen.. Aber wie gut/ob das klappt, habe ich nicht getestet..

 

[Helios]

Siehe hier, dritter Beitrag.

Oder: BleepingComputer - Decryptor Released for the Nemucod Trojan's .CRYPTED Ransomware

Gilt aber nur für diesen speziellen Trojaner .CRYPTED und kann alle anderen Ransom-Trojaner nicht entschlüsseln.

- - - Beitrag zusammengeführt - - -

The KimcilWare Ransomware targets web sites running the Magento Platform

A new ransomware called KimcilWare has been discovered that appears to be targeting web sites using the Magento eCommerce solution. It is currently unknown how these sites are being compromised, but victims will have their web site files encrypted using a Rijndael block cipher and then ransomed for anywhere between $140 USD and $415 USD depending on the variant that infected them. Unfortunately, at this time there is no way to decrypt the data for free.

KimcilWare was first spotted when a security researcher going by the Twitter handle malwareforme had posted about a new Windows ransomware. This ransomware was a Hidden Tear variant that was broken due to SSL connectivity issues with their Command & Control server. The ransom note, though, contained the email address tuyuljahat@hotmail.com, which security researcher MalwareHunterTeam discovered also appeared on a web site that appeared to be infected with a ransomware called KimcilWare.

Read full story: BleepingComputer - The KimcilWare Ransomware targets web sites running the Magento Platform

 

[Helios]

CryptoHost Decrypted: Locks files in a password protected RAR File

A new ransomware called CryptoHost was discovered by security researcher Jack that states that it encrypts your data and then demands a ransom of .33 bitcoins or approximately 140 USD to get your files back. In reality, though, your data is not encrypted, but rather copied into a password protected RAR archive. Thankfully, the password created by this infection is easily discovered so infected users can get their files back. This infection is currently being detected as Ransom:MSIL/Manamecrypt.A and Ransom_CRYPTOHOST.A.

Full story: BleepingComputer - CryptoHost Decrypted: Locks files in a password protected RAR File

http://www.bleepingcomputer.com/new...ion-defeated-and-password-generator-released/

 

[Helios]

Petya Ransomware's Encryption Defeated and Password Generator Released

An individual going by the twitter handle leostone was able to create an algorithm that can generate the password used to decrypt a Petya encrypted computer. In my test this, this algorithm was able to generate my key in 7 seconds.

The solution used to generate this key is called a genetic algorithm and is one that that mimics the evolutionary process in order to solve problems. According to MathWorks:

A genetic algorithm (GA) is a method for solving both constrained and unconstrained optimization problems based on a natural selection process that mimics biological evolution. The algorithm repeatedly modifies a population of individual solutions. At each step, the genetic algorithm randomly selects individuals from the current population and uses them as parents to produce the children for the next generation. Over successive generations, the population "evolves" toward an optimal solution.
​

Leostone has setup a web site that a victim can use to generate the key once they provide some information from the infected drive. Below are instructions on how to retrieve the required information so you can use leostone's site to generate your decryption key.

Full story: BleepingComputer - Petya Ransomware's Encryption Defeated and Password Generator Released

 

[Mornsgrans]

Es geht auch für einige leichter verständlich auf deutsch:

Erpressungs-Trojaner Petya geknackt, Passwort-Generator veröffentlicht Update

Ein kostenloses Tool soll das zum Entschlüsseln nötige Passwort innerhalb weniger Sekunden generieren können, verspricht der Macher des Werkzeugs. Erste Erfolgsberichte von Petya-Opfern liegen bereits vor.

Die Verschlüsselung des Schädlings Petya ist geknackt. Das behauptet ein Unbekannter mit dem Pesudonym leostone auf Twitter. Mit seinem auf Github veröffentlichten kostenlosen Tool hack-petya soll sich das zum Entschlüsseln nötige Passwort in sekundenschnelle generieren lassen. Alternativ können Opfer den Prozess auch auf einer von leostone aufgesetzten Webseite anstoßen.

Ein Leser von heise Security hat das erfolgreich ausprobiert und eigenen Angaben zufolge wieder Zugriff auf seine Daten. Zudem bestätigen die Ransomware-Experten von Bleepingcomputer die geknackte Verschlüsselung.
...

Heise

 

[Helios]

The Jigsaw Ransomware will delete your files unless you pay the Ransom

A new ransomware has been released that not only encrypts your files, but also deletes them if you take too long to make the ransom payment of $150 USD. The Jigsaw Ransomware, named after the iconic character that appears in the ransom note, will delete files every hour and each time the infection starts until you pay the ransom. At this time is currently unknown how this ransomware is distributed.

This is the first time that we have seen these types of threats actually being carried out by a ransomware infection. The good news is that a method has been discovered that allows victims to decrypt their files for free.

Full story: BleepingComputer - The Jigsaw Ransomware will delete your files unless you pay the Ransom

 

[Koile]

Helios, magst du mal einen Gefallen tun: Da das hier ein deutschsprachiges Forum ist, kann hier nicht jeder so gut Englisch lesen wie du und ich. Magst du evtl. für entsprechende Leute eine kurze, deutsche Zusammenfassung posten? So im Sinne der Allgemeinheit!?

 

[simpel]

Wäre mir auch zu aufwendig. Wer es wirklich nicht versteht, kann beispielsweise den Text kopieren und benutzt Google's Übersetzer.

P.S.
Google Übersetzer in Aktion

Eine neue Ransomware wurde veröffentlicht, dass nicht nur Ihre Dateien verschlüsselt, sondern löscht sie auch, wenn Sie zu lange dauern, die Lösegeldzahlung von $ 150 USD zu machen. Die Stichsäge Ransomware , nach der ikonischen Charakter benannt, in dem Erpresserbrief erscheint, werden die Dateien gelöscht werden jede Stunde und jedesmal, wenn die Infektion beginnt, bis Sie das Lösegeld bezahlen. Zu diesem Zeitpunkt ist derzeit nicht bekannt, wie diese Ransomware verteilt wird.

Dies ist das erste Mal, dass wir diese Art von Bedrohungen gesehen haben tatsächlich von einer Ransomware -Infektion durchgeführt wird. Die gute Nachricht ist, dass ein Verfahren entdeckt worden, dass die Opfer ihre Dateien kostenlos zu entschlüsseln können.

P.P.S.
Ich gebe zu, liest sich wie ein Sack Nüsse

 

[Helios]

Ich muss schauen, wie das mache.

Problem ist ja nicht nur, eine kurze Zusammenfassung der teils sehr grossen Artikel kompakt in einem nützlichen Zeitaufwand in Deutsch zu schreiben. Die aktuellsten Nachrichten erscheinen immer auf Englisch. Ebenso sind alle Ransom-Trojaner in englischer Sprache geschrieben sowie sämtliche Tools/Webseiten, wie sich der Trojaner ggf. entfernen lässt und so weiter.

 

[Mornsgrans]

Ansonsten warte ein paar Stunden und verwende einen Beitrag von einer deutsche Webseite. Computerbase, Winfuture und Heise sind nicht nicht gerade dafür bekannt, dass sie langsam arbeiten.

- - - Beitrag zusammengeführt - - -

The Jigsaw Ransomware will delete your files unless you pay the Ransom

Um seine Opfer unter Druck zu setzen das Lösegeld zu zahlen, soll der Verschlüsselungs-Trojaner Jigsaw stündlich Dateien löschen, bis die Forderung beglichen ist. Glücklicherweise gibt es bereits ein kostenloses Entschlüsselungs-Tool.

Heise


Edit:

Heute bei Heise

Entschlüsselungs-Tool verfügbar? Webseite identifiziert Erpressungs-Trojaner

Opfer von Verschlüsselungs-Trojanern können auf der Webseite ID Ransomware den Schädling identifizieren und unter anderem Infos zur Möglichkeit einer kostenlosen Entschlüsselung abrufen.
...