Erpressungstrojaner LOCKY, Petya, Goldeneye etc.

gatasa

Moderator
Teammitglied
Themenstarter
Registriert
8 Nov. 2005
Beiträge
7.587
Wie Heise Security heute berichtet, hat ein Erpressungstrojaner am Montag, den 15.02.2016 um 15:06 Uhr koordiniert auf verschiedenen Systemen gleichzeitig zugeschlagen.
Zitat:
Locky lauerte vermutlich bereits eine Weile auf den infizierten Systemen, ehe es am vergangenen Montag zeitgleich bei mehreren Opfern mit der Verschlüsselung persönlicher Dateien begonnen hat.

Für die Entschlüsselung erwartet man Bitcoins in Höhe von 360€.
 
Zuletzt bearbeitet von einem Moderator:
Tja, es gibt aber immer noch genügend Menschen, die a) Dateiendungen ausgeblendet haben - da heißt der Anhang dann einfach nur "Bewerbung" oder "Bewerbung.pdf[.js/.exe]" und man wundert sich vielleicht noch, warum das Icon anders aussieht als sonst - und/oder b) zu gutgläubig sind bzw. zu wenig Ahnung haben.
 
Und dann wird viellicht noch geklickt, ohne sich vorher zu fragen, ob man überhaupt eine Bewerbung bei der Arbeitsagentur geschaltet hat.
 
Die "Zeialadressen" solcher Mails werden üblicherweise von Crawlern aus den aktiven Anzeigen bei der Arbeitsagentur gesammelt. :mad:
 
Wer darauf reinfällt hat es aber auch nicht anders verdient. Bewerbungsunterlagen im Javascript-Format? Da müssen doch alle Alarmsensoren klingeln.
Ganz so einfach sieht die Sache ja nicht aus. Wenn man die Windows Standardeinstellungen verwendet, wie ungefähr 99,8% der Benutzer, dann blendet ja Windows freundlicherweise alle bekannten Endungen aus. Und .js ist natürlich eine bekannte Endung und damit erst einmal nicht sichtbar

Und außerdem
Oder ist die .js-Datei in eine Zip-Datei verpackt?
hast Du mit dieser Aussage den Nagel auf den Kopf getroffen - und ich hatte es oben auch schon erwähnt - kommt eine Zip Datei an, die dann zwei Dateien beinhaltet:
Name Lebenslauf.pdf (.js)sowie Name Bewerbung.pdf (.js)

Und wenn Du jetzt tatsächlich eine offene Stelle zu vergeben hast, die auch in Wirklichkeit über die Arbeitsagentur läuft und sowieso ein paar Bewerbungen in der Mail erwartest und auch erhälst, klickst Du unweigerlich zu....
 
Wer an so einer Stelle Windows mit Standardeinstellungen betreibt, arbeitet grob fahrlässig... ;)
 
Ich meinte in diesem Fall keine Privat-PCs, sondern den Arbeitsplatz in einer Firma, an dem Online-Bewerbungen bearbeitet werden. :facepalm:
 
Ich meinte in diesem Fall keine Privat-PCs, sondern den Arbeitsplatz in einer Firma, an dem Online-Bewerbungen bearbeitet werden.
Du weisst schon, dass in Deutschland die meisten Firmen Inhabergeführt sind und keine Unternehmen mit 5000 Angestellten und eigener IT Abteilung ?
Scheinbar allerdings nicht :facepalm:

Ich meine damit den Zimmermeister der gerade einen neuen Angestellten für seine 3 Mann Bude sucht, oder den Optiker, der gerade eine neue Verkäuferin benötigt, oder den Bäcker um die Ecke mit 2 Verwandten als Angestellte, der eine neue Aushilfe für den Verkauf benötigt ?
Ich könnte noch stundenlang weiter schreiben, aber in solchen Firmen macht der Chef/Chefin alles selbst. Den Einkauf, den Verkauf, die Buchführung und die Einstellung neuer Mitarbeiter.
 
Gaaanz doofe Frage - im Falle das doch jemand die JS ausführt.

Verschlüsselt diese selber (im Kontext des IE/Browsers) oder läd die eine ausführbare Datei nach? Grundsätzlich hatte ich mich bisher durch blocken aller nicht bekannten ausführbaren Dateien (Software Restriction Policy) für recht sicher gehalten - die Variante mit Powershell kann ja durch den Nutzer auch nicht ausgeführt werden.
 
Gaaanz doofe Frage - im Falle das doch jemand die JS ausführt.

Verschlüsselt diese selber (im Kontext des IE/Browsers) oder läd die eine ausführbare Datei nach? Grundsätzlich hatte ich mich bisher durch blocken aller nicht bekannten ausführbaren Dateien (Software Restriction Policy) für recht sicher gehalten - die Variante mit Powershell kann ja durch den Nutzer auch nicht ausgeführt werden.
Beim Ursprungs-Locky war es so, dass durch das Skript erst die executable von einem Server geholt wurde. Wie diese dann ausgeführt wurde, weiß ich nicht.
 
Locky Ransomware's new .SHIT Extension shows that you can't Polish a Turd

To further show how ransomware is such a pile of crap, a new version of Locky has been released that appends the .shit extension on encrypted files. Like previous variants, this ransomware is installed using a DLL that is executed by Rundll32.exe. Once executed, it will encrypt targeted file types and append the .shit extension to the name of encrypted files.
BleepingComputer - Locky Ransomware's new .SHIT Extension shows that you can't Polish a Turd
 
Jetzt auch auf Smart-TVs:

Bisher warnten Sicherheitsforscher nur davor, dass Erpressungs-Trojaner auch Smart TVs mit Android-Betriebssystem befallen könnten. Nun ist es offensichtlich zu einer ersten dokumentierten Infektion gekommen.

Der Software-Entwickler Darren Cauthon berichtete via Twitter, dass der Lockscreen-Trojaner FLocker einen Android-Smart-TV von LG infiziert hat. Anschließend soll der Fernseher im Namen des FBI gesperrt gewesen sein und ausschließlich die Botschaft der Erpresser angezeigt haben.

...

Betroffen ist hier ein LG Smart-TV mit Smart-TV-Plattform Google TV, neuere Smart-TV mit Android sollen angeblich nicht davon betroffen sein.
Quelle
 
Zuletzt bearbeitet:
Neu für Dateiendungen: .crypt, .cryp1 und crypz

Aktualisiertes Tool zur Entschlüsselung der von Trojan-Ransom.Win32.Rannoh betroffenen Dateien. ---> http://support.kaspersky.com/de/viruses/disinfection/8547

Wenn das System mit einem schädlichen Programm der Gattung Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl oder Trojan-Ransom.Win32.CryptXXX infiziert ist, dann werden alle Dateien auf dem Computer auf folgende Weise verschlüsselt:

  • Bei der Infektion mit Trojan-Ransom.Win32.Rannoh werden Namen und Erweiterungen nach der folgenden Vorlage geändert: locked-<ursprünglicher_Name>.<4 zufällige Buchstabe>.
  • Bei der Infektion mit Trojan-Ransom.Win32.Cryakl wird das Tag {CRYPTENDBLACKDC} am Ende des Inhalts der Dateien stehen.
  • Bei der Infektion mit Trojan-Ransom.Win32.AutoIt wird die Erweiterung nach der folgenden Vorlage geändert: <ursprünglicher_Name>@<Mail-Domäne>_.<zufälllige_Zeichen>. z. B. ioblomov@india.com_.RZWDTDIC.
  • Bei der Infektion mit Trojan-Ransom.Win32.CryptXXX wird die Erweiterung auf folgende Weise geändert: <ursprünglicher_Name>.crypt, <ursprünglicher_Name>.crypz und <ursprünglicher_Name>.cryp1.
Das Tool RannohDecryptor entschlüsselt Dateien, durch folgende Ransomware verschlüsselt wurden: Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl oder Trojan-Ransom.Win32.CryptXXX (Versionen 1,2 und 3).
 
Wer gestern und heute Nachrichten gehört oder gesehen hat, wird es schon wissen. Hier auch bei heise:

WannaCry: Angriff mit Ransomware legt weltweit Zehntausende Rechner lahm

...
Die Ransomware hat offenbar nicht nur Rechner in Spanien und England befallen, sondern weltweit Zehntausende Computer von Unternehmen, Behörden und Verbrauchern blockiert.
...
Kaspersky Lab zählte mehr als 45 000 Angriffe in 74 Ländern, mit einem Schwerpunkt auf Russland. Die Antiviren-Firma Avast wiederum will bereits 75.000 Fälle in 99 Ländern gezählt haben, schwerpunktmäßig in Russland, der Ukraine und Taiwan.
...

Nett anzusehen auch das Foto der Fahrgastinformation bei der Bahn (siehe oben verlinkte heise-Seite)

Mal sehen, ob herausgefunden wird, wer dafür verantwortlich ist. - Laut 10 Uhr-Nachrichten im Radio, soll die Ausbreitung der Ransomware inzwischen gestoppt worden sein. - Mal sehen, was am Montag passiert, wenn zehntausende infizierter Computer angeschaltet werden, bei denen die Ransomware noch nicht zugeschlagen hatte.
 
Mal schauen, was im September rund um die Bundestatgswahl los ist.
Mögen KKW, Krankenhäuser, Strom- und Wasserversorgung verschont bleiben.
 
Mal sehen, ob herausgefunden wird, wer dafür verantwortlich ist.

Das sind dieselben, die auch für Erdbeben und Vulkanausbrüche verantwortlich sind: Wer als Admin eine solche, bekannte Lücke auf dem Rechner lässt, ist selbst schuld... ;)

Windows und Windows Server bedroht


  • Der Grund dafür ist dem Entdecker und Sicherheitsforscher mit dem Pseudonym PythonResponder zufolge eine Zero-Day-Lücke in der SMB-Bibliothek von Windows.
  • Verschickt ein Server zu viele Bytes im Zuge der SMB2 TREE_CONNECT Response, quittiert Windows das mit einem Speicherfehler. Eine Proof-of-Concept-Demonstration ist bereits öffentlich verfügbar.
  • Von dem Sicherheitsproblem sollen Windows 8.1, 10 und Windows Server 2012, 2016 betroffen sein.
  • Das CERT bestätigt zumindest, dass entsprechende Pakete in einem jeweils vollständig aktualisierten Windows 10 und 8.1 zu einem Absturz mit einem Black Screen of Death (BSOD) führte, der sich auf die Bibliothek mrxsmb20.sys zurückführen ließ.
  • Der Angriff kann von einem bösartigen Server übers Netz erfolgen, mit dem sich ein Windows-System verbinden will. Ein solcher Verbindungsversuch lässt sich etwa durch das Öffnen einer Ressource auf einem Netzwerk-Laufwerk auslösen.
  • Der Angriff erfordert keine Anmeldung auf dem Server.

Noch kein Patch in Sicht


  • Microsoft hat bislang noch keine Stellung zu der Lücke bezogen; eine Antwort auf die Anfrage von heise Security steht noch aus.
  • Wann mit einem Sicherheitsupdate zu rechnen ist, ist derzeit unklar.
  • Um sich bis dahin abzusichern, empfiehlt das CERT, SMB zu deaktivieren oder zumindest die TCP-Ports 139 und 445 und die UDP-Ports 137 und 138 auf Firewalls zu blockieren.

Quelle: https://www.heise.de/newsticker/meldung/Zero-Day-Luecke-in-SMB-Bibliothek-von-Windows-3616990.html

Speicherüberlauf im LAN-Protokoll, das dürfte heutzutage nicht mehr sein: --> https://de.wikipedia.org/wiki/Server_Message_Block



Mal schauen, was im September rund um die Bundestatgswahl los ist.
Mögen KKW, Krankenhäuser, Strom- und Wasserversorgung verschont bleiben.

Bei solchen Viren geht es nicht um Politik, sondern um Geld. Das ist ganz gewöhnliche Kriminalität, wie es sie schon immer gab: Ein Bankraub, ausgeführt mit Sicherheitslücke und Trojaner...
 
Zuletzt bearbeitet:
@think_pad:
auf diese SMB-Sicherheitslücke wurde im März reagiert und seit April gibt es ein Sicherheitsupdate hierfür (KB4012598 auch für XP/Server 2003).
 
Zuletzt bearbeitet:
und welche pfosten wieder auf irgendwelche mailanhänge geclickt haben
 
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben