Ransomware jeglicher Art

@Izaya

Dafür gibt es ja noch einige andere Endungen bei den Systemdateien.

Auf die schnelle mal nachgesehen:
sys, tlb, cpl, exe, uce, scr, nls, rs

Es gibt also Auswahl um die verschiedenen Dateitypen mit unterschiedlichen Endungen zu versehen und dann kann man auch die entsprechenden Programme damit verknüpfen.


Venerdi

@venerdi
Und wieder nicht daran gedacht :D

Stimmt, sollte reichen, wenn man nicht gerade mit 75 Dateitypen arbeiten muss.

Finde trotzdem es ist einfacher alles in das Systemverzeichnis zu verschieben, statt jede Datei umzubenennen.

Aber mit deiner Methode stellt es eine Alternative dar

@Izaya

Also im Systemverzeichnis einen neuen Ordner aufmachen und die Dateien in diesen Ordner oder in Unterordner dieses Ordnern kopieren ist eine Maßnahme. Aber unbedingt die originalen Dateien an ihrem Platz belassen damit Locky auch etwas findet.
Die zusätzliche Maßnahme wäre dann das umbenennen.
Denn im Moment schaut Locky zwar noch nicht im Systemverzeichnis nach, aber das kann sich ändern.

Ach ja Dein Linux ist noch sicher weil es zu wenige potenzielle Kunden gibt die ein Linux einsetzen.
Wenn die "Windows-Kunden" abgegrast sind dann dürfte auch Linux interessant werden.


Venerdi

@venerdi

venerdi schrieb:Ach ja Dein Linux ist noch sicher weil es zu wenige potenzielle Kunden gibt die ein Linux einsetzen.
Wenn die "Windows-Kunden" abgegrast sind dann dürfte auch Linux interessant werden.

Ich weiß, dass Linux auch von Viren befallen werden kann.

Richtige Viren für Linux, so denke ich, wird es jedoch erst geben, wenn Linux bzw. das Derivat(z.B. Ubuntu) das am weitesten verbreitete (oder zumindest weiter verbreitet als heute) Betriebssystem der Welt ist.

Was auf einem Linux so alles laufen kann, wenn es mal interessant ist sieht man ja bei Android.

@Izaya

Naja Android ist ja so eine Sache. Jeder Handy Hersteller macht sein eigenes und Updates für die Sicherheit bei älteren Geräten sind Mangelware.
In Punkto Updates ist glaube ich bei den Handys leider Microsoft doch besser.


Venerdi

Danke für die Infos !
Das Dumme ist ja auch, dass die Computer alle mit verführerisch großen Festplatten daherkommen.
Natürlich toll, um dort 100 GB große Games zu installieren aber eigentlich sollte dort nur das
Betriebs-System allein drauf sein. Dann kann nämlich, sobald auch nur das kleinste Problem besteht,
der ganze Misthaufen durch ein mehr oder weniger jungfräuliches *lach* Backup ersetzt werden.
So ähnlich hab ich es gemacht als der Browser automatisch so einen lausigen Lösegeld-Trojaner
heruntergeladen und installiert hatte. Seither kann mich Java am ***** lecken! Deaktivieren!
Nicht zu verwechseln mit Java Script, ohne das bei den Websites ja fast gar nichts mehr läuft.
In meinem Fall wurde die verseuchte HD einfach als Slave angeschlossen, dadurch hatte diese
dreckige Ransomware gar nichts mehr zu melden! Die paar eh nicht wichtigen Dateien runterkopiert
und das ganze Betriebs-System durch ein Backup ersetzt. Apropos Backup:
Einfach das wirklich wichtige Zeug möglichst zeitnah auf je 2 micro SDXC Chips knallen und gut is.

dig_it schrieb:Das Dumme ist ja auch, dass die Computer alle mit verführerisch großen Festplatten daherkommen.
Natürlich toll, um dort 100 GB große Games zu installieren aber eigentlich sollte dort nur das
Betriebs-System allein drauf sein. Dann kann nämlich, sobald auch nur das kleinste Problem besteht,
der ganze Misthaufen durch ein mehr oder weniger jungfräuliches *lach* Backup ersetzt werden.
So ähnlich hab ich es gemacht als der Browser automatisch so einen lausigen Lösegeld-Trojaner
heruntergeladen und installiert hatte.

Also erstens kann man Festplatten auch problemlos partitionieren und zweitens ist es dem Trojaner egal, wie viele Festplatten Du angeschlossen hast. Wenn die Platte angeschlossen ist und Du grundsätzlich darauf zugreifen kannst, wird die genau so verschlüsselt, wie die Systemplatte.

dig_it schrieb: Seither kann mich Java am ***** lecken! Deaktivieren!
Nicht zu verwechseln mit Java Script, ohne das bei den Websites ja fast gar nichts mehr läuft.

Aber das Problem ist in diesem Fall doch Java Script?

dig_it schrieb:In meinem Fall wurde die verseuchte HD einfach als Slave angeschlossen, dadurch hatte diese
dreckige Ransomware gar nichts mehr zu melden!

Wie denn das? Welche Rolle spielt es denn, wie die Platte angeschlossen wird?

dig_it schrieb:Einfach das wirklich wichtige Zeug möglichst zeitnah auf je 2 micro SDXC Chips knallen und gut is.

Das sind aber nicht gerade die zuverlässigsten Datenträger.

So schnell wie er verschlüsselt glaube ich eher er tut nur so und benennt erstmal nur den Verzeichnispfad um, finde für eine Vollverschlüsselung ist er zu schnell.

Locky ist privat per Mail versendet ansich null problem. Ich würde einfach in Office Makros ganz deaktivieren, oder nur auf Aufforderung aktivieren einstellen..wer eine Mail mit Office anhang kriegt könnte diese dann sogar öffnen, ohne infektion, darf dann natürlich NICHT das Makro bestätigen/ausführen.

@taren
denke nicht, die Dateien konnten ja nach Tests die gemacht wurden nicht decryptet werden. Wenn es z-B. ein 256Bit AES oder dergleichen ist, ist es chancenlos, wenn man nicht gleich einen Supercomputer zuhasue stehen hat mit 1mio CPU' und Jahre Zeit.

taren schrieb:So schnell wie er verschlüsselt glaube ich eher er tut nur so und benennt erstmal nur den Verzeichnispfad um, finde für eine Vollverschlüsselung ist er zu schnell.

Moderne Systeme schaffen da schon einen ordentlichen Durchsatz. Zumal Du vermutlich nicht sofort erfährst, dass der Trojaner aktiv ist. Irgendwann kannst Du Dateien nicht mehr öffnen und erst dann wirst Du anfangen, Rettungsmaßnahmen zu ergreifen. Zu diesem Zeitpunkt kann der Trojaner im Prinzip schon Stunden lang munter vor sich hin verschlüsselt haben.

@mayday
Die einzige möglichkeit das zu entschlüsseln ist ein Wordlist angriff.
Das geht aber nur wenn das Passwort billig ist oder der User ein Dödel ist. ;)

Das PW würde bei Brute force ewig dauern:

N2|Rd=ZLi9-M17(5@;36

und bei sowas würde auch keine WL funzen ;)

@all

Wir haben verschiedene Möglichkeiten Locky auszutricksen.

Wir verschieben alle Dateien in den Systemordner.

Wir umgehen alle folgenden Dateiendungen/typen:

Folgende Endungen werden verschlüsselt: .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Und wir haben uns (auch wenn erfolglos) Schattenkopien angeschaut.

Wieso ist bis jetzt keiner von uns auf die Idee gekommen, die Cloud zu benutzen?
Klar, wenn sie mit im Explorer eingehängt ist, wird auch dort alles verschlüsselt. Aber man kann sich alte Versionen downloaden. Und da Locky nicht im nachhinein verschlüsselt, wäre das eine gute Möglichkeit:

Krypto-Trojaner Locky: Cloud als Gegenmaßnahme

Externer Inhalt
Durch das Abspielen werden Daten an Youtube übermittelt und ggf. Cookies gesetzt.

OwnCloud wäre eine Variante für alle, die ihre Dateien nicht bei Google und co. haben wollen.

@all

Wir haben verschiedene Möglichkeiten Locky auszutricksen.

Wir verschieben alle Dateien in den Systemordner.

Wir umgehen alle folgenden Dateiendungen/typen:

Folgende Endungen werden verschlüsselt: .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Und wir haben uns (auch wenn erfolglos) Schattenkopien angeschaut.

Wieso ist bis jetzt keiner von uns auf die Idee gekommen, die Cloud zu benutzen?
Klar, wenn sie mit im Explorer eingehängt ist, wird auch dort alles verschlüsselt. Aber man kann sich alte Versionen downloaden. Und da Locky nicht im nachhinein verschlüsselt, wäre das eine gute Möglichkeit:

Krypto-Trojaner Locky: Cloud als Gegenmaßnahme

Externer Inhalt
Durch das Abspielen werden Daten an Youtube übermittelt und ggf. Cookies gesetzt.

OwnCloud wäre eine Variante für alle, die ihre Dateien nicht bei Google und co. haben wollen.

@Izaya
Ich glaub die beste Möglichkeit ist keine Anhang zu öffnen der komisch ist.
Oder die EMail mit eine LiveCD abrufen wo auf der Festplatte nichts drauf ist.

@O.G.
Ja, aber das ist mir zu einfach :D
Wurde auch schon mehrmals gesagt.
Und einige meinen ja, in einer Firma achtet man nicht auf die Mail/den Anhang. Jedenfalls nicht genau genug um eine Locky-Fälschung zu bemerken.

Und wer ruft eine Mail mit einer LiveCD auf? Ne VM würde reichen. Einfach mit Sandboxie oder VMWare oder was auch immer. Finde ich einfacher als ne LiveCD. Wobei da eben die Bedingung ist:

O.G. schrieb:wo auf der Festplatte nichts drauf ist.

Kann man auch einen extra Pc nur für Mails einrichten. Wobei sich das bei manchen wahrscheinlich lohnen würde :D

In der Firma eher ein Problem..naja bei uns jedenfalls, da es hunderte User sind, da steigt natürlich das Risiko. Es sind da Firmendokumente (Access, Excel) vorhanden welche Makros enthalten, deswegen ist in der Firma in Office auch überall Makro aktiviert. Die meisten Zuhause aber werden selten Office-Makros nutzen, ich würde Makro ausführen gleich ganz deaktivieren, oder wer das nicht kann/will, zumindest Makros nur per Benutzer-Aufforderung ausführen einstellen.

Izaya schrieb:Wir verschieben alle Dateien in den Systemordner.

Was bringt das? Verschlüsselt Locky nicht im Systemordner?

Izaya schrieb:Wir umgehen alle folgenden Dateiendungen/typen:

Ziemlich unpraktikabel.

Izaya schrieb:Wieso ist bis jetzt keiner von uns auf die Idee gekommen, die Cloud zu benutzen?

Auch unpraktikabel. Ohne Internetverbindung wärst Du komplett arbeitsunfähig. Die bessere Alternative dazu ist einfach eine (oder mehrere) externe Festplatten, die Du nur an stöpselst, wenn Du damit arbeitest. Der Schutz wäre der selbe, nur wäre der Zugriff zuverlässiger und schneller.

mayday schrieb:In der Firma eher ein Problem..naja bei uns jedenfalls, da es hunderte User sind, da steigt natürlich das Risiko.

Eben. Das ist der Punkt.

Izaya schrieb: Ne VM würde reichen. Einfach mit Sandboxie oder VMWare oder was auch immer.

Das ist aber auch wieder unpraktikabel. Du willst ja auch selber Dokumente verschicken und auch legitime Dokumente empfangen - mit dieser Ausführung bist Du dauernd am hin und her schieben.
Natürlich geht das - aber Arbeitszeit ist auch nicht gerade umsonst und Frustration, wenn alles kompliziert ist, ist bei Mitarbeitern auch nicht gerade selten.

Man kann wunderbar sichere Systeme bauen - aber das kostet eine Menge Geld.

@kleinundgrün

kleinundgrün schrieb:Was bringt das? Verschlüsselt Locky nicht im Systemordner?

Beitrag von Izaya (Seite 4)

Izaya schrieb:Ich finde es interessant, dass alles im Systemverzeichnis und/oder mit der Endung .dll unversehrt bleibt.

kleinundgrün schrieb:Ziemlich unpraktikabel.

Ist mir klar. Bin auch nicht für diese Lösung.

kleinundgrün schrieb:Auch unpraktikabel. Ohne Internetverbindung wärst Du komplett arbeitsunfähig. Die bessere Alternative dazu ist einfach eine (oder mehrere) externe Festplatten, die Du nur an stöpselst, wenn Du damit arbeitest. Der Schutz wäre der selbe, nur wäre der Zugriff zuverlässiger und schneller.

Man braucht keine Internetverbindung, wenn man eine eigene Cloud hat. Nur ein Netzwerk. Und das wäre wahrscheinlich auch der Weg den Unternehmen, Krankenhäuser etc. nehmen würden. Müssen ja nicht alle Dateien im Internet sein.

Und das man eine (oder mehrere) externe Festplatten nimmt wurde so auch bereits vorgeschlagen. Zugegeben, hätte ich auch nochmal wiederholen müssen.

kleinundgrün schrieb:Das ist aber auch wieder unpraktikabel. Du willst ja auch selber Dokumente verschicken und auch legitime Dokumente empfangen - mit dieser Ausführung bist Du dauernd am hin und her schieben.
Natürlich geht das - aber Arbeitszeit ist auch nicht gerade umsonst und Frustration, wenn alles kompliziert ist, ist bei Mitarbeitern auch nicht gerade selten.

Das war eine Antwort auf @O.G. und bietet in diesem Fall dieselbe Sicherheit, wie eine LiveCD ist jedoch praktischer. Das es nicht wirklich praktisch ist, ist mit klar.
Und Sandboxie z.B. ist nicht wirklich komplex.

kleinundgrün schrieb:Man kann wunderbar sichere Systeme bauen - aber das kostet eine Menge Geld.

Das System kann sicher sein wie es will. Wenn ein DAU davor sitzt, wird es infiziert und ist hin. Brain.exe ist immer noch der beste Schutz ;)

Izaya schrieb:Man braucht keine Internetverbindung, wenn man eine eigene Cloud hat.

Dann ist das aber nur ein share. So wie ein beliebiges andere auch.

Izaya schrieb:Und Sandboxie z.B. ist nicht wirklich komplex.

Wie bekommst du z.B. Dateien dort rein und raus? Also gewollte Dateien?

Izaya schrieb:Das System kann sicher sein wie es will. Wenn ein DAU davor sitzt, wird es infiziert und ist hin. Brain.exe ist immer noch der beste Schutz

Na ja, man kann schon viel abfangen. Aber all das kostet Geld. In der Anschaffung, der Wartung und vor allem im Umgang. Wenn ich jeden Tag eine halbe Stunde verliere, weil ich Dateien erst verfügbar machen muss und weil ich verschiedene Prozeduren durchführen muss, kommt schon was zusammen.
Es ist schon eine Frage der Abwägung, was ich investieren kann.

Locky ist ja auch deswegen recht erfolgreich, weil es vergleichsweise günstig ist. Wenn man nicht aus Prinzip die Zahlung ab lehnt, ist sie die billigere Alternative - sowohl zur Wiederherstellung als auch zur Vorsorge.

kleinundgrün schrieb:
Was bringt das? Verschlüsselt Locky nicht im Systemordner?

Diskussion: Krypto-Trojaner Locky (Beitrag von Izaya)

Danke, das habe ich übersehen.

@kleinundgrün

kleinundgrün schrieb:Dann ist das aber nur ein share. So wie ein beliebiges andere auch.

Unter Cloud Computing (deutsch Rechnerwolke[1]) versteht man die Ausführung von Programmen, die nicht auf dem lokalen Rechner installiert sind, sondern auf einem anderen Rechner, der aus der Ferne aufgerufen wird (bspw. über das Internet).

Wikipedia: Cloud Computing

Wo steht da, dass es Internet sein muss? Im Intranet ist es auch noch eine Cloud.

kleinundgrün schrieb:Wie bekommst du z.B. Dateien dort rein und raus? Also gewollte Dateien?

Man öffnet die Datei einfach mit Rechtsklick>Sandboxie . Sehr viel einfacher gehts nicht.

kleinundgrün schrieb:Wenn ich jeden Tag eine halbe Stunde verliere, weil ich Dateien erst verfügbar machen muss und weil ich verschiedene Prozeduren durchführen muss, kommt schon was zusammen.

Hier haben wir den Punkt. Dabei dürfte kein Fehler passieren. Kann man von einen DAU nicht erwarten.
Und eben die Frage: Sicherheit vs. Benutzerfreundlichkeit.
Absolut Sicher ist vielleicht ein PC ohne Internet/Intranet an den auch nie etwas externes angehängt wird. Bringt einem nur recht wenig, außer vielleicht als überdimensionierter Taschenrechner.