Ransomware jeglicher Art

Na ! Wenn das nicht mal ein Angebot ist ! :D :D

@wYDi
@schelm1
@mayday
@Izaya
@_Lambda
@Alek-Sandr

Guten Tag,

von Microsoft kommt die Warnung vor dem neuen Schädling ZCryptor.

Er kann wie üblich über eine Datei auf den Rechner kommen.
Er kann aber auch über USB-Sticks verbreitet werden.

Wenn er auf einem Rechner ist, dann verschlüsselt er nicht nur den Rechner, sondern kopiert sich auch auf USB-Sticks und nistet sich im Autostart der USB-Sticks ein.
Wenn nun ein solcher USB-Stick in einen anderen Rechner gesteckt wird, dann wird auch dieser befallen.

Ein entschlüsseln der Dateien soll im Moment nicht möglich sein.

Hier nun der Link nach Heise:

http://www.heise.de/newsticker/meldung/Dateiendung-zcrypt-Microsoft-warnt-vor-wurmartigem-Erpressungstrojaner-3221201.html


Venerdi

Ich hoffe, den Programmieren von solchem Dreck faulen die Finger ab...

@Alek-Sandr

Dein Wunsch ist irgendwie nachvollziehbar.


Venerdi

Mal ein kleiner Erlebnisbericht: Ich hatte gestern und heute das zweifelhafte Vergnügen, eine neue Generation von Ransomware in Aktion zu sehen, bzw. die Folgen davon zu bereinigen. Ich habe schon einiges gesehen, aber das hat mich jetzt doch ein klein wenig beeindruckt. Beim Besuch auf einer Webseite eines deutschen Industriebetriebs wurde wohl eine Schwachstelle im IE ausgenutzt, um Schadsoftware auf dem Rechner einzuschleusen. Auf der Seite fand übrigens keine Interaktion des Benutzers statt, also kein Download und es wurden auch keine weiteren Links dort besucht. Am nächsten Tag hat das Programm beim Systemstart die Antivirus-Software temporär deaktiviert, gefälschte Zertifikate installiert, die Windows-Schattenkopien gelöscht und verschiedenste Windowsprogramme durch eigene Versionen ersetzt. Danach wurde die Antivirensoftware wieder gestartet. Dank der gefälschten Zertifikate war die Antivirensoftware auf dem infizierten Rechner nun aber völlig blind. Ob dazu weitere Schadsoftware übers Netz nachgeladen wurde, konnte ich leider nicht feststellen, vermute es aber. Die Übernahme des Rechners liess sich über den Browser-Cache sowie die Ereignisanzeige recht gut rekonstruieren.

Ein paar Stunden später hat die Schadsoftware nicht etwa die lokalen Datenträger verschlüsselt, sondern die (weitaus wertvolleren) Daten auf einem Netzlaufwerk. Aus verschiedenen Netzlaufwerken hat die Software zielsicher den wertvollsten Datenträger rausgesucht und dann diesen komplett verschlüsselt.

Sämtliche Daten (über 300 GB) wurden innerhalb von 15 Minuten komplett verschlüsselt. Ich habe mir das heute mal angeschaut und mir zur Sicherheit sofort eine "Offerte" von den Crypto-Gangstern machen lassen, denn mir war sofort klar, dass die Daten nicht mehr zu retten waren, da offenbar eine neue (unbekanne) Version von CryptoWall zum Verschlüsseln verwendet wurde. Per Bitmessage fand in der Folge eine Kommunikation statt und der "Supportdienst" für den "Verschlüsselungsservice" wollte 2.5 BTC für den Schlüssel und Instruktionen für die Wiederherstellung der Daten. Adresse für die zu übermittelnden BTC wurde interessanterweise erst auf Nachfrage übermittelt und auch weitere Instruktionen gab es erst auf Nachfrage.

Zum Glück musste ich dann nicht auf dieses Angebot eingehen, da Backups vorhanden waren und nach etwas Frickeli auch wieder eingespielt werden konnten. Die 2.5 BTC wären sicher günstiger gewesen, als meine Dienste in Anspruch zu nehmen, aber man hat ja keine Garantie, dass man die Daten nach Überweisung der BTCs auch wirklich entschlüsseln kann. Eventuell darf man dann auch einfach nochmals zahlen.

Gratistipp von mir: Immer schön regelmässig Backups machen und die Backup-Medien physisch immer vom System trennen, sobald das Backup durchgelaufen ist. Auch ganz wichtig, unbedingt regelmässig prüfen, ob die Backups auch wieder eingespielt werden können.

Emodul

PS: Mit den "Crypto-Gangstern" bin ich noch immer in Kontakt, vielleicht machen sie ja noch einen Fehler. Meist sind das ja eher "Anwender" und keine Hacker und deshalb sind die technisch auch nicht so versiert. Vielleicht gibt es also noch ein Update hier. Aus diesem Grund gibt es jetzt auch keine weiteren Details.

@emodul

Guten Abend,

dann hat Dein Kunde ja nochmal Glück gehabt.

So wie Du den Infektionsweg beschreibst scheint es eine entsprechend präparierte Seite gewesen zu sein.
Dann genügt es wenn mit der Mouse über eine bestimmte Stelle gefahren wird und man hat die Seuche.

Nicht schlecht die Leute scheinen lernfähig zu sein.
Nachdem der Weg mit Dateianhängen bekannt ist weichen sie auf andere Möglichkeiten aus.
Wenn sie dann noch ihre Seuche auf Windows-Rechnern mit Systemrechten ausstatten dann geht noch mehr.

Na schauen wir mal was da noch kommt.


Venerdi

Nachtrag:

Wichtig beim Backup den Rechner vom Netz trennen.

venerdi schrieb:dann hat Dein Kunde ja nochmal Glück gehabt.

Ja, aber nur weil die Backups wieder eingespielt werden konnten. Ansonsten hätte man zahlen und hoffen müssen.

venerdi schrieb:So wie Du den Infektionsweg beschreibst scheint es eine entsprechend präparierte Seite gewesen zu sein.
Dann genügt es wenn mit der Mouse über eine bestimmte Stelle gefahren wird und man hat die Seuche.

Die Details kann ich nicht mehr im Detail nachvollziehen, da sich die Schadware teilweise (vermutlich) wieder selbst gelöscht hat. Allerdings habe ich zwei der Schadprogramme lokalisiert und interessanterweise werden die Programme von der meisten Antivirensoftware als harmlos erkannt.

Wie bereits geschrieben, es sind zwei Programme, wobei das eine nur als Steigbügelhalter für das andere fungiert. Hier mal noch ein paar Analysersultate. Das ist der Screenshot einer virtuellen Maschine, welche von der Schadsoftware befallen wurde:



Das sieht man natürlich erst, wenn der Schaden bereits angerichtet wurde.

Hier ein paar weitere Angaben:
File Size:1 38659 bytes
File Type: PE32 executable (GUI) Intel 80386, for MS Windows
MD5: 8b3fcb6c5fde300195fb8ea6c753bce0
SHA1: 2170a11495d8d533369546a10ed264359385428a
SHA256: 63430b6af4390526bbb02c5cad606064b762185a457e21ad6fbcd36d998d2bd7

Gerade mal 5 Antivirenprogramme erkennen das zum jetzigen Zeitpunkt als Malware. Das sollte sich aber ändern, denn ich habe die Malware natürlich auf diversen Seiten hochgeladen.

Link: https://malwr.com/analysis/NThlZGVhYmQxZWJmNGY0YmE3MDIxYTllMzFlMGY0NzM/

Als Steigbügelhalter diente folgendes Programm:
Link: https://malwr.com/analysis/OTE1YmI2NzdmYTk2NDg1ODg3Y2QxODgwNzU0MTBkMGQ/#

Wie man sieht, wird dadurch Windows manipuliert.

venerdi schrieb:Nicht schlecht die Leute scheinen lernfähig zu sein.
Nachdem der Weg mit Dateianhängen bekannt ist weichen sie auf andere Möglichkeiten aus.
Wenn sie dann noch ihre Seuche auf Windows-Rechnern mit Systemrechten ausstatten dann geht noch mehr.

Na schauen wir mal was da noch kommt.

Leider nicht mehr viel, sie liessen sich auch durch eine Provokation nicht aus der Reserve locken und haben die Niederlage relativ sportlich genommen.

Emodul

@wYDi
@emodul
@Alek-Sandr
@schelm1
@mayday
@Izaya
@_Lambda

Guten Tag,

es wird über ein weiteres Einfallstor für Schadprogramme berichtet.

Der Angriff ist auch bei mit dem Microsoftprogramm "EMET" gehärtetem Windows erfolgreich.

Hier der Artikel von Heise:
http://www.heise.de/newsticker/meldung/Exploit-Kits-umgehen-erweiterten-Windows-Schutz-3235262.html

Und hier eine Erklärung in englischer Sprache wie der Angriff erfolgt:
https://www.fireeye.com/blog/threat-research/2016/06/angler_exploit_kite.html


Venerdi

Die Ransomware "Flocker" treibt nun auch auf Android-basierten Fernsehern
genauso wie auf Smartphones. mit Googles Betriebssystem ihr Unwesen.

http://www.zdnet.de/88272059/ransomware-flocker-legt-android-basierte-smart-tvs-lahm/

@schelm1

Das beim TV ist ja richtig scheisse bei einem PC kann man ja noch Tricksen aber beim eine TV .

@O.G.
Yooh, und das auch noch während der EM !

:D :D :D

@schelm1

Wenn ich so einen Coder erwische, würde ich ihn die Eier abschneiden und so tief in seine arsch stecken das nicht mal mehr der Proktologe mehr ran kommt.

Da müssten die schon Henrietta lang rufen dammit sie vor aAngst von alleine wieder raus kommen....

@O.G.
@schelm1

Guten Abend,

solange der TV nicht im Netz ist und auch keinen Internetzugang hat, ist er sicher.

Es kann dann problemlos und in aller Sicherheit geschaut werden wie 22 Mann sich um einen Ball streiten.

Und Androiden ohne Update, Sicherheitssoftware und Backup und sich dann ärgern.
Selber schuld.


Venerdi

@venerdi

Mein Alter (2012) Samsung TV ist ja am Netzwerk angschlossen.

Dammit ich von meiner Netzwerkfestplatte (Fritzbox-> Mediaserver ) / PC -> Filme und Musik Streamen kann.

Und das wichtigste wenn ich wieder mal vergessen hab wo die fernbedienung ist kan ich die Samsung TV App an meien handy nutzen um meien TV zu Steuern.



Gut ich lade keine Apps also kann mir nix passieren.

@wYDi
@O.G.
@schelm1
@emodul
@Alek-Sandr
@mayday
@Izaya
@_Lambda

Guten Tag,

Locky ist anscheinend aus dem Schwangerschaftsurlaub zurück und hat einen Sprössling mitgebracht.

Bart, so der Name des Abkömmlings, komprimiert und verschlüsselt die Daten. Er greift hierzu auf das bekannte ZIP zurück.
Der Jüngling braucht scheinbar etwas Geld und verlangt deshalb drei Bitcoin Lösegeld.

Der Angriff erfolgt wie immer mit einem entsprechenden Dateianhang.
Ein entschlüsseln ohne Zahlung ist nach Angabe von Experten im Moment noch nicht möglich.


Hier der Link zum Artikel auf Heise:
http://www.heise.de/newsticker/meldung/Locky-Sproessling-Erpressungs-Trojaner-Bart-verschluesselt-anders-und-verlangt-hohes-Loesegeld-3250058.html


Venerdi

@venerdi
Ich hab mich gerade gefragt, ab wann es sowas fürs Auto gibt ?

SO:
Gib mir geld oder dein Auto macht nix mehr.....


Auto wurden ja schon gehackt also denk ich sowas ist möglich .
Z.b.

Wenn man das Handy mit dem Auto verbindet.
Oder wenn ein USB-Stick in radio kommt.

Beides ist möglich!

@O.G.

Im Moment muss für einen solchen Angriff auf ein Auto noch eine Verbindung zu dem Datenbus des Autos hergestellt werden.
Dies kann an verschiedenen Punkten im Auto erfolgen.

In der nächsten Zeit dürfte es einfacher werden.
Die neuen Fahrzeuge sollen ja mit einem Notrufsystem ausgestattet werden das nach einem Unfall automatisch eine Verbindung zu einer Rettungsstelle aufbaut und auch die Position des Fahrzeuges sendet.
Damit das geschehen kann muss ein solches System ja mit dem Datenbus des Fahrzeuges verbunden sein um über die Sensoren einen Unfall zu erkennen.
Wenn dann dieses Notrufsystem gehackt wird, dann dürfte einiges auch ohne körperlichen Zugriff auf das Auto möglich sein, nicht nur ein blockieren des Fahrzeuges.

Die schöne neue vernetzte Welt.


Venerdi

@venerdi

venerdi schrieb:Die schöne neue vernetzte Welt.

Da hat mir ein befreundeter It Experte / Elektriker was erzaählt.

Smart Meter-Zwang kommt ab 2017.
Und die sind voll unsicher !

Wenn du selber die Daten abfragen willst kannst du das nicht über den Zähler selber !
Obwohl der in eine Haus ist!

Du musst dich über die website einloggen.
Das Teil brauch ja internet, da sich aber viele weigern werden das, dass teuil die eigene Bandbreite nutzt & da noch nicht jeder Internet hat.

Muss ein "access point" für die Smart Meter her, dieser wird dann wohl in den Nächsten verteilerkasten auf der strasse sein!
Was dann auch ein Angriffspunkt ist !

Szenario Account Faken und Strom Klaun ! ( Diebstahl-Szenario )
Szenario Ransom Sich als Accountbesitzter ausgeben, Passwortändern und sagen man ist im Urlaub, der strom sol abgestellt werden / Wenn es technisch möglich ist Smart Meter / Strom Notabschaltung einleiten, über die Steuerleitung.

Mal wieder was zum Ursprung, Locky:

Eine neue Version der Locky-Ransomware kann jetzt auch Rechner ohne Internetverbindung verschlüsseln. Die Offline-Variante hat für die Opfer immerhin einen kleinen Vorteil.

Alle PCs, die mit der Offline-Version verschlüsselt wurden, nutzen den gleichen Key.

Wenn also ein Betroffener den Entschlüsselungs-Key erhält, kann dieser bei allen Offline-Opfern eingesetzt werden. Bei ihnen wird die ID aus 32 Buchstaben und Zahlen gebildet und nicht, wie sonst üblich, als Hexcode.

http://www.golem.de/news/erpressungstrojaner-locky-kann-jetzt-auch-offline-1607-122125.html

@wYDi
@Izaya
@O.G.
@schelm1
@emodul
@Alek-Sandr
@mayday
@_Lambda

Guten Tag,

ach die Welt ist doch schlecht.

Die Entwickler von den verschiedenen Versionen von Ransomware fangen auch noch an sich gegenseitig die Schlüssel zum entschlüsseln der Dateien zu klauen und dann auch noch zu veröffentlichen.

Hier ein Link zum Artikel auf Heise zum Thema:
http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Malware-Entwickler-spioniert-bei-der-Konkurrenz-Opfer-profitieren-davon-3279201.html


Venerdi