Ransomware jeglicher Art

Guten Morgen,

Locky kommt jetzt nicht mehr nur über Office sondern auch über Java auf die Rechner.

Aber wie immer "das Problem vor dem Rechner" muss auf den Anhang klicken und dann geht es los.


Link zur Meldung von Heise:

http://www.heise.de/newsticker/meldung/Neue-Masche-Krypto-Trojaner-Locky-ueber-Javascript-Dateien-verbreitet-3113689.html


Venerdi

@venerdi
Hi,

Du meinst JavaScript. Hat nichts mit Java gemeinsam, außer dem Wort Java. JavaScript st eine Scriptingsprache für Webseiten.

Es gibt diverse Blocker gegen das automatische ausführen von JavaScript, z.B. für den FireFox das Addon "NoScript".
Man kann im Addon auch permanente positive Berechtigungen für seine Lieblingsseiten setzen, so man denn von der "Sauberkeit" überzeugt ist. Gegen die LSO Cookies ("Flash Cookies") des Flashplayers benutze ich "Better Privacy", die LSO-Cookies werden vom löschen der "normalen" Cookies nicht erfasst

Eine Frage

Ich erhalte sämtl. Mails auch auf meinem Smartphone.
das müsste doch dann auch "verseucht" sein, wenn ich einen Anhang öffne ?

Sind hier Auswirkungen bekannt ?

Das hängt von der Kombination einiger Faktoren ab.

Betriebssystem, Software, Rechte des Users, uvm. Pauschal fokussiert sich der Trojaner momentan auf Windows Betriebssysteme und nutzt fehlerhafte Makro Einstellungen oder eine windowseigene JavaScript Engine zur Ausführung schadhafter Komponenten.

Ein Android oder iOS Gerät ist momentan nicht auf diesem Weg infizierbar. Ein Windows Phone sollte momentan auch noch nicht infizierbar sein.

- Legacy -

Guten Morgen,

@cpt_void

Hast Recht war mein Fehler hatte nicht richtig bezeichnet.

@all

Locky hat es jetzt auch auf Webserver abgesehen.
Also wer einen Webserver betreibt sollte sich mal Gedanken um die Sicherheit machen.

Anbei der Link auf die Meldung:
http://www.heise.de/newsticker/meldung/Admins-aufgepasst-Krypto-Trojaner-befaellt-hunderte-Webserver-3116470.html



Venerdi

@venerdi

venerdi schrieb:Locky hat es jetzt auch auf Webserver abgesehen.
Also wer einen Webserver betreibt sollte sich mal Gedanken um die Sicherheit machen.

In unserer Firma läuft ein Debian-Server ;)

Micha007 schrieb:In unserer Firma läuft ein Debian-Server ;)

Ohne PHP?

Soooooo jetzt nun auch als Fax! :D :D

http://www.heise.de/security/meldung/Neue-Virenwelle-Krypto-Trojaner-Locky-tarnt-sich-als-Fax-3117249.html

@kleinundgrün

kleinundgrün schrieb:Ohne PHP?

So weit bin ich da nicht involviert. Habe nur dem Admin. mal über die Schulter schauen können und der Sperrbildschirm war halt nicht der typisch schwarze Win-Server-Screen, sondern da war die bekannte rote Debian Spirale zu sehen.

@Micha007
Das Problem ist aber nicht das OS, sondern PHP. Egal, ob das nun auf Linux oder Windows läuft.

@kleinundgrün
php kenne ich nur aus der Adressleiste, in der es manchmal als Endung statt des html steht.
Weiß auch nicht, warum es da manchmal steht und manchmal eben nicht. Kann mir aber vorstellen, das es von den unterschiedlichen Internetsprachen kommt (sagt man Internetsprachen?).

@Micha007

Man sagt dazu Skriptsprache wobei der Fokus auf dynamische Webinhalte und Webanwendungen gelegt ist. Die Syntax ist dabei stark an C und PERL angelehnt.

@Micha007
Eine Scriptsprache.

Ich wollte auch nur ausdrücken, dass das kein Windowsproblem ist.

Die Anti-Ransomware von Malwarebyte scheint Locky einigermaßen Einhalt zu gebieten.

Batch-Dateien sind der neueste Schrei, wenn es darum geht, den Krypto-Trojaner Locky am Virenscanner vorbei zu schleusen – und der Plan geht auf. Auf der Suche nach Schutzmaßnahmen haben wir ein Tool ausprobiert, das Locky und Co. stoppen soll.

Um zu untersuchen, ob das Schutzprogramm hält, was es verspricht, haben wir unser Testsystem absichtlich mit Locky infiziert. Tatsächlich konnte Anti-Ransomware den Trojaner stoppen – allerdings erst, nachdem er bereits 20 Dateien verschlüsselt hatte. Angesichts des Umstands, dass die aktuelle Beta 5 des Tools veröffentlicht wurde, bevor die erste Locky-Variante in den Umlauf kam, ist das jedoch eine beachtliche Leistung.

Bei einem Test mit TeslaCrypt 3 wurde keine einzige Datei in Geiselhaft genommen. Auch wenn die ersten Testergebnisse vielversprechend sind – die Sache hat einen Haken: Der Hersteller rät davon ab, die Beta-Version auf Produktivsystemen einzusetzen. Sie dient dazu, etwaige Bugs wie Fehlalarme aufzuspüren.

http://www.heise.de/security/meldung/Krypto-Trojaner-Locky-Batch-Dateien-infizieren-Windows-Tool-verspricht-Schutz-3118188.html

Wer an dem Programm interessiert ist, kann es https://malwarebytes.app.box.com/s/uluqe6ms2l36bsxkudurlr7yr8lp6d8g runterladen.

Carbine schrieb am 21.02.2016:Ich dachte eigentlich, nach spätestens der Conficker-Geschichte sind die meisten für das Thema Malware sensibilisiert worden.

Conficker gibt es sogar noch. Er war nie wirklich weg und infiziert weiterhin Systeme wie am Fließband. ;)
http://www.zdnet.com/article/opening-up-a-can-of-worms-why-wont-conficker-just-die-die-die/

Guten Morgen,

@Izaya

auf die von Dir angesprochene Software von Malwarebyte hatte ich in meinem Beitrag vom 22.02 2016 um 20:07 schon hingewiesen.
Ein weiterer Hinweis darauf kann selbstverständlich nicht schaden.
Software dieser Art kann jedoch nur helfen wenn sie vor dem Befall installiert wird. Nach einem Befall hilft auf die schnelle nur noch ZAHLEN.


@wYDi
@Scox
@Izaya
@kleinundgrün
@nevs
@Micha007
@Legacy
@schelm1
@cpt_void
@mayday
@taren

Auf PC WELT gibt es einen Artikel mit einem Bild der weltweiten Aktivität von Locky.
Es ist sehr verdächtig das Locky überwiegend in Frankreich und Deutschland zuschlägt. Also gibt es in diesen beiden Ländern überdurchschnittlich viele DAUs ( Dümmste anzunehmende User/Benutzer ) oder die beiden Länder werden aus einem speziellen Grund vermehrt angegriffen.
Auch die in der Karte dunkelgrün also als fast Locky frei dargestellten Länder lassen bestimmte Rückschlüsse zu.

Hier nun der Link zu Artikel von PC WELT:
http://www.pcwelt.de/news/Erpresser-Was-Sie-ueber-Locky-wissen-sollten-9939296.html


Venerdi

@venerdi

venerdi schrieb:auf die von Dir angesprochene Software von Malwarebyte hatte ich in meinem Beitrag vom 22.02 2016 um 20:07 schon hingewiesen.

Oh, das hatte ich übersehen. Aber ich rede mich einfach mal damit heraus, dass Heise das Programm getestet hat und Chip scheinbar einfach den Versprechungen geglaubt hat. Denn im Artikel steht:

Kostenlosen Schutz verspricht zum Beispiel Malwarebytes Anti-Ransomware, das es bislang aber nur in einer Beta-Version gibt. Die Entwickler versprechen aber Locky zu erkennen.

http://www.chip.de/news/5.000-Infektionen-pro-Stunde-Trojaner-bedroht-deutsche-PCs_89915776.html

Und noch zu der Karte von "PC WELT" (bzw. Kasperky):


Mich wundert es, dass Südafrika auch so stark betroffen ist. Und ich frage mich gerade ob es eine Französische Version von Locky gibt.

Was Deutschland angeht kann ich nur sagen: Deutschland ist bei Ransomware insgesamt weit vorne:

Locky setzt diesen Trend fort. „2016 wird wohl das Jahr der Ransomware. Allein im Februar 2016 haben wir auf unsere Kunden so viele Angriffsversuche durch Ransomware gezählt wie etwa in den vorangegangenen fünf Monaten“, ergänzt Marco Preuss.
Aktuell zählen wir im Februar 2016 bereits über 40.000 infizierungsversuche durch Ransomware auf seine Kunden. Im weltweiten Vergleich liegt Deutschland auf Rang 3 der durch Ransomware gefährdeten Länder, hinter Russland und Indien.

https://blog.kaspersky.de/deutschland-und-frankreich-am-staerksten-von-locky-betroffen/7036/ (Archiv-Version vom 10.02.2017)

Vermutete schon, dass Malwarebytes einer der Ersten sein könnte, deren Heuristik ist einfach etwas vom Besten :) Viren/Trojaner/Dropper per Mahnung! (Seite 2) (Beitrag von mayday)

wie oft man sich früher selbst verseucht hat weil man 50x crypten musste bis der scanner unlock war.. heutzutage machst das in ein paar sekunden und der ist frei... naajaa ihr wisst garnicht wieviele trojis ihr euch bei 3dl...etc. holt ;) da reicht es eine datei zu entpacken.. da das so eingeleitet wurde ;)

Der grösste Trojaner ist Windows selbst ;) Bin gespannt wie der Zank mit Apple<->NSA ausgeht, dem iPhone decrypten.