Menschen Wissenschaft Politik Mystery Kriminalfälle Spiritualität Verschwörungen Technologie Ufologie Natur Umfragen Unterhaltung

Ransomware jeglicher Art

205 Beiträge, Schlüsselwörter: Sicherheit, Viren, Trojaner, Krypto, Locky

Ransomware jeglicher Art

27.03.2016 um 19:06
@all
Neue Infektions-Masche: Erpressungs-Trojaner missbraucht Windows PowerShell
http://www.heise.de/newsticker/meldung/Neue-Infektions-Masche-Erpressungs-Trojaner-missbraucht-Windows-PowerShell-315189...

Diese Ransomware ist ziemlich perfide. Mit PowerShell wird kein eigenes Programm genutzt, nur ein eigenes Skript.
PowerWare verrichtet sein Zerstörungswerk den Sicherheitsforschern zufolge gänzlich ohne den Download zusätzlicher Dateien und vermeidet Schreibzugriffe auf die Festplatte – das hat es bisher noch nicht gegeben.
Doch es eröffnen sich auch Schwachstellen:
Unter Umständen können Opfer Carbon Black zufolge den Schlüssel zum Dechiffrieren der Daten abgreifen. Denn wenn PowerWare die Command-and-Control-Server zur Einleitung der Chiffrierung kontaktiert, finde das unverschlüsselt statt und man könne den Schlüssel im Klartext einsehen.
Dieser Trojaner wird wahrscheinlich keine Probleme mit Anti-Viren-Programme haben. Trotzdem scheint es mir, als wäre er auf einem anderen Level als Locky, welches keine Möglichkeit zur Wiederherstellung zulässt.


melden
Anzeige

Ransomware jeglicher Art

28.03.2016 um 00:59
@all

Guten Abend,

@Izaya Du hattest aus dem Heise Artikel zitiert:
Izaya schrieb:vermeidet Schreibzugriffe auf die Festplatte
.

Dieser Text auf Heise ist etwas unglücklich, denn wenn Daten auf der Festplatte verändert/verschlüsselt werden, dann muss auf die Festplatte geschrieben werden.

Diese Ausdrucksweise kommt vom Windows Sprachgebrauch bei dem unterschieden wird zwischen dem Schreibzugriff eines windowseigenem Programms und dem Schreibzugriff eines anderen Programmes.
Dieses Schadprogramm nutzt nun die Möglichkeiten von Office-Skript und das ist laut Microsoft ein windowsinternes Programm. Es erfolgt also nach diesem Sprachgebrauch kein Schreibzugriff von außen auf den Rechner.

Im allgemeinen Sprachgebrauch führt diese Unterscheidung jedoch zu extremen Missverständnissen.

Also nochmal auch dieses Schadprogramm greift schreibend auf die Festplatte zu nur es bedient sich hierzu der Programme die Windows mitbringt.


Venerdi


melden

Ransomware jeglicher Art

28.03.2016 um 02:36
@all

Wer eine kleine Einführung in den Bereich Erpressungstrojaner sucht kann sich ja mal den c't uplink 11.1 ansehen.

Dies ist selbstverständlich keine umfassende Schulung zum Thema Erpressungstrojaner.


Hier der Link:

Youtube: c't uplink 11.1: Erpressungs-Trojaner, Smart Home, VR auf der GDC



Venerdi


melden
melden

Ransomware jeglicher Art

30.03.2016 um 16:58
Guten Tag,

dieser Schädling dürfte für die breite Masse der privaten Internetbenutzer nur eine geringe Gefahr darstellen.
Wer hat zu Hause schon zig Computer am Netz hängen?

Er arbeitet nicht automatisch sondern es erfolgt ein gezielter manueller Angriff auf Computernetze wie sie normalerweise in Firmen eingesetzt werden.
Es wird hierbei fast schon so vorgegangen wie bei einem Hackerangriff durch Kriminelle oder Geheimdienste. Nur das die Daten stehlen wollen oder Daten unterschieben wollen und hier wird das Computernetz ausgespäht um alle Computer dieses Netzes zu erfassen und dann zu verschlüsseln.
Der im Einzelfall hierdurch angerichtete Schaden kann selbstverständlich sehr hoch sein.


Venerdi


melden
mayday
ehemaliges Mitglied

Lesezeichen setzen

Ransomware jeglicher Art

02.04.2016 um 01:11
Das Einzige, oder eines der wenigen, das Krypto Trojaner früherkennen kann. "Malwarebytes Anti Ransomware" ist kostenlos und als Ergänzung gedacht d.h. ersetzt einen Echtzeit Virenscanner nicht, deinstalliert also nicht euren Virrenscanner ;) Noch in der Beta, Nutzung auf eigenes Risiko. http://www.heise.de/download/malwarebytes-anti-ransomware-1197390.html


melden
Micha007
ehemaliges Mitglied

Lesezeichen setzen

Ransomware jeglicher Art

02.04.2016 um 01:21
@mayday
mayday schrieb:"Malwarebytes Anti Ransomware" ist kostenlos und als Ergänzung gedacht d.h. ersetzt einen Echtzeit Virenscanner nicht
Der Name Malwarebytes sagt ja auch schon, das es für Maleware gedacht ist und eben nichts gegen Viren machen kann


melden

Ransomware jeglicher Art

02.04.2016 um 02:01
@Micha007
Der Name Malwarebytes sagt ja auch schon, das es für Maleware gedacht ist und eben nichts gegen Viren machen kann
Viren sind Malware. Malware ist ein Ueberbegriff und deckt die ganze Palette an Schaedlingen ab - Viren, Wuermer, Trojaner, unter Umstaenden einige Adware-Varianten, Spyware, Scareware, Ransomware etc.

An dem Namen solltest du es nicht festmachen. Aber das nur am Rande.


Zur Software selbst:
Das gesamte Konzept klingt mehr nach Hokuspokus mit viel Daumen druecken, das garantiert einen gigantischen Sack voll Ausnahmedefinitionen ('hier ist das Verhalten von dem Programm erlaubt') erfordert, die nach Windows-Updates selbstverstaendlich mit Verzoegerung nachgereicht werden.
Ich lese da nichts raus, was Virenscanner nicht auch tun koennen. Dass Virenscanner mit der Verhaltensanalyse von (moeglicherweise) boesartigen Programmen relativ vorsichtig vorgehen und nicht rigoros blockieren, liegt ja daran, dass das in der Vergangenheit haeufig mehr Probleme verursacht als geloest hat.

Ich waere mal seeeehr vorsichtig mit dem Tool.


melden
Micha007
ehemaliges Mitglied

Lesezeichen setzen

Ransomware jeglicher Art

02.04.2016 um 02:47
@VirtualOutrage
Viren sind Malware.
Nein, eben nicht. Wäre es identisch, bräuchte man ja nicht unterschiedliche Namen.
Unter Viren versteht man: Viren, Wuermer, Trojaner.
Unter Maleware, was Du "unter Umständen" aufgezählt hast. Dazu zählen aber auch: Spam, verfolgende Cookies, Rootkit, etc. All das wird als Male-/Adware bezeichnet.
VirtualOutrage schrieb:An dem Namen solltest du es nicht festmachen. Aber das nur am Rande.
Also bei PRG's, die
  • Anti-Spam-Filter
  • Antiviren-Scanner
  • oder Adware-Cleaner
  • etc.
heißen, würde ich aber schon auf die Idee kommen, wofür die PRG's gedacht sind, Du etwa nicht?
Und wenn ich da ein PRG-Name wie Malewarebytes lese, kann ich mir schon vorstellen, das das PRG zum beseitigen von Maleware geeignet sein wird. Das lesen der Beschreibung tut dann sein Übriges.
VirtualOutrage schrieb:Ich lese da nichts raus, was Virenscanner nicht auch tun koennen.
Bei Avira oder Kasperski mag das wohl so sein, Anfangs waren es aber auch nur reine Viren-Scanner, erst nach und nach wurden es PRG-Pakete. Avast ist z.B. auch nur ein reiner Viren-Scanner. Spam, Adware, verfolgende Cookies, etc. "sieht" er gar nicht und bleiben auf dem Rechner. Ebenso, wie Spybot & Damage keine Viren, Würmer oder Trojaner erkennt, sondern nur Male-/Adware.

Von daher sollte man sich vorher kundig machen, was das jeweilige PRG kann. Denn doppelt hält besser, ist in diesem Falle der falsche Weg.
Denn es bringt nichts, wenn ich mir avast und Kasperski auf den Rechner packe, weil ich avast als Virenscanner nutzen will und im Kasperski halt ein Maleware-Scanner integriert ist. Denn das wird nicht lange gutgehen, weil der integrierte Viren-Scanner von Kasperski sich mit avast "beißen" würde.


melden

Ransomware jeglicher Art

02.04.2016 um 12:57
@Micha007
Malware steht fuer "malicious software" = "schaedliche Software" = "Schaedling".
Das ist also ein Ueberbegriff. So wie ein Auto immer ein Fahrzeug ist, so ist ein Virus immer Malware.
Siehe Wikipedia: Malware.

Meine Aufzaehlung war bloed sortiert. Das "unter Umstaenden" bezog sich nur auf Adware, weil Adware auch was anderes - in dem Sinne nicht boesartiges - sein kann. Das danach zaehlt definitiv wieder zur klassischen Malware.

Der Softwarename deutet also eigentlich an, dass die Software eine Breitbandloesung fuer alles moegliche ist.
Micha007 schrieb:Denn es bringt nichts, wenn ich mir avast und Kasperski auf den Rechner packe, weil ich avast als Virenscanner nutzen will und im Kasperski halt ein Maleware-Scanner integriert ist.
Ehm, bei Malwarebytes gehts um das entdecken von Verschluesselungstrojanern. Was genau macht fuer dich denn ein solches Ding aus, wodurch ein klassischer Virenscanner ("ohne Malware-Scanner") ihn nicht entdecken koennte?

Ein Virenscanner scannt klassisch erstmal (!) nach Signaturen (erstmal unabhaengig davon, ob in Ram oder auf dem Dateisystem). Weiterhin beobachten sie verdaechtiges Verhalten, von Software, die mit keinen Eintraegen aus der eigenen Signaturen-Datenbank uebereinstimmt.
Die ersten, die das getan haben, waren - wenn ich mich recht erinnere - McAffee, so um 2002 herum.
Damals wurde das gross angepriesen: "Ab jetzt koennen auch neue und unbekannte Schaedlinge entdeckt werden".

Problem: Das Ding erkennt auch normale Software ploetzlich als schaedlich. Das hat einige Jahre gedauert, bis die klassischen Virenscanner das "halbwegs" in den Griff bekommen haben. Voellig unter Kontrolle sind diese fuzzy-Scans bis heute nicht.

Und jetzt kommt also ein Newcomer, der Null Erfahrung mitbringt und ploetzlich eine Software auf den Markt wirft, die alles besser macht. Und wie tun sie das? Sie tun es, indem sie genau die Pruefungen, die klassische Virenscanner-Hersteller ueber die letzten Jahre immer weiter beschnitten haben - gerade weil sie sich als schaedlich erweisen koennen und schon das ein oder andere Unternehmensnetzwerk lahmgelegt haben - wieder voll auf den User loslassen.

Mein Bauchgefuehl sagte (ohne tiefer zu schauen), dass das Ding massive Probleme verursachen wird.
Jetzt sehe ich in das Forum von denen: https://forums.malwarebytes.org/forum/122-false-positives/
Ueber 20.000 False-Positives bei der Dateierkennung. Und das bei einer Software, die bislang "kaum wer" einsetzt, die False-Positives je User duerften also ziemlich hoch sein (zumindest tippe ich nicht darauf, dass die mehr als 100.000 User haben - es wuerde somit jeden fuenften treffen).


melden

Ransomware jeglicher Art

02.04.2016 um 12:58
@Micha007

Jetzt ist das Anti-Ransomware ja das besondere an dem Namen. Malwarebytes ist nichts anderes als der Firmenname. Und die Anti-Ransomware ist nicht nur gegen Malware sondern nur gegen Ransomware. Das sagt der Name relativ klar.

Und zu Malware:
Als Schadprogramm auch Evilware[1], Junkware oder Malware [ˈmælˌwɛə] (Kofferwort aus englisch malicious „bösartig“ beziehungsweise lateinisch malus „schlecht“ und Software) bezeichnet man Computerprogramme, die entwickelt wurden, um unerwünschte und gegebenenfalls schädliche Funktionen auszuführen. Malware ist damit ein Oberbegriff, der u. a. den Computervirus umfasst. Der Begriff des Virus ist älter und häufig nicht klar abgegrenzt. So ist die Rede von Virenschutz, womit viel allgemeiner der Schutz vor Schadsoftware jeglicher Art gemeint ist. Ein typischer Virus verbreitet sich, während die heute gängigen Schadprogramme die Struktur von Trojanischen Pferden zeigen, deren primärer Zweck nicht die Verbreitung, sondern die Fernsteuerbarkeit ist.
Wikipedia: Schadprogramm
Malware ist ein Sammelbegriff für Programme, die dazu entwickelt wurden Benutzern Schaden zuzufügen. Es gibt zahlreiche Unterarten von Malware – zum Beispiel, Viren, Trojaner, Rootkits oder Spyware. Alle Arbeiten anders und haben verschiedene Aufgaben. Ein Ziel haben Sie jedoch gemein: Ihnen zu schaden.
http://praxistipps.chip.de/was-ist-malware_28542

Dürfte jetzt klar sein, was Malware ist.


melden

Ransomware jeglicher Art

02.04.2016 um 13:08
@VirtualOutrage
VirtualOutrage schrieb:Ueber 20.000 False-Positives bei der Dateierkennung. Und das bei einer Software, die bislang "kaum wer" einsetzt, die False-Positives je User duerften also ziemlich hoch sein (zumindest tippe ich nicht darauf, dass die mehr als 100.000 User haben - es wuerde somit jeden fuenften treffen).
Jetzt sind das nicht nur die False-Positives von der Anti-Ransomware. Außerdem sammelt sich da schon was. Der älteste noch einsehbare Eintrag ist vom 19 Juli 2007.

Und eigentlich ist es nicht mal das richtige Forum dafür. Ich ahbe gerade bemerkt, dass es das Forum für die Anti-Malwarebyte Software ist. Das interessante Forum wäre:

https://forums.malwarebytes.org/forum/172-malwarebytes-anti-ransomware-beta/

Der Anti-Ransomware Thread hat insgesamt nur ca. 3000 Einträge.


melden
mayday
ehemaliges Mitglied

Lesezeichen setzen

Ransomware jeglicher Art

02.04.2016 um 13:16
Krypto kann aber Kaspersky und Co kaum früherkennen, die schlagen wenn überhaupt erst Alarm wenn das Ding aktiv ist und somit schon Daten verschlüsselt wurden. "Malwarebytes Anti Ransomware" wurde nur für Krypto entwickelt und ist darauf spezialisiert. Heise hat genau das getestet.

Wer es etwas verfolgt hat und Malwarebytes, vergangenheitlich das Produkt nutzte um Schädlinge zu erkennen und entfernen weiss, dass Malwarebytes wohl die derzeit beste Heuristik hat. Ich habe mit Malwarebytes schon Schädlinge gefunden die Kaspersky nicht fand und erfolgreich reinigen können.

Damit will ich nicht sagen, dass der Olinescanner von Malwarebytes, sie haben auch einen, in ihrem käuflichen Produkt, der Beste, denke da könnten sie sogar defizite haben, oder allgemein das Produkt das Beste ist. Da gibt es sicherlich auch andere Nachteile..aber imo ist die Heuristik eine Nasenlänge voraus, momentan.

Es hat etwas damit zu tun, dass Malwarebytes seine Energie primär in die Heuristik Analyse steckt, währendem andere auch grosse Antiviren Hersteller vom Online Scanner her entstanden sind und das Gesamtpaket drum rum anbieten, von Linux bis MaxOSx alles abdecken.


melden

Ransomware jeglicher Art

02.04.2016 um 13:19
@Izaya
Oh, Autsch. Du hast natuerlich voellig recht.
Ich hatte das Forum geoffnet, drauf gesehen, die Augen verdreht und abgehakt. Sollte man nicht machen.


melden
mayday
ehemaliges Mitglied

Lesezeichen setzen

Ransomware jeglicher Art

02.04.2016 um 13:26
Naja da git es alles mögliche, z.B. Leute die hinter einem Proxy sitzen und beklagen dass sie nicht updaten können. Wohl aus gutem Grund ist es noch Beta. Ich habe Malwarebytes Anti Ransomware installiert, bisher noch keine negativen Auswirkungen feststellen können.


melden

Ransomware jeglicher Art

02.04.2016 um 14:04
Wir haben noch nicht über Petya gesprochen, oder?

Petya arbeitet in zwei Phasen.
Zunächst verschlüsselt Petya nur den Master Boot Record (MBR) über ein einfaches XOR mit einem festen Wert. An dieser Stelle lässt sich der Schaden noch relativ einfach begrenzen. Unter anderem kann man die Festplatten extern einbinden und Daten sichern. Betroffene Nutzer berichten auch, dass sich an diesem Punkt der MBR mit Wiederherstellungs-Tools reparieren lässt. Danach bootet das System dann wieder normal. Allerdings muss man dazu wissen, dass man sich gerade infiziert hat und einen Neustart verhindern.
Im nächsten Schritt erzeugt der Trojaner nämlich einen Bluescreen, um das Opfer zum Neustart seines Systems zu zwingen. Nach dem Reboot läuft ein vorgetäuschtes chkdsk – das verschlüsselt dann die Dateisysteme. Danach kann man nicht mehr direkt auf die Partitionen der Festplatte zugreifen. Allerdings scheint auch hier nicht gesamte Festplatte verschlüsselt zu sein. Wenn man etwa mit einem Hex-Editor darauf schaut, finden sich nach wie vor Strings mit lesbarem Text. Mit Hilfe von speziellen Forensik-Tools lassen sich wahrscheinlich noch Daten retten.
http://www.heise.de/security/meldung/Petya-Den-Erpressungs-Trojaner-stoppen-bevor-er-die-Festplatten-verschluesselt-3153...

Nach der ersten Phase, also vor dem Neustart, ist es noch möglich die Daten zu retten.
Bei Systemen, die über UEFI booten, wird ebenfalls der MBR-Bereich überschrieben, was den Bootprozess aber nicht behindert. Außerdem zerstört der Trojaner die GPT-Partitionstabelle, was den Boot des Sytems verhindert, die Platten allerdings unbehelligt lässt. Mit Reparaturwerkzeugen kann man also die GPT wiederherstellen und das System retten.
http://www.heise.de/security/meldung/Erpressungs-Trojaner-Petya-Neue-Infektionswelle-rollt-an-Verschluesselung-bisher-ni...

Die Verschlüsslung selber ist noch nicht geknackt. Aber es wird scheinbar nur die Systemplatte verschlüsselt. Daten auf einer zweiten Festplatte kann man an einem anderen PC noch sichern.

Dieser Virus verbreitet sich nicht über E-Mails sondern über Dropbox.

neue-petya-welle-50c6a497c08e758e

BewerbungmappePDF.exe finde ich zum totlachen :D
Gibt es sich selbst erstellende PDFs mit denen man das entschuldigen könnte?


melden

Ransomware jeglicher Art

02.04.2016 um 14:20
@Izaya
BewerbungmappePDF.exe finde ich zum totlachen :D
Gibt es sich selbst erstellende PDFs mit denen man das entschuldigen könnte?
Das zwar nicht, aber viele Leute verschicken ihr Zeug gepackt, teilweise auch in selbstextrahierenden Archiven - das sind Leute, die sowas oeffnen (muessen), durchaus gewohnt. Somit hilft da auch ein "klick keine Exe an" nicht wirklich.


melden

Ransomware jeglicher Art

02.04.2016 um 16:43
VirtualOutrage schrieb:"klick keine Exe an"
Würde so oder so nicht bringen. Oder ist ne Word-Datei eine exe? Und worum ging es in diesem Thread ursprünglich? Locky, einen Makro-Virus. Trotzdem finde ich das göttlich. Aber gut zu wissen, dass es selbstextrahierende Archive gibt. Den Sinn kannst du mir wann anders erklären, OT und so.


melden
mayday
ehemaliges Mitglied

Lesezeichen setzen

Ransomware jeglicher Art

02.04.2016 um 22:43
@Izaya
Weiss von jemanden dem das passiert ist bzw. Forenkollege, aber nicht ihm selbst sondern seinem Chef in der Firma, will den Forenbeitrag aber jetzt nicht verlinken ohne Nachzufragen. Jedenfalls dem Chef wurden die Daten auf dem Notebook und seine Backups die er auf der USB Festplatte hatte, allesamt verschlüsselt.Die haben dann versucht mit einem Recovery-Tool vorherige Stände der Files zu recovern..alles erfolglos.

"Ganz großer Mist hier im Büro momentan, denn es waren wichtige Daten drauf, die er braucht und sonst nirgendwo gesichert sind." schrieb er. Dieser Chef kriegt einen Monat keinen Lohn würde ich sagen ;)

GData schreibt zu 'Petya' auch noch ein paar interessante Dinge, hässliches Ding!
https://blog.gdata.de/2016/03/28223-ransomware-petya-ein-technischer-uberblick


melden
Anzeige

Ransomware jeglicher Art

03.04.2016 um 00:10
@mayday
@Izaya

Guten Abend,

könnte es sein das er die USB-Festplatte ständig am Notebook angeschlossen hatte als Erweiterung der eingebauten Festplatte?

Es sieht dann also im Büro ungefähr so aus.

PC-Problem


Eine externe Festplatte zur Datensicherung darf nur bei der Datensicherung am Rechner angeschlossen sein und der Rechner darf bei der Datensicherung keine Verbindung zu einem Netzwerk haben.

Naja dann kann er ja jetzt seine Geldbörse öffnen und die Lösegeld-Zahlung tätigen.


Venerdi


melden
199 Mitglieder anwesend
Konto erstellen
Allmystery Newsletter
Alle zwei Wochen
die beliebtesten
Diskussionen per E-Mail.

Themenverwandt