Menschen Wissenschaft Politik Mystery Kriminalfälle Spiritualität Verschwörungen Technologie Ufologie Natur Umfragen Unterhaltung

Ransomware jeglicher Art

205 Beiträge, Schlüsselwörter: Sicherheit, Viren, Trojaner, Krypto, Locky
_Lambda
ehemaliges Mitglied

Lesezeichen setzen

Ransomware jeglicher Art

09.04.2016 um 04:09
wYDi schrieb: Sempervideo
In gewisser Weise eine Art Bild Zeitung der IT Welt.


melden
Anzeige

Ransomware jeglicher Art

11.04.2016 um 18:46
Die Opfer des Verschlüsselungs-Trojaners Petya können aufatmen. Es wurde ein Tool veröffentlicht, dass das benötigte Passwort generiert um die betroffenen Daten wieder lesbar zu machen.

Ein Leser von "heise Security" hat nach eigenen Angaben das Tool bereits erfolgreich getestet. Auch die Experten von Bleepingcomputer haben bestätigt, dass die Verschlüsselung geknackt wurde.

Der Twitter-User "leostone" hat das benötigte Tool "hack-petya" auf "Github" zum Download bereitgestellt. Der betroffene Datenträger muss an ein sauberes System gehängt werden. Mit dem Tool "Petya Sector Extractor" muss man zunächst benötigte Daten auslesen und im Entschlüsselungs-Tool eintragen.
http://shortnews.de/id/1196532/erpressungs-trojaner-petya-wurde-geknackt

Bei Kaufland gibt es diese Woche Externe Festplatten für 35€ 320GB ;)


melden

Ransomware jeglicher Art

11.04.2016 um 21:55
Guten Abend,

für die im Umlauf befindliche Version von Petya scheint es eine Möglichkeit zu geben die Dateien zu entschlüsseln.

Achtung die Entschlüsselung scheint zu gehen, ob aber hierbei ein anderes Schadprogramm auf den Rechner kommt das dann nach einer gewissen Zeit startet ist anscheinend noch nicht getestet.

Und in 2 Wochen gibt es dann Petya2. Hoffentlich nicht!

Hier ein Link zu Heise:

http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Petya-geknackt-Passwort-Generator-veroeffentlicht-3167064.ht...


@Alek-Sandr
Du warst schneller.



Venerdi


melden

Ransomware jeglicher Art

13.04.2016 um 16:16
Guten Tag,

ein neues Schadprogramm mit Namen Jigsaw ist aufgetaucht.

Dieses Schadprogramm verschlüsselt nicht nur die Dateien, sondern droht auch nach 72 Stunden alle Dateien zu löschen wenn nicht bezahlt wird.

Es gibt jedoch schon eine Möglichkeit die Verschlüsselung zu entschlüsseln und die Dateien somit zu retten.

Anbei der Link nach Heise:

http://www.heise.de/newsticker/meldung/Nur-72-Stunden-Erpressungs-Trojaner-Jigsaw-droht-Dateien-zu-loeschen-3172217.html



Venerdi


melden

Ransomware jeglicher Art

14.04.2016 um 07:11
Neue Viren tauchen ja auf wie sonst was...

@venerdi
Gibt es ne Info, worüber bzw. auf welchem Weg man Jigsaw bekommen kann?


melden

Ransomware jeglicher Art

14.04.2016 um 16:15
Guten Tag,

@wYDi
ist mir leider nicht bekannt.


@all

Wenn der Rechner verschlüsselt ist und es unbekannt ist um welchen Trojaner es sich handelt, dann gibt es jetzt eine Seite die einen Großteil der Schadprogramme erkennt und auch gleich angibt ob es eine Möglichkeit zur kostenlosen Entschlüsselung gibt.

Hier nun der Link nach Heise mit den weiteren Infos:

http://www.heise.de/newsticker/meldung/Entschluesselungs-Tool-verfuegbar-Webseite-identifiziert-Erpressungs-Trojaner-317...



Venerdi


melden

Ransomware jeglicher Art

18.04.2016 um 19:02
Guten Abend,

eine Meldung für alle die Bankgeschäfte mit dem PC machen.

Eine schon etwas ältere, aber immer noch wirkungsvolle Schadsoftware wird wieder vermehrt eingesetzt.

Das Grundsystem ist wie so oft. E-Mail mit Zip-Datei im Anhang. Benutzer öffnet die Zip-Datei und klickt auf den Inhalt.

Wenn dann eine Überweisung gemacht wird macht die Schadsoftware was sie soll und das Konto ist geplündert.


Hier der Link zum Bericht auf Heise:

http://www.heise.de/newsticker/meldung/Banking-Trojaner-Retefe-ist-zurueck-3176787.html



Venerdi


melden

Ransomware jeglicher Art

19.04.2016 um 07:12
Wie gut das ich noch kein Online-Banking mache. :D

Sagt mal, Locky ist aber echt von der Bildfläche verschwunden, mag zwar noch im Umlauf sein, aber...


melden
_Lambda
ehemaliges Mitglied

Lesezeichen setzen

Ransomware jeglicher Art

22.04.2016 um 02:12
@wYDi
wYDi schrieb:Wie gut das ich noch kein Online-Banking mache. :D

Sagt mal, Locky ist aber echt von der Bildfläche verschwunden, mag zwar noch im Umlauf sein, aber...
@venerdi
venerdi schrieb am 14.04.2016:@all

Wenn der Rechner verschlüsselt ist und es unbekannt ist um welchen Trojaner es sich handelt, dann gibt es jetzt eine Seite die einen Großteil der Schadprogramme erkennt und auch gleich angibt ob es eine Möglichkeit zur kostenlosen Entschlüsselung gibt.
Ersteres heißt nicht unbedingt, dass man vor scam sicher ist. Zum Beispiel werden die Bankauszüge auf Papier elektronisch ausgewertet, die Daten werden ebenso mit einer SQL Datenbank abgeglichen. Mit einer SQL Injection auf einem Bank Auszug kann man jegliche Daten aller Bankkunden abrufen, wenn die SQL Datenbank nicht korrekt implementiert ist.

Darüber hinaus gibt es zahllose weitere Möglichkeiten, wie die direkte Kompromittierung des internen Bank Netzes durch Sniffer, Infektion der Computer in Banken oder Zentralservern einer Bank, elektronische Manipulation von Automaten (geht auch ohne jeglichen physikalischen Zugriff, ist nur komplexer).

Zu Nr. 2 : Locks ist nicht tot, zumindest nicht aufgrund der Tatsache, dass die binary von Virenscannern entdeckt wird, denn dies lässt sich beheben. Jede Schadsoftware kann so modifiziert werden, dass sie nicht mehr durch Signatur basierte Verfahren erkannt wird, spätestens wenn man die komplette binary verändert, sodass die Semantik (Funktionsweise eines Programmes) sich nicht ändert, aber dessen Syntax ganz anders aussieht. Du kannst den Maschinenbefehl

mov eax, 0

zum Beispiel umschreiben in

mov edx, 0
push edx
pop eax

oder

xor eax, eax

oder

push edx
xor edx, edx
mov eax, 0
pop edx

usw...
was semantisch identisch ist zur ersten Variante mov eax, 0 (abgesehen von Zustand der EFLAGS in der CPU).

Solche Schadsoftware kann nur noch durch heuristische Analyse und Emulation/ Hidden Markov Model detektiert werden - allerdings tendiert Schadsoftware dazu, sich in der Funktionsweise ziemlich "unauffällig" zu verhalten, sodass ein solches Unterfangen nicht trivial ist.

Es ist schlichtweg der Fall, dass z.B. Locky nach einiger zeit durch ein vom semantischen Aspekt gesehen ausgereiftere Variante ersetzt wird.

Es ist ziemlich schwierig die Semantik eines Programmes in kompilierter Form (Source Code der in die native Maschinensprache des Zielsystems übersetzt wurde) zu modifizieren, Ansätze gibt es bei durchaus mit machine learning malware, die auf die Detektierungsverfahren von AV Software trainiert wird.


melden
_Lambda
ehemaliges Mitglied

Lesezeichen setzen

Ransomware jeglicher Art

22.04.2016 um 02:18
_Lambda schrieb:push edx
xor edx, edx
mov eax, 0
pop edx
Natürlich mov eax, edx in Zeile 3


melden

Ransomware jeglicher Art

22.04.2016 um 23:07
@_Lambda
@all

Guten Abend,

Dein Einwand mit der Erkennung durch Signatur basierte Verfahren ist selbstverständlich berechtigt.

Jeder Softwareentwickler der seine Programme in größerem Umfang verkaufen will dürfte seine Programme mit allen zur Verfügung stehenden Security Programmen testen.
Sollte es einen Alarm geben, dann dürfte das Programm entsprechend geändert werden oder wenn es der Hersteller des Security Programms zulässt es in eine Ausnahmeliste aufgenommen werden.

Und ja warum sollen Entwickler von Schadprogrammen dies nicht machen?

Zum Stichwort Schadprogramme gibt es zwei neue Beiträge auf Heise.
TeslaCrypt ist in einer "verbesserten" Version unterwegs.
Ein Server der zur Verbreitung beigetragen hatte hat die Seiten abgeschaltet. Nach kurzer Zeit waren die Seiten dann über andere Server wieder im Netz.

Hier nun dir Links nach Heise:

http://www.heise.de/newsticker/meldung/Nuclear-Exploit-Kit-bombardiert-hunderttausende-Rechner-mit-Locky-3181696.html

http://www.heise.de/newsticker/meldung/Krypto-Trojaner-TeslaCrypt-erschwert-Desinfektion-des-Rechners-verschluesselt-wei...



Venerdi


melden

Ransomware jeglicher Art

27.04.2016 um 01:45
Guten Abend,

auch Smartphone mit Android werden angegriffen und ohne Verschlüsselung lahmgelegt.

Der Angriff soll von Pornoseiten aus erfolgen.
Also den Seiten die n i e m a l s jemand besucht.

Einzige bekannte Lösung soll sein zu Zahlen oder das Gerät mit totalem Datenverlust auf Werkseinstellung zurückzusetzen.
Eine Datensicherung des befallenen Gerätes auf einen PC soll möglich sein. Da hierbei jedoch eine Verbindung des PCs zum Gerät besteht wird ein PC empfohlen der keine Daten enthält und danach neu aufgesetzt wird.

Hier nun der Link nach CHIP:

http://www.chip.de/news/Porno-Trojaner-aergert-Android-Luemmel-iTunes-Gutschein-Karten-erpresst_92890806.html



Venerdi


melden

Ransomware jeglicher Art

27.04.2016 um 19:14
bezüglich einem PC hat mein Bekannter vor 10 Jahren schon gewarnt:
Lass die Finger weg vor sechs- und sieben Seiten

Wurde nicht immer gesagt, das Android - Smartphones nicht angegriffen werden können ?
Bei der Entwicklerkonferenz Google I/O sagte Android-Sicherheitschef Adrian Ludwig, Antivirus-Apps seien nutzlos, mehr als 99 Prozent der Nutzer könnten darauf verzichten. Googles Kontrollen seien absolut ausreichend
ich persönlich bin da gegenteiliger Meinung.
Wer´s darauf anlegt infiziert ein Smartphone genau so einfach wie einen PC
.... denn der Nutzer ist für sein Tun selbst verantwortlich !
Auf Smartphones gibt es zwar keine Viren, die sich ganz ohne Zutun des Nutzers einschleichen können, dafür aber Abo-Fallen, Trojaner und Phishing
und hier noch ein relativ neuer Artikel zu WhatsApp

http://www.t-online.de/handy/id_77592332/e-mail-von-whatsapp-verteilt-trojaner-bloss-nicht-oeffnen-.html


melden

Ransomware jeglicher Art

01.05.2016 um 17:20
@all

Wer wissen möchte wie viel Schaden Locky anrichten würde, kann folgende .bat benutzen.

[at_user]echo[/at_user] off
setlocal enabledelayedexpansion
set total=0
cls
for %%i in (a b c d e f g h i j k l m n o p q r s t u v w x y z) do (
set DRIVE=%%i:\
if exist !DRIVE! (
call :lookup !DRIVE!
)
)
echo Total of files potentially encrypted files: %total%
pause
goto :eof

:lookup
set drive=%1
set subtotal=0
echo Scanning %drive%
for /r %drive% %%i in (*.m4u *.m3u *.mid *.wma *.flv *.3g2 *.mkv *.3gp *.mp4 *.mov *.avi *.asf *.mpeg *.vob *.mpg *.wmv *.fla *.swf *.wav *.mp3 *.qcow2 *.vdi *.vmdk *.vmx *.gpg *.aes *.ARC *.PAQ *.tar.bz2 *.tbk *.bak *.tar *.tgz *.rar *.zip *.djv *.djvu *.svg *.bmp *.png *.gif *.raw *.cgm *.jpeg *.jpg *.tif *.tiff *.NEF *.psd *.cmd *.bat *.class *.jar *.java *.asp *.brd *.sch *.dch *.dip *.vbs *.asm *.pas *.cpp *.php *.ldf *.mdf *.ibd *.MYI *.MYD *.frm *.odb *.dbf *.mdb *.sql *.SQLITEDB *.SQLITE3 *.asc *.lay6 *.lay *.ms11 *.sldm *.sldx *.ppsm *.ppsx *.ppam *.docb *.mml *.sxm *.otg *.odg *.uop *.potx *.potm *.pptx *.pptm *.std *.sxd *.pot *.pps *.sti *.sxi *.otp *.odp *.wb2 *.123 *.wks *.wk1 *.xltx *.xltm *.xlsx *.xlsm *.xlsb *.slk *.xlw *.xlt *.xlm *.xlc *.dif *.stc *.sxc *.ots *.ods *.hwp *.602 *.dotm *.dotx *.docm *.docx *.DOT *.3dm *.max *.3ds *.xml *.txt *.CSV *.uot *.RTF *.pdf *.XLS *.PPT *.stw *.sxw *.ott *.odt *.DOC *.pem *.p12 *.csr *.crt *.key) do (
echo %%i
set /a subtotal=subtotal + 1
set /a total=total + 1
)
echo Detected files: %subtotal%
pause
goto :eof


https://blog.rootshell.be/2016/04/18/impact-ransomware-infection/


melden
mayday
ehemaliges Mitglied

Lesezeichen setzen

Ransomware jeglicher Art

02.05.2016 um 10:33
Das macht nicht anderes als alle Files auf allen drives zu addieren..wobei das Script nur auf mapped Laufwerke geht..Locky scheint ja auch nicht ungemnapptes, netzwerk-shares, zu encrypten..noch nicht^^


melden

Ransomware jeglicher Art

12.05.2016 um 12:29
@all
@mayday
@Izaya
@schelm1
@_Lambda
@Alek-Sandr
@cpt_void


"Freut" euch nicht nur Windows bekommt Updates.

Auch die Malware CryptXXX hat ein Update bekommen.
Das Entschlüsselungstool Entschlüsselungs-Tool RannoDecryptor von Kaspersky kann im Moment die neue Version nicht entschlüsseln.

Hier der Link nach Heise mit dem Artikel:
http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Entschluesselungs-Tool-scheitert-an-neuer-CryptXXX-Version-3...


Venerdi


melden

Ransomware jeglicher Art

14.05.2016 um 19:11
@wYDi
@mayday
@Izaya
@schelm1
@_Lambda
@Alek-Sandr
@cpt_void

Guten Abend,

die schon etwas ältere Schadsoftware Petya hat ein Update bekommen.

Wenn der Benutzer die Freigabe der Administratorrechte erteilt, dann wird wie gehabt Petya installiert.
Die vorsichtigen Benutzer, die keinen Rechte erteilen, denen wird die Schadsoftware Mischa installiert und der Rechner verschlüsselt.

Was der Benutzer auch macht, er kann anschließend mit dem Rechner nicht arbeiten.
Dieses Update dürfte erforderlich geworden sein weil die Einkünfte möglicherweise gesunken sind.

Hie nun der Link zum Artikel auf WinFuture:
http://winfuture.de/news,92324.html


Venerdi


melden

Ransomware jeglicher Art

19.05.2016 um 12:09
@wYDi
@mayday
@Izaya
@schelm1
@_Lambda
@Alek-Sandr
@cpt_void

Guten Tag,

TeslaCrypt hat sich aus dem Geschäft zurückgezogen!

Die Macher von TeslaCrypt haben einen Master-Key freigegeben mit dem sämtliche Versionen von TeslaCrypt entschlüsselt werden können.

Hier nun der Link nach Heise mit dem Artikel:

http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-TeslaCrypt-gibt-auf-Master-Schluessel-veroeffentlicht-321065...


Venerdi


melden

Ransomware jeglicher Art

20.05.2016 um 07:49
Das is ja schonmal ne gute Nachricht für die, die noch Opfer von TeslaCrypt sind, speziell von der neusten Version...

Wenn TeslaCrypt geschlossen wird heißt es nicht, dass die Programmierer bzw. Erpresser komplett aufhören. Sehr wahrscheinlich sind se schon an etwas neuem noch besserem dran.
Da lassen wir uns mal in der Zukunft überraschen.


melden
Anzeige

Ransomware jeglicher Art

27.05.2016 um 12:43
@wYDi
@mayday
@Izaya
@schelm1
@_Lambda
@Alek-Sandr
@cpt_void

Guten Tag,

eine "gute Nachricht für die faulen und unfähigen Programmierer".

Es gibt jetzt einen Online-Dienst der kostenlos für jeden diese Schadprogramme erstellt und auch den Zahlungsverkehr abwickelt.
Für seine Dienste verlangt er nur 30% der eingehenden Zahlungen.

"Ein wirklich gutes Angebot für den Nachwuchs".


Hier nun der Link auf den Artikel bei Heise:

http://www.heise.de/security/meldung/Online-Dienst-erstellt-massgeschneiderte-Krypto-Trojaner-2668860.html




Venerdi


Nachtrag:
Datensicherung dürfte immer wichtiger werden!


melden
445 Mitglieder anwesend
Konto erstellen
Allmystery Newsletter
Alle zwei Wochen
die beliebtesten
Diskussionen per E-Mail.

Themenverwandt