Beiträge

Locky erhält Updates

Lange Zeit hat man von Locky nicht mehr viel gehört, wäh­rend über ande­re Vertreter der Krypto-Trojaner zahl­reich berich­tet wur­de. Doch Locky ist nach wie vor aktiv und hat dazu gelernt. Wohl weni­ger gra­vie­rend ist die Tatsache, dass Locky nun die Dateiendung “.odin” statt “.locky” für die ver­schlüs­sel­ten Dateien ver­wen­det. Gravierender ist die Neuerung, dass für die erfolg­rei­che Arbeit nun kei­ne Online-Verbindung zum C&C Server der hin­ter Locky ste­hen­den Erpresser mehr not­wen­dig. Bisher konn­te Locky ohne die­se Verbindung nicht mit sei­nem Werk begin­nen. Nun benö­ti­gen neue­re Varianten die Server nicht mehr als Anstoß zur Erzeugung des loka­len Schlüssels. Die genaue Technik ist noch nicht bekannt.

Die Vorteile lie­gen klar auf der Hand: Die kosten­in­ten­si­ve Infrastruktur zum Betrieb der C&C Server ent­fällt. Lösegeldzahlungen wer­den nach wie vor über Links in Tor-Netz abge­wickelt. Aber auch den Ermittlern feh­len somit wert­vol­le Anhaltspunkte, um die Drahtzieher mög­li­cher­wei­se ding­fest zu machen.

Im Vergleich zu ande­ren Krypto-Trojanern steht für Locky nach wie vor kein Entschlüsselungstool zur Verfügung. Hier hilft nur zah­len, oder ein funk­ti­ons­fä­hi­ges Backup für ein Recovery zur Verfügung zu haben. Übrigens: Wie lan­ge lie­gen Ihre letz­te Überprüfung der Backup-Strategie oder ein voll­wer­ti­ger Recovery-Test zurück?

http://heise.de/-3354925

Petya Logo (Trendmicro.com)

Krypto-Trojaner Petya kommt via Dropbox und verschlüsselt ganze Festplatten

Es hat nur weni­ge Tage gedau­ert, nun ist der Krypto-Trojaner Petya auch bei uns in Deutschland am Start. Wie sei­ne Kollegen Locky und Teslacrypt ver­schlüs­selt Petya das befal­le­ne Gerät, jedoch deut­lich effek­ti­ver.

Infektion via Dropbox

Perfide tarnt sich Petya in einer Email als angeb­li­che Bewerbung. Da die Bewerbungsunterlagen für den Versand zu groß sei­en, sind die­se in einer Dropbox-Freigabe her­un­ter­zu­la­den. Der Link führt kor­rek­ter­wei­se in einen frei­ge­ge­be­nen Dropbox-Ordner mit zwei Dateien. Um den Schein zu wah­ren, ist sogar ein Bewerbungsfoto dabei. Der eigent­li­che Schadcode befin­det sich in einer als Archiv getarn­ten aus­führ­ba­ren EXE-Datei.

Ziel: nicht aus­ge­wähl­te Dateien, son­dern gan­ze Festplatten

Entgegen den bis­he­ri­gen alten Bekannten Locky und Teslacrypt hat es der Krypto-Trojaner Petya, ein­mal aus der Dropbox gela­den und akti­viert, nicht auf aus­ge­wähl­te Datei-Typen abge­se­hen. Stattdessen mani­pu­liert Petya den Master-Boot-Record (MBR) der Festplatte. Der MBR ent­hält rele­van­te Informationen für den Start des Betriebssystems. Laut heise.de erzwingt Petya nach die­ser Manipulation des MBR  einen Neustart des System mit­tels Bluescreen, ent­we­der auto­ma­ti­siert oder manu­ell durch den Benutzer.

Nach dem Neustart wird der Nutzer durch einen ASCII-Totenkopf begrüßt und erhält wei­te­re Informationen über den Sachverhalt des Angriffs sowie der Möglichkeit der Entschlüsselung.

Petya Sreen (Trendmicro)

Windows-Systeme betrof­fen

Petya hat es zur Zeit auf Windows-Systeme abge­se­hen. Da das Tool zur Ausführung erwei­ter­te Berechtigungen benö­tigt, gibt es sich gegen­über der Benutzerkontensteuerung (UAC) als ver­trau­ens­wür­di­ges Programm aus. Der unbe­darf­te User neigt zur Bestätigung der Abfrage.

Tools zur Beseitigung von Petya

Laut heise.de ist die ange­wand­te Verschlüsselungsmethode noch unklar. Neben den Meldungen von TrendMicro und heise.de, die bei­de die Manipulation des MBR beschrei­ben, soll es nach ande­ren Quellen eine kom­plet­te Verschlüsselung des Dateisystems geben.

Sofern das gerät in hek­ti­sche Aktivität ver­fällt, raten heise.de und Trendmicro zur sofor­ti­gen Abschaltung des Geräts. Bereits im Netz kur­sie­ren­de Programme zur Beseitigung von Petya nach Befall soll­ten nicht ein­ge­setzt wer­den. Es ist davon aus­zu­ge­hen, dass die­se im Moment ledig­lich wei­te­ren Schaden anrich­ten.

Aktuell ver­langt Petya 0,99 Bitcoin (ca. 380 Euro) Lösegeld für die Freigabe des Systems.

Locky: Jeder Dritte bereit Lösegeld zu zahlen

Nach einer aktu­el­len Studie ist jeder Dritte bereit, Lösegeld zu zah­len, um sei­ne von Locky oder ande­ren Krypto-Trojanern ver­schlüs­sel­ten Dateien wie­der ent­schlüs­seln zu kön­nen. Laut der Bitdefender-Studie sind poten­ti­el­le Opfer bereit, im Schnitt 211 Euro zu bezah­len.

Das BSI und wei­te­re Einrichtungen raten von Zahlungen an die Erpresser jedoch ab. Einerseits kann man nie sicher sein, einen funk­tio­nie­ren­den Schlüssel für die Entsperrung zu erhal­ten. Und wie ein Vertreter von Bitdefender wei­ter­hin anmerkt, unter­stützt man die Erpresser damit direkt — und lei­stet einer wei­te­ren Zunahme sol­cher Vorfälle im Zweifel Vorschub.

Steht der Privatanwender jedoch vor tau­sen­den ver­schlüs­sel­ten Bildern, Musikdateien und Dokumenten oder eine Organisation ist auf­grund der Verschlüsselung arbeits­un­fä­hig (wodurch finan­zi­el­le Verluste bin hin zur Existenzbedrohung ent­ste­hen kön­nen), dann sind sol­che Aussagen schnell rela­ti­viert. Ein Restrisiko bleibt jedoch. Aktuelle Fälle zei­gen, dass trotz erfolg­rei­cher Entschlüsselung zu Datenverlusten kom­men kann.

Stadt Dettelbach zahlt Lösegeld wegen Teslacrypt

Was Insider schon län­ger wuß­ten, ist nun offi­zi­ell. Die Stadt Dettelbach wur­de Opfer des Krypto-Trojaners Teslacrypt. Bereits vor eini­gen Tagen wur­de auf der Webseite der Stadtverwaltung ange­deu­tet, was sich ereig­net hat.

dettelbach-krypto-trojaner

Bereits am 08. Februar 2016 soll durch den Klick eines unvor­sich­ti­gen Mitarbeiters das Unheil sei­nen Lauf genom­men haben. Die Daten auf dem Server der Verwaltung wur­den ver­schlüs­selt. Nun hat man sich ent­schie­den, das gefor­der­te Lösegeld zu zah­len. Und obwohl das BSI und ande­re Einrichtungen von der Zahlung an die Erpresser abra­ten, hat­te die Stadtverwaltung Glück im Unglück. Der gekauf­te Schlüssel zur Entschlüsselung funk­tio­nier­te, zumin­dest teil­wei­se. Die rest­li­chen Daten ver­such­te man, aus einem Backup wie­der­her­zu­stel­len. Wie Spiegel Netzwelt berich­tet, gab es dabei wohl Probleme und Fehlentscheidungen, die einen weit­rei­chen­den Systemausfall und Datenverluste zur Folge hat­ten.

So for­dert die Stadt über die Webseite wohl nicht mehr wie­der­her­stell­ba­re Unterlagen und Informationen von den Kunden der Stadtwerke an.

dettelbach-teslacrypt

Die Kriminalpolizei Würzburg hat Ermittlungen wegen Erpressung auf­ge­nom­men.