Beiträge

Wir bauen uns einen Erpressungstrojaner per Mausklick

Ein neu­es Geschäftsmodell hält Einzug. Wie heise.de berich­tet, steht die Ransomware Satan nun kosten­los  zur Verfügung. Über eine Weboberfläche im Tor-Netz kann sich nun jeder Abenteurer sei­nen eige­nen Kryptotrojaner zusam­men­klicken. So kön­nen nicht nur, aber auch die Erpresserbotschaft und die Höhe des Lösegelds in Bitcoins kon­fi­gu­riert wer­den. Die so erzeug­te Schadsoftware muss dann selbst ver­teilt wer­den. Entsprechende Word-Makros und infi­zier­te Windows-Hilfe-Dateien wer­den mit­ge­lie­fert und unter­stüt­zen dabei.

Ganz kosten­los ist der Service dann aller­dings doch nicht. Gezahlte Lösegelder gehen zuerst an die Drahtzieher hin­ter Satan. Diese brin­gen dann eine “Provision” für den Service in Höhe von 30% in Abzug. Lediglich der Rest geht dann an den Initiator und Trojanerbastler. Je mehr Geräte jedoch infi­ziert wer­den, desto weni­ger Provision soll fäl­lig sein.

Erste Virenscanner erken­nen die mit Satan gene­rier­ten Trojaner bereits. Das ist jedoch kein Grund zur Entwarnung. Bitte sen­si­bi­li­sie­ren Sie Ihre Mitarbeiter.

Kryptotrojaner mit Wurmfunktion gesichtet

Es war nur eine Frage der Zeit, jetzt ist es also soweit. Microsoft warnt vor einem neu­en Kryptotrojaner namens ZCryptor. Dieser nimmt sich Dateien mit über 80 Dateiendungen vor. Besonders unan­ge­nehm: zusätz­lich nistet sich ZCryptor in die Autostart-Routinen ein­ge­steck­ter USB-Sticks und USB-Laufwerke ein. Somit kann sich der Trojaner bei Nutzung die­ser Speicher an ande­ren Geräten auf die­se Systeme eben­falls ver­brei­ten.

Einen Befall erken­nen Sie an der Dateiendung .zcrypt. Aktuell ist noch kein Tool zum Entschlüsseln ver­füg­bar. Betroffen sind aus­schließ­lich Windows-Systeme. Wer es bis­her noch nicht getan hat, soll­te spä­te­stens jetzt sei­ne Backup-Strategie prü­fen und anpas­sen. Und bit­te nicht ver­ges­sen, Recovery-Tests durch­zu­füh­ren. Das beste Backup hilft nichts, wenn es sich spä­ter nicht wie­der­her­stel­len läßt. Erfolgsprotokolle der Backup-Software sind allei­ne nicht aus­rei­chend.

Wenn Sie mehr über ZCryptor erfah­ren wol­len, Microsoft hat eine Beschreibung dazu online (exter­ner Link) gestellt.

RannohDecryptor wirkungslos gegen neue Version von CryptXXX

Wer bis­her von der Ransomware CryptXXX heim­ge­sucht wur­de, hat­te Glück. Das Tool RannohDecryptor half bis­her mit weni­gen Klicks und die Verschlüsselung war Geschichte. In der neu­esten Version des Kryptotrojaners CryptXXX ist das nun nicht mehr mög­lich.

Sofern Sie von einer frü­he­ren Version von CryptXXX befal­len wur­den, kön­nen Sie sich mit dem von Kaspersky ent­wickel­ten Tool RannohDecryptor (Webseite von Kaspersky) behel­fen.

Rathaus Markt Schwaben durch Krypto-Trojaner verschlüsselt

Am 28.04.2016 ist es pas­siert. Ein unvor­sich­ti­ger Klick durch einen oder meh­re­re Mitarbeiter und einer der bekann­ten Krypto-Trojaner wur­de im Rathaus Markt Schwaben (Bayern) aktiv. Der Befall wur­de am frü­hen Donnerstagmorgen bereits bemerkt und der zustän­di­ge Systemadministrator hat sofort erste Schritte zur Eindämmung und Ursachenanalyse ein­ge­lei­tet. Oberstes Ziel ist es jetzt, den Ursprung zu loka­li­sie­ren, zu iso­lie­ren und zu ent­fer­nen. Am Freitag den 29.04.2016 blieb das Rathaus nach zuvor offi­zi­el­ler Ankündigung geschlos­sen. Glücklicherweise sind wohl nur ver­ein­zel­te Rechner betrof­fen. Auch aktu­el­le Virenschutzsoftware konn­te den Befall nicht ver­hin­dern.

Atomkraftwerk Grundremmingen: PC mit Malware verseucht

Im Rahmen der gesetz­li­chen Meldepflicht infor­mier­te der Betreiber RWE des Atomkraftwerkes Grundremmingen das Bundesamt für Sicherheit in der Informationstechnik (BSI) über einen heik­len Vorfall. Ein Computer im Bereich der Brennstab-Beladung war mit Malware ver­seucht. Installiert wur­de das System bereits 2008. Weitere Systeme sei­en bis­her nicht infi­ziert. Die Analyse dau­ert der­zeit noch an.

Weder die Steuerung noch der Betrieb der Anlage sei­en gefähr­det gewe­sen. Das System hät­te ledig­lich der nach­träg­li­chen Datenverarbeitung und Visualisierung gedient. Schwacher Trost, bleibt bis zum Abschluss der Analyse offen, wie die Malware auf das System gelan­gen konn­te. Und ob auf die­sem Weg nicht wei­te­re Sicherheitsrisiken ent­ste­hen kön­nen / könn­ten.

Das AKW Grundremmingen soll 2021 vom Netz. Lokale Bewegungen for­dern schon län­ger eine frü­he­re Stilllegung sowie eine genaue­re Information der Bürger über den kon­kre­ten Sachverhalt.

Online-Banker aufgepasst, Banking-Trojaner Retefe ist wieder da

Das Internet Storm Center mel­det heu­te einen alten Bekannten zurück auf der Bildfläche “Retefe is back in town”

Erneute Vorkommen die­ses beson­ders per­fi­den Banking-Trojaners wur­den aus Österreich, der Schweiz, Schweden und Japan ver­mel­det. Die Verbreitung fin­det in gewohn­ter Manier via Spam-Email statt. Im Anhang befin­det sich ein Zip-File mit JavaScript-Code. Dieser Code lädt dann den eigent­li­chen Schadcode nach. Betroffen davon sind Windows-Systeme.

Retefe instal­liert ein gefälsch­tes Sicherheitszertifikat auf dem betrof­fe­nen PC, nach­dem er zuvor stö­ren­de Prozesse mit­tels taskkill abge­schos­sen hat. Zusätzlich wird ein DNS Server samt Proxy ein­ge­rich­tet, der zukünf­ti­ge Anfragen auf das Banking-Portal über­nimmt. Aufgrund des instal­lier­ten und signier­ten Zertifikats sieht das im Browser für den Nutzer wie eine nor­ma­le gesi­cher­te Verbindung aus. Ist ein Android-Gerät greif­bar, wird die­sem ein Trojaner unter­ge­ju­belt, der einen von der Bank per SMS ver­sand­ten Zugangstoken auto­ma­tisch abgrei­fen kann.

Da sich Retefe nach Einrichtung die­ser Manipulation selbst löscht, fällt es Virenscannern schwer, eine Infektion zu erken­nen — es ist ja kein Schadcode aktiv oder auf dem System gespei­chert.

Also ein wei­te­rer Grund, den Posteingang kri­tisch zu begut­ach­ten und im Zweifel Dateianhänge unge­öff­net zu löschen. Datenschutz- und Informationssicherheitsbeauftragte soll­te Ihre Anwender über die­se neue Bedrohung im Rahmen der übli­chen Sensibilisierungskanäle zeit­nah infor­mie­ren.

Petya Logo (Trendmicro.com)

Petya-Trojaner ist geknackt, Passwort-Generator verfügbar

Betroffene des Krypto-Trojaners Petya kön­nen auf­at­men. Der Algorithmus wur­de geknackt und es steht ein Passwort-Generator bereit. Laut ver­schie­de­nen Online-Meldungen u.a. heise.de funk­tio­niert die Entschlüsselung auch.

Etwas tricky

Um die Entschlüsselung durch­zu­füh­ren, muss die betrof­fe­ne Festplatte in einen nicht infi­zier­ten PC als zusätz­li­che Platte ein­ge­baut wer­den. Mittels des “Petya Sector Extractor” des Sicherheitsforschers Fabian Wosar wer­den die nun benö­tig­ten Angaben aus dem Verschlüsselungscode extra­hiert. Diesen Code trägt man nun auf der Webseite von einem unter dem Namen leos­tone auf­tre­ten­den Unbekannten ein und erhält den eigent­li­chen Entschlüsselungscode. Nun muss die Platte wie­der ins ursprüng­li­che System und dort gestar­tet wer­den. Trägt man den Code dort ein, soll nach aktu­el­len Angaben die Entschlüsselung funk­tio­nie­ren.

Auf Petya beschränkt

Tool und Webseite funk­tio­nie­ren ledig­lich für die aktu­el­le Variante von Petya. Betroffene von Locky, Teslacrypt oder ande­rer Krypto-Trojaner soll­ten dies bit­te nicht aus­pro­bie­ren.

Petya Logo (Trendmicro.com)

Krypto-Trojaner Petya kommt via Dropbox und verschlüsselt ganze Festplatten

Es hat nur weni­ge Tage gedau­ert, nun ist der Krypto-Trojaner Petya auch bei uns in Deutschland am Start. Wie sei­ne Kollegen Locky und Teslacrypt ver­schlüs­selt Petya das befal­le­ne Gerät, jedoch deut­lich effek­ti­ver.

Infektion via Dropbox

Perfide tarnt sich Petya in einer Email als angeb­li­che Bewerbung. Da die Bewerbungsunterlagen für den Versand zu groß sei­en, sind die­se in einer Dropbox-Freigabe her­un­ter­zu­la­den. Der Link führt kor­rek­ter­wei­se in einen frei­ge­ge­be­nen Dropbox-Ordner mit zwei Dateien. Um den Schein zu wah­ren, ist sogar ein Bewerbungsfoto dabei. Der eigent­li­che Schadcode befin­det sich in einer als Archiv getarn­ten aus­führ­ba­ren EXE-Datei.

Ziel: nicht aus­ge­wähl­te Dateien, son­dern gan­ze Festplatten

Entgegen den bis­he­ri­gen alten Bekannten Locky und Teslacrypt hat es der Krypto-Trojaner Petya, ein­mal aus der Dropbox gela­den und akti­viert, nicht auf aus­ge­wähl­te Datei-Typen abge­se­hen. Stattdessen mani­pu­liert Petya den Master-Boot-Record (MBR) der Festplatte. Der MBR ent­hält rele­van­te Informationen für den Start des Betriebssystems. Laut heise.de erzwingt Petya nach die­ser Manipulation des MBR  einen Neustart des System mit­tels Bluescreen, ent­we­der auto­ma­ti­siert oder manu­ell durch den Benutzer.

Nach dem Neustart wird der Nutzer durch einen ASCII-Totenkopf begrüßt und erhält wei­te­re Informationen über den Sachverhalt des Angriffs sowie der Möglichkeit der Entschlüsselung.

Petya Sreen (Trendmicro)

Windows-Systeme betrof­fen

Petya hat es zur Zeit auf Windows-Systeme abge­se­hen. Da das Tool zur Ausführung erwei­ter­te Berechtigungen benö­tigt, gibt es sich gegen­über der Benutzerkontensteuerung (UAC) als ver­trau­ens­wür­di­ges Programm aus. Der unbe­darf­te User neigt zur Bestätigung der Abfrage.

Tools zur Beseitigung von Petya

Laut heise.de ist die ange­wand­te Verschlüsselungsmethode noch unklar. Neben den Meldungen von TrendMicro und heise.de, die bei­de die Manipulation des MBR beschrei­ben, soll es nach ande­ren Quellen eine kom­plet­te Verschlüsselung des Dateisystems geben.

Sofern das gerät in hek­ti­sche Aktivität ver­fällt, raten heise.de und Trendmicro zur sofor­ti­gen Abschaltung des Geräts. Bereits im Netz kur­sie­ren­de Programme zur Beseitigung von Petya nach Befall soll­ten nicht ein­ge­setzt wer­den. Es ist davon aus­zu­ge­hen, dass die­se im Moment ledig­lich wei­te­ren Schaden anrich­ten.

Aktuell ver­langt Petya 0,99 Bitcoin (ca. 380 Euro) Lösegeld für die Freigabe des Systems.

Mitarbeiter Awareness: Schutz vor Krypto-Trojanern

Man kann es ja gar nicht oft genug sagen in den letz­ten Wochen: Neben all den tech­ni­schen Maßnahmen zur Abwehr oder Vermeidung von Krypto-Trojanern ist die Sensibilisierung der Mitarbeiter eine sehr effek­ti­ve Möglichkeit, das Risiko einer Infektion durch Locky, Teslacrypt und Co zu ver­mei­den. Neusprech heisst dies “Awareness” schaf­fen. Aus die­sem Grund bie­ten wir zusätz­lich zu ein- bis zwei­stün­di­gen Sensibilisierungsveranstaltungen zur aktu­el­len Bedrohungslage und Möglichkeiten für Mitarbeiter vor Ort Handreichungen in Form von DIN A4-Flyern an, die Sie ger­ne (unver­än­dert) in Ihrer Organisation ein­set­zen kön­nen.

Diese Ausgabe behan­delt den Umgang mit Email-Anhängen sowie eine Kurzanleitung zur Beschränkung der Ausführung von Makro-Code in Office-Dokumenten (sofern dies nicht durch die Gruppenrichtlinie nicht bereits unter­drückt wird).

Wir wis­sen, zu dem Thema kann man noch viel mehr sagen / schrei­ben. Doch wir haben uns bewußt für eine kur­ze Darstellung auf einer Seite beschränkt, damit die Akzeptanz zur Kenntnisnahme nicht durch zu gro­ße Längen beein­träch­tigt wird.

Wollen Sie Ihren Mitarbeitern die­sen Flyer zur Sensibilisierung im Umgang mit der Bedrohung durch Krypto-Trojaner durch Email-Anhänge an die Hand geben? Dann laden Sie sich das Dokument doch ein­fach kosten­frei her­un­ter und ver­tei­len es intern.

Flyer / Handout Awareness Anwender Empfehlung Schutz Vor Krypto Trojanern (57.8 KiB, 238 down­loads)

Haben Sie wei­te­re Ideen und Anregungen für Flyer / Sensibilisierungen in die­ser Kurzform? Dann schrei­ben Sie uns. Wir grei­fen das ger­ne für wei­te­re Handouts auf.

Wir wün­schen allen Beteiligten wei­ter­hin bei der Abwehr die­ser Bedrohung viel Erfolg.

Teslacrypt 4.0 mit Bugfixes und Neuerungen im Umlauf

Die Ransomware Teslacrypt, ein beson­ders erfolg­rei­cher Krypto-Trojaner der letz­ten Monate, wur­de laut bleepingcomputer.com in der nun vier­ten Generation “Teslacrypt 4.0” gesich­tet. Teslacrypt hat eini­ge Bugfixes und Neuerungen erfah­ren.

Wurden bis­her erkenn­ba­re Datei-Endungen an die ver­schlüs­sel­ten Dateien ange­hängt (wie .aaa .abc oder auch .mp3), wer­den die loka­len und über das Netz erreich­ba­ren Dateien jetzt unter Beibehaltung des Dateinamens ver­schlüs­selt. Von außen sieht also erst mal alles so aus, als wäre nichts pas­siert.

Auch die 4 Gigabyte (GB) Hürde ist gefal­len. Haben bis­he­ri­ge Teslacrypt-Versionen Dateien grö­ßer 4 GB ein­fach kor­rum­piert oder gelöscht, ver­schlüs­selt Teslacrypt 4.0 nun auch die­se.

Nach einer Meldung von heise.de zieht Teslacrypt 4.0 noch mehr gerä­te­spe­zi­fi­sche Merkmale wie DigitalProductID, MachineGuid und SystemBiosDate zur Generierung des indi­vi­du­el­len loka­len Schlüssels her­an.

Teslacrypt 4.0 wird nach Angaben von Heimdal Security zur Zeit haupt­säch­lich via Drive-by-Downloads ver­brei­tet.

Seit Version 3.0 von Teslacrypt gibt es kei­ne funk­tio­nie­ren­den Entschlüsselungstools für befal­le­ne Geräte. Sollte ein Befall mit V 3 oder V 4 vor­lie­gen, blei­ben nur die Hoffnung auf eine aktu­el­le und funk­tio­nie­ren­de Datensicherung für die Wiederherstellung oder der Versuch, mit­tels Lösegeldzahlung in Form von Bitcoins einen funk­ti­ons­fä­hi­gen Schlüssel für die Entschlüsselung zu erhal­ten.