Beiträge

Wir bauen uns einen Erpressungstrojaner per Mausklick

Ein neu­es Geschäftsmodell hält Einzug. Wie heise.de berich­tet, steht die Ransomware Satan nun kosten­los  zur Verfügung. Über eine Weboberfläche im Tor-Netz kann sich nun jeder Abenteurer sei­nen eige­nen Kryptotrojaner zusam­men­klicken. So kön­nen nicht nur, aber auch die Erpresserbotschaft und die Höhe des Lösegelds in Bitcoins kon­fi­gu­riert wer­den. Die so erzeug­te Schadsoftware muss dann selbst ver­teilt wer­den. Entsprechende Word-Makros und infi­zier­te Windows-Hilfe-Dateien wer­den mit­ge­lie­fert und unter­stüt­zen dabei.

Ganz kosten­los ist der Service dann aller­dings doch nicht. Gezahlte Lösegelder gehen zuerst an die Drahtzieher hin­ter Satan. Diese brin­gen dann eine “Provision” für den Service in Höhe von 30% in Abzug. Lediglich der Rest geht dann an den Initiator und Trojanerbastler. Je mehr Geräte jedoch infi­ziert wer­den, desto weni­ger Provision soll fäl­lig sein.

Erste Virenscanner erken­nen die mit Satan gene­rier­ten Trojaner bereits. Das ist jedoch kein Grund zur Entwarnung. Bitte sen­si­bi­li­sie­ren Sie Ihre Mitarbeiter.

Kryptotrojaner Goldeneye greift gezielt Personalabteilungen an, Polizei warnt bundesweit

Mitarbeiter in Personalabteilungen, aber nicht nur die­se, soll­ten aktu­ell auf der Hut sein. Ein neu­er Kryptotrojaner namens “Goldeneye” (mög­li­cher­wei­se eine Anlehnung an die schlag­kräf­ti­ge Waffe in dem gleich­na­mi­gen James Bond Film) ist unter­wegs und nimmt gezielt Personalabteilungen ins Visier. Die als Bewerbung getarn­te Email ent­hält eine XLS Tabelle. Wird die­se geöff­net und die Sicherheitsabfrage zur Aktivierung der “Bearbeitungsfunktion” (gemeint ist die Ausführung von Makros) bejaht, geht der bereits von ande­rer Ransomware bekann­te Ablauf los. Da es sich bei Goldeneye augen­schein­lich um einen Ableger von Petya han­delt, einem zuvor bereits akti­ven Verschlüsselungstrojaner, wird das System zu einem Neustart gezwun­gen und dar­auf­hin die Verschlüsselung begon­nen (der Betrachter sieht der­weil einen Bildschirm, der an die Anzeige des Betriebssystemtools Chkdsk erin­nert).

Mittlerweile hängt zahl­rei­chen Emails noch ein zusätz­li­ches PDF an. Email-Text und PDF-Inhalt sind in ein­wand­frei­em Deutsch ver­fasst und gau­keln eine Bewerbung vor. Wie heise.de berich­tet, wer­den teil­wei­se sogar aktu­el­le Stellenausschreibungen der betrof­fe­nen Organisation erwähnt. Weiterhin wer­den in Teilen nur orga­ni­sa­ti­ons­in­ter­ne Email-Adressen ange­spro­chen, inter­ne Ansprechpartner und Rufnummern genannt, die in der Form nicht frei ver­füg­bar sind. Die Versender müs­sen dem­nach eini­ges an Aufwand betrie­ben haben, um die Daten für eine so ziel­ge­rich­te­te Kampagne zu beschaf­fen. Da die ange­häng­te XLS Tabelle regel­mä­ßig geän­dert wird, tun sich vie­le Virenscanner zur Zeit noch sehr schwer.

Als Absender fun­giert iro­ni­scher­wei­se eine Email-Adresse eines Unternehmens, das unter ande­rem Entschlüsselungshilfe für von Petya betrof­fe­ne Organisationen anbie­tet. Sowohl das Unternehmen, die Ingenieursozietät Dipl.- Ing. Rolf B. Drescher VDI & Partner  als auch der Träger des Absendernamens “Rolf Drescher” beteu­ern nach­voll­zieh­bar, mit die­ser Angriffswelle nichts zu tun zu haben. Es wird viel­mehr ein Racheakt ver­mu­tet, da sich Goldeneye und Petya sehr ähn­lich sind. Aufgrund der vie­len Anfragen und Beschwerden wur­den die Arbeitsabläufe der Ingenieursozietät bereits stark beein­träch­tigt. Ob auch wei­te­re Email-Adressen für den Versand genutzt wur­den, ist zur Zeit nicht bekannt.

Nach Meldungen von heise.de sind akut betrof­fen Windows 7, Windows 10 und Server 2008. Die Schadroutine scheint auf Windows Server 2012 nicht zu funk­tio­nie­ren. Verlassen soll­te man sich dar­auf jedoch nicht. Auch zur Verschlüsselung von Dateien auf Netzfreigaben gibt es unter­schied­li­che Aussagen, ob die­se von “Goldeneye” erreicht wer­den oder nicht.

Bitte sen­si­bi­li­sie­ren Sie Ihre Mitarbeiter zeit­nah für die­se aktu­el­le Bedrohung. Sie soll­ten sich dabei nicht auf Mitarbeiter im Personalbereich beschrän­ken. Auch wenn Inhalt und Aufmachung der Email, gera­de durch die Nennung nur orga­ni­sa­ti­ons­in­ter­ner Fakten, noch so ver­trau­ens­wür­dig erschei­nen, es ist erhöh­te Aufmerksamkeit gebo­ten.

Update 08.1216:

Anscheinend bedie­nen sich die Macher von Goldeneye an Daten der Bundesagentur für Arbeit, um ihren Kryptotrojaner samt Text so pas­send wie mög­lich auf die Zielorganisation zuzu­schnei­den. Dabei wer­den Daten ver­wen­det, die nicht den öffent­li­chen Stellenausschreibungen der Agentur zu ent­neh­men sind, son­dern aus dem inter­nen Bereich stam­men. Laut heise.de hat die Agentur dazu bis­her auf mehr­ma­li­ge Nachfragen kei­ne Stellung bezo­gen, son­dern ledig­lich auf die unrecht­mä­ßi­ge Verwendung des Agentur-Logos in den der Anfrage bei­ge­füg­ten Screenshots hin­ge­wie­sen.

Wir hal­ten Sie infor­miert.

Locky erhält Updates

Lange Zeit hat man von Locky nicht mehr viel gehört, wäh­rend über ande­re Vertreter der Krypto-Trojaner zahl­reich berich­tet wur­de. Doch Locky ist nach wie vor aktiv und hat dazu gelernt. Wohl weni­ger gra­vie­rend ist die Tatsache, dass Locky nun die Dateiendung “.odin” statt “.locky” für die ver­schlüs­sel­ten Dateien ver­wen­det. Gravierender ist die Neuerung, dass für die erfolg­rei­che Arbeit nun kei­ne Online-Verbindung zum C&C Server der hin­ter Locky ste­hen­den Erpresser mehr not­wen­dig. Bisher konn­te Locky ohne die­se Verbindung nicht mit sei­nem Werk begin­nen. Nun benö­ti­gen neue­re Varianten die Server nicht mehr als Anstoß zur Erzeugung des loka­len Schlüssels. Die genaue Technik ist noch nicht bekannt.

Die Vorteile lie­gen klar auf der Hand: Die kosten­in­ten­si­ve Infrastruktur zum Betrieb der C&C Server ent­fällt. Lösegeldzahlungen wer­den nach wie vor über Links in Tor-Netz abge­wickelt. Aber auch den Ermittlern feh­len somit wert­vol­le Anhaltspunkte, um die Drahtzieher mög­li­cher­wei­se ding­fest zu machen.

Im Vergleich zu ande­ren Krypto-Trojanern steht für Locky nach wie vor kein Entschlüsselungstool zur Verfügung. Hier hilft nur zah­len, oder ein funk­ti­ons­fä­hi­ges Backup für ein Recovery zur Verfügung zu haben. Übrigens: Wie lan­ge lie­gen Ihre letz­te Überprüfung der Backup-Strategie oder ein voll­wer­ti­ger Recovery-Test zurück?

http://heise.de/-3354925

Kryptotrojaner mit Wurmfunktion gesichtet

Es war nur eine Frage der Zeit, jetzt ist es also soweit. Microsoft warnt vor einem neu­en Kryptotrojaner namens ZCryptor. Dieser nimmt sich Dateien mit über 80 Dateiendungen vor. Besonders unan­ge­nehm: zusätz­lich nistet sich ZCryptor in die Autostart-Routinen ein­ge­steck­ter USB-Sticks und USB-Laufwerke ein. Somit kann sich der Trojaner bei Nutzung die­ser Speicher an ande­ren Geräten auf die­se Systeme eben­falls ver­brei­ten.

Einen Befall erken­nen Sie an der Dateiendung .zcrypt. Aktuell ist noch kein Tool zum Entschlüsseln ver­füg­bar. Betroffen sind aus­schließ­lich Windows-Systeme. Wer es bis­her noch nicht getan hat, soll­te spä­te­stens jetzt sei­ne Backup-Strategie prü­fen und anpas­sen. Und bit­te nicht ver­ges­sen, Recovery-Tests durch­zu­füh­ren. Das beste Backup hilft nichts, wenn es sich spä­ter nicht wie­der­her­stel­len läßt. Erfolgsprotokolle der Backup-Software sind allei­ne nicht aus­rei­chend.

Wenn Sie mehr über ZCryptor erfah­ren wol­len, Microsoft hat eine Beschreibung dazu online (exter­ner Link) gestellt.

Masterschlüssel für TeslaCrypt veröffentlicht

Laut einer Meldung von heise.de haben die Entwickler von Teslacrypt die Weiterentwicklung ein­ge­stellt und den Masterschlüssel für den Kryptotrojaner ver­öf­fent­licht. Betroffene, deren Syteme und Daten noch ver­schlüs­selt sind, kön­nen auf­at­men. Nach ersten Berichten funk­tio­niert der Master-Key und in Verbindung mit dem Tool Tesladecoder sind alle Varianten von Teslacrypt 1 bis 4 wie­der zu ent­schlüs­seln.

RannohDecryptor wirkungslos gegen neue Version von CryptXXX

Wer bis­her von der Ransomware CryptXXX heim­ge­sucht wur­de, hat­te Glück. Das Tool RannohDecryptor half bis­her mit weni­gen Klicks und die Verschlüsselung war Geschichte. In der neu­esten Version des Kryptotrojaners CryptXXX ist das nun nicht mehr mög­lich.

Sofern Sie von einer frü­he­ren Version von CryptXXX befal­len wur­den, kön­nen Sie sich mit dem von Kaspersky ent­wickel­ten Tool RannohDecryptor (Webseite von Kaspersky) behel­fen.

Rathaus Markt Schwaben durch Krypto-Trojaner verschlüsselt

Am 28.04.2016 ist es pas­siert. Ein unvor­sich­ti­ger Klick durch einen oder meh­re­re Mitarbeiter und einer der bekann­ten Krypto-Trojaner wur­de im Rathaus Markt Schwaben (Bayern) aktiv. Der Befall wur­de am frü­hen Donnerstagmorgen bereits bemerkt und der zustän­di­ge Systemadministrator hat sofort erste Schritte zur Eindämmung und Ursachenanalyse ein­ge­lei­tet. Oberstes Ziel ist es jetzt, den Ursprung zu loka­li­sie­ren, zu iso­lie­ren und zu ent­fer­nen. Am Freitag den 29.04.2016 blieb das Rathaus nach zuvor offi­zi­el­ler Ankündigung geschlos­sen. Glücklicherweise sind wohl nur ver­ein­zel­te Rechner betrof­fen. Auch aktu­el­le Virenschutzsoftware konn­te den Befall nicht ver­hin­dern.

Schutz vor Krypto-Trojanern für Mac OS X: RansomWhere?

Ein Tool namens RansomWhere? soll unter Mac OS X vor Krypto-Trojanern schüt­zen. Das Prinzip dahin­ter ist ziem­lich ein­fach. Laufende Prozesse wer­den über­wacht und sobald eine Verschlüsselungsaktivität erkannt wird, der dazu­ge­hö­ri­ge Prozess ange­hal­ten. Es erscheint eine Nutzeranfrage, ob der Prozess wei­ter­ge­führt wer­den soll. Dazu wer­den wei­te­re Angaben in der Anzeige, die eine Einschätzung zulas­sen sol­len, ob es erwünsch­ter Prozess mit Verschlüsselung ist oder nicht. Der Anwender erteilt dem Prozess dann auf Wunsch die not­wen­di­gen Rechte zum Weiterarbeiten.

Zwar ist Mac OS zur Zeit nur sehr gering dem Risiko eines Befalls durch Krypto-Trojaner aus­ge­setzt, des­we­gen kön­nen ent­spre­chen­de Schutzmaßnahmen zur Abwehr nicht scha­den.

Link zum Tool und sei­ner tech­ni­schen Beschreibung

Petya Logo (Trendmicro.com)

Petya-Trojaner ist geknackt, Passwort-Generator verfügbar

Betroffene des Krypto-Trojaners Petya kön­nen auf­at­men. Der Algorithmus wur­de geknackt und es steht ein Passwort-Generator bereit. Laut ver­schie­de­nen Online-Meldungen u.a. heise.de funk­tio­niert die Entschlüsselung auch.

Etwas tricky

Um die Entschlüsselung durch­zu­füh­ren, muss die betrof­fe­ne Festplatte in einen nicht infi­zier­ten PC als zusätz­li­che Platte ein­ge­baut wer­den. Mittels des “Petya Sector Extractor” des Sicherheitsforschers Fabian Wosar wer­den die nun benö­tig­ten Angaben aus dem Verschlüsselungscode extra­hiert. Diesen Code trägt man nun auf der Webseite von einem unter dem Namen leos­tone auf­tre­ten­den Unbekannten ein und erhält den eigent­li­chen Entschlüsselungscode. Nun muss die Platte wie­der ins ursprüng­li­che System und dort gestar­tet wer­den. Trägt man den Code dort ein, soll nach aktu­el­len Angaben die Entschlüsselung funk­tio­nie­ren.

Auf Petya beschränkt

Tool und Webseite funk­tio­nie­ren ledig­lich für die aktu­el­le Variante von Petya. Betroffene von Locky, Teslacrypt oder ande­rer Krypto-Trojaner soll­ten dies bit­te nicht aus­pro­bie­ren.

Petya Logo (Trendmicro.com)

Krypto-Trojaner Petya kommt via Dropbox und verschlüsselt ganze Festplatten

Es hat nur weni­ge Tage gedau­ert, nun ist der Krypto-Trojaner Petya auch bei uns in Deutschland am Start. Wie sei­ne Kollegen Locky und Teslacrypt ver­schlüs­selt Petya das befal­le­ne Gerät, jedoch deut­lich effek­ti­ver.

Infektion via Dropbox

Perfide tarnt sich Petya in einer Email als angeb­li­che Bewerbung. Da die Bewerbungsunterlagen für den Versand zu groß sei­en, sind die­se in einer Dropbox-Freigabe her­un­ter­zu­la­den. Der Link führt kor­rek­ter­wei­se in einen frei­ge­ge­be­nen Dropbox-Ordner mit zwei Dateien. Um den Schein zu wah­ren, ist sogar ein Bewerbungsfoto dabei. Der eigent­li­che Schadcode befin­det sich in einer als Archiv getarn­ten aus­führ­ba­ren EXE-Datei.

Ziel: nicht aus­ge­wähl­te Dateien, son­dern gan­ze Festplatten

Entgegen den bis­he­ri­gen alten Bekannten Locky und Teslacrypt hat es der Krypto-Trojaner Petya, ein­mal aus der Dropbox gela­den und akti­viert, nicht auf aus­ge­wähl­te Datei-Typen abge­se­hen. Stattdessen mani­pu­liert Petya den Master-Boot-Record (MBR) der Festplatte. Der MBR ent­hält rele­van­te Informationen für den Start des Betriebssystems. Laut heise.de erzwingt Petya nach die­ser Manipulation des MBR  einen Neustart des System mit­tels Bluescreen, ent­we­der auto­ma­ti­siert oder manu­ell durch den Benutzer.

Nach dem Neustart wird der Nutzer durch einen ASCII-Totenkopf begrüßt und erhält wei­te­re Informationen über den Sachverhalt des Angriffs sowie der Möglichkeit der Entschlüsselung.

Petya Sreen (Trendmicro)

Windows-Systeme betrof­fen

Petya hat es zur Zeit auf Windows-Systeme abge­se­hen. Da das Tool zur Ausführung erwei­ter­te Berechtigungen benö­tigt, gibt es sich gegen­über der Benutzerkontensteuerung (UAC) als ver­trau­ens­wür­di­ges Programm aus. Der unbe­darf­te User neigt zur Bestätigung der Abfrage.

Tools zur Beseitigung von Petya

Laut heise.de ist die ange­wand­te Verschlüsselungsmethode noch unklar. Neben den Meldungen von TrendMicro und heise.de, die bei­de die Manipulation des MBR beschrei­ben, soll es nach ande­ren Quellen eine kom­plet­te Verschlüsselung des Dateisystems geben.

Sofern das gerät in hek­ti­sche Aktivität ver­fällt, raten heise.de und Trendmicro zur sofor­ti­gen Abschaltung des Geräts. Bereits im Netz kur­sie­ren­de Programme zur Beseitigung von Petya nach Befall soll­ten nicht ein­ge­setzt wer­den. Es ist davon aus­zu­ge­hen, dass die­se im Moment ledig­lich wei­te­ren Schaden anrich­ten.

Aktuell ver­langt Petya 0,99 Bitcoin (ca. 380 Euro) Lösegeld für die Freigabe des Systems.