it-sicherheit.li

News rund um IT-Sicherheit

Monat: Juli 2016

Neues Design für Jigsaw Ransomware

Juli 29, 2016 / / Keine Kommentare

Taken from BleepingComputer.com

Taken from BleepingComputer.com

Michael Gillespie hat eine Neue Variante der Jigsaw Ransomware entdeckt. Dieses mal wir ein Anonymous Theme als Hintergrund für die Verschlüsselungsmeldung benutzt. Der neue Hintergrund zeigt nun den Leitspruch „We are Anonymous. We Are Legion. We do not forget. We do not forgive. Expect us.“ Die gute Nachricht, Michaels Jigsaw Decrypter wurde bereits einem Update unterzogen.  Diese Variante der Ransomware verschlüsselt die Daten mit AEs Verschlüsselung.

Die Ransomware installiert sich in das Verzeichnis %UserProfile%AppData\Local\MS\app_roaming.exe und erstellt dort eine Autorun Datei namens Microsoft Defender. Somit ist der Prozess nicht auf den ersten Blick als Gefährlich ersichtlich. Beim Start wird eine Meldung angezeigt in welcher darauf hingewiesen wird dass ein Scan ausgeführt wird. Diese Meldung kann mit OK bestätigt werden. Während des „scan“ werden die Daten verschlüsselt und mit der Endung .xyz versehen. Um die Daten wieder zu bekommen, verlangen die Erpresser 250$

Unten ist die komplette Meldung ersichtlich.

Taken from BleepingComputer.com

Taken from BleepingComputer.com

Mit dem Decrypter ist es möglich die verschlüsselten Daten wiederherzustellen.

Ebenfalls sollten Benutzer, welche bemerkt haben das sich Jigsaw ans Werk gemacht hat, denn Prozess app_roaming.exe im Taskmanager stoppen

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Audit von KeePass und Apache HTTP Server

Juli 28, 2016 / / Keine Kommentare

Die beiden Open Source Tools KeePass  und Apache’s HTTP Server werden nun genaustens durchleuchtet. Die Europäische Komission führt ein externes Security Audit dieser beiden Tools durch.

main_big

KeePass ist einer der bekanntesten Passwort Managern, welcher verfügbar ist auf diversen Plattformen. Über Third-Party Apps können KeePass Datenbanken auch auf Android oder iOS verwaltet werden.

Apache HTTP Server ist wohl der am meisten verbreitete Webserver in unserem WWW.  Geschätzt wird das beinahe 50% aller aktiven Webseiten auf einem Apache HTTP Server betrieben werden.

Ausgewählt wurden die beiden Anwendungen über eine öffentliche Umfrage auf der Plattform joinup. Zur Auswahl standen diverse Open Source Software, wie beispielsweise VLC Media Player, 7-zip oder Veracrypt. Ausgewertet wurden über 3200 Antworten, wobei 18.7% der Antworten für Apache HTTP Server stimmten und 23.1% für KeePass.

Sollten im Quellcode dieser Anwendungen Lücken aufgefunden werden, so werden diese mit den Entwicklern geteilt damit diese behoben werden können. Doch der Präsident von FSFE (Free Software Foundation Europe), Matthias Kirschner, äussert in seinem Blog bereits erste Skepsis. Er befürchtet, dass grosse Teile des Budgets ausgegeben werden, ohne wirklich einen positiven Einfluss auf die Software zu haben. Seine Befürchtung ist, dass aus diesem Audit lediglich diverse Beratungsberichte entstehen, welche niemand jemals lesen wird. Er fordet nun Experten zum Feedback auf, um die Anliegen bei der Europäischen Komission einzubringen um doch ein wertvolles Ergebnis aus diesem Audit zu ziehen.

Falls Ihr nützliches Feedback für dieses Audit habt, schaut auf dem Blog von Matthias Kirschner nach, um dieses einzubringen.

 

Hoffen wir das Beste und vielleicht die eine oder andere Verbesserung für diese beiden Tools.

 

Joinup Umfrage: Klick hier

Blog von Matthias Kirschner: Klick hier

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail

SysAdmin Day 2016

Juli 28, 2016 / / Keine Kommentare

Es  ist wieder soweit.  Zum 17 mal darf gefeiert werden.

Der SysAdmin Day ist da, am Freitag dem 29. 07.2016 darf allen Systemadministratoren gedankt werden.

 

Für was soll ich den Admins danken?

Für alles was Sie denn ganzen Tag so tun.

Sie halten eure Systeme am laufen, helfen bei Druckerproblemen, lassen ausgesperrte User wieder arbeiten, usw…

 

Und wie kann ich meinem SysAdmin danken?

Ganz einfach, sag mal danke oder noch besser:

  • Ice Cream
  • Pizza
  • Cola
  • Kaffee
  • RedBull
  • oder was der Admin halt sonst noch gerne hat.

Weitere Informationen zum SysAdmin Day findet ihr hier

 

Für alle Admins und Kollegen: Einen frohen SysAdmin Day 2016

8x6k0fv5CKi8Jg

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Locky Sprössling „Zepto“

Juli 27, 2016 / / Keine Kommentare

photo-1454165205744-3b78555e5572

Sicherheitsforscher haben einen, beängstigenden Anstieg von Spam E-Mails mit verseuchten Anhängen, festgestellt. Die meisten dieser Anhänge enthalten den Locky Spross Zepto.

Das Team von Cisco Talos hat innerhalb von vier Tagen über 137`731 E-Mails mit Zepto Anhängen festgestellt.

Die E-Mails sind sehr gut gemacht. Es wird der Anschein erweckt dass man den Absender persönlich kennt. Man wird mit dem Vornamen angesprochen und gebeten den Anhang zu öffnen.

Wurde der Anhang geöffnet, läuft das JavaScript basierende Tool im Hintergrund und beginnt die Dateien zu verschlüsseln. Die Dateien bekommen die Endung .zepto.

Einige untersuchten Proben kommunizierten mit einem einzelnen C&C Server andere mit bis zu neun verschiedenen Domains.

Sobald die Verschlüsselung beendet ist wird eine Meldung angezeigt auf dem über die Verschlüsselung und die Zahlungsart informiert wird.

 

Bisher ist noch keine Entschlüsselung für Zepto bekannt.

Vor Zepto kann man sich nur schützen wenn man alle Systeme und Programme up-to-date hält und Mails mit gebührendem Respekt bearbeitet.

Gewisse Tools und Hilfsmittel können eine Infektion vorbeugen, wie z.B. AMP (Advanced Malware Protection), CWS oder WSA (Web Scanner zum auffinden von gefährlichen Webseiten) , IPS und NGFW sowie Botnet Detection und APT-Blocker.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Dridex erneut auf Beutezug

Juli 27, 2016 / / Keine Kommentare

Quelle: MELANI

Wie die Melde- und Analysestelle fürInformationssicherheit MELANI meldet sind wieder vermehrt Fälle von Dridex Infektionen gemeldet worden.

Dridex wendet sich an Offline-Zahlungsprogramme und benutzt diese um Überweisungen an dritte zu tätigen.

Bei den gemeldeten Fällen wurde versucht, gleich mehrere Zahlungen innerhalb kürzester Zeit zu tätigen.

Verbreitet wird Dridex vor allem über Mails mit  Office Dokumente welche mit Makros versehen sind und von vermeintlichen legitimen Absendern kommen.

Nach der Infektion sucht der Trojaner nach Offline Zahlungs-Software. Findet Dridex solche Software wird weitere Schadsoftware aus dem Internet nachgeladen, diese führt die Zahlungen schlussendlich aus.

Software folgender Hersteller ist betroffen:

Abacus
Abrantix
Alphasys
Argo-Office
Bellin
Cashcomm
CoCoNet
Crealogix
Epsitec
financesuite
Financesuite
Macrogram
Mammut
Mmulticash
Moneta
Multiversa
Myaccessweb
Omikron
Quatersoft
Softcash
Softcrew
Starmoney
Trinity

Die Tipps von MELANI zur Prävention sind:

  • Verwenden Sie für offline Zahlungs-Software und eBanking einen dedizierten Computer, auf welchem Sie nicht im Internet surfen oder Emails empfangen.
  • Verwenden Sie für die Visierung von Zahlungen eine Kollektivunterschrift über einen Zweitkanal (z.B. eBanking). Erkundigen Sie sich bei Ihrer Bank über entsprechende Möglichkeiten.
  • Falls Sie einen Hardware-Token (z.B. Smart Card, USB-Dongle) verwenden, entfernen Sie diesen nach Gebrauch der Zahlungs-Software.
  • Speichern Sie Zugangsdaten (Vertragsnummer, Passwort, etc.) für eBanking und Zahlungs-Software nicht auf dem Computer bzw. in der Software.
  • Erkundigen Sie sich beim Hersteller Ihrer Zahlungs-Software über zusätzliche Sicherheitsmassnahmen und aktivieren Sie die automatischen Softwareupdates.
  • Melden Sie verdächtige Zahlungen umgehend Ihrer Bank. 

Um eine Infektion mit Dridex und anderer Schadsoftware in Ihrem Unternehmen zu verhindern, empfiehlt MELANI zudem folgende Massnahmen:

  • Stellen Sie sicher, dass potenziell schädliche Email Anhänge bereits auf Ihrem Email-Gateway bzw. Spam-Filter blockiert bzw. gefiltert werden. Gefährliche Email Anhänge verwenden unter anderem folgende Dateieendungen:

            .js (JavaScript)
            .jar (Java)
            .bat (Batch file)
            .exe (Windows executable)
            .cpl (Control Panel)
            .scr (Screensaver)
            .com (COM file)
            .pif (Program Information File)
            .vbs (Visual Basic Script)
            .ps1 (Windows PowerShell)
            .wsf (Windows Script File) 
            .docm (Microsoft Word mit Makros)
            .xlsm (Microsoft Excel mit Makros)
            .pptm (Microsoft PowerPoint mit Makros)         

  • Versichern Sie sich, dass solche gefährlichen E-Mail-Anhänge auch dann blockiert werden, wenn diese in Archiv-Dateien wie Beispielsweise ZIP, RAR oder aber auch in geschützen Archiv-Dateien (z.B. in einem passwortgeschützten ZIP) an Empfänger in Ihrem Unternehmen versendet werden.
  • Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten (z.B. Word, Excel oder PowerPoint Anhänge mit Makros). 

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Bart muss Nachsitzen

Juli 26, 2016 / / Keine Kommentare

bart-618x336-edfb827cec72a5de

Nicht der gelbe Bart. Wir sprechen hier von der Ransomware Bart. Diese nimmt als erste bekannte Ransomware die Daten in Passwortgeschützen ZIP-Dateien in Gewahrsam und gibt sie so schnell nicht wieder her, bis jetzt.

AVG hat einen Decrypter für den Trojaner Bart entwickelt. Diesen sowie eine Anleitung findet man hier: AVG

Es gibt jedoch einen Knackpunkt. Das Entschlüsselungstool benötigt eine nicht verschlüsselte Datei und dessen verschlüsselten Klon.

Das Tool führt eine Analyse der unverschlüsselten und verschlüsselten Datei durch. Aufgrund dieser Analyse kann das Tool denn Algorithmus für den PkZip-Cipher herausfinden und die gefangen genommenen Daten befreien.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

No More Ransomware. Neues Onlineportal für den Kampf gegen Erpresser

Juli 26, 2016 / / Keine Kommentare

nomoreransom.org

Verschiedene Unternehmen, darunter Kaspersky, Intel Security, Europol und die niederländische Polizei, habe sich zusammengeschlossen.

Herausgekommen ist die Webseite www.nomoreransom.org. Dort wird über die verschiedenen Ransomware Arten und Familien informiert, es werden verschiedene Entschlüsselungstools bereitgestellt und es kann sogar ein Ransomware Befall an die zuständigen Behörden gemeldet werden. Ebenfalls ist es möglich, infizierte Dateien hochzuladen um herauszufinden, von welchem Virus man befallen wurde.

Interessant sind vor allem die präventiven Hinweise sowie der Q&A Bereich in welchem erklärt wird was Ransomware tut und wie man sich schützen kann.

nomoreransom.org

Ein Besuch ist www.nomoreransom.org auf jeden Fall wert.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Durch die Nutzung dieser Website erklären Sie sich mit unserer Verwendung von Cookies einverstanden. Nähere infos

Nähere infos Datenerfassung deaktivieren

© 2024 it-sicherheit.li

Theme von Anders NorénHoch ↑