Die meisten Ransomware Viren verschwinden nicht einfach so, es gibt aber zum Glück ausnahmen.
Wildfire ist eine davon. Wie Kaspersky in seinem Blog berichtet.
Die National High Tech Crime Unit der Niederländischen Polizei konnte einen Command and Control Server mit über 5800 Entschlüsselung-Schlüssel ausfindig machen und von Netz nehmen. Der Server wurde ersetzt und gibt nun Meldungen an die Betroffenen weiter wo das Entschlüsselungstool herunterzuladen ist.
Wildfire war ein, vor allem in den Niederlanden, verbreiteter Ransomware Virus. Es wurden 300$ für die Entschlüsselung gefordert. Nach 8 Tagen wurde die Summer verdreifacht. Das macht Wildfire zu einer der „teuersten“ Ransomware.
Kaspersky konnte mit den gefunden Schlüsseln ein Decrypter Tool Programmieren das auf nomoreransom.org zum Download bereit steht.
Pokemon Go ist in aller Munde oder besser gesagt, auf allen Smartphones. Auf allen? Windows Phone User schauen beim Pokemon Go Hype in die Röhre.
Es gibt jedoch immer mehr User die Pokemon Go Apps finden und auch installieren. Leider bringt keine der angebotenen Apps den gewünschten Spielspass. Manche sorgen mehr für Ärger.
Ein Ransomware Virus, der sich als Pokemon Go App tarnt, greift Windows Phone`s an.
Der Trojaner fordert nicht nur Lösegeld für verschlüsselte Daten sondern hinterlässt auch eine Hintertür im Betriebssystem offen, Dafür legt der Trojaner einen Admin-Benutzer mit dem Namen Hack3r an und versteckt diesen in der Registry. Damit können Hacker auch später noch auf das Smartphone zugreifen.
Vorerst ist der Virus auf Arabisch geschrieben und daher vermutlich auf die Arabischen Länder angepasst.
Ihr geht gemütlich die Strasse lang, plötzlich seht Ihr einen USB-Stick auf dem Gehweg liegen. Würdet Ihr diesen aufnehmen und bei euch einstecken?
48% befragten Personen würden diesen Stick mitnehmen und einstecken. Das trotz des Wissens das 30% aller Malware Infektionen auf USB-Geräte zurückzuführen ist.
Es gibt drei Arten von Gefährlichen USB-Sticks.
Social Engineering
HID Spoofing
Driver 0-Day
Social Engineering Sticks beinhalten html Dateien welche mit einem Anmeldefenster dem Benutzer Benutzername und Passwörter entlocken.
HID Spoofing Sticks geben sich als Eingabegerät aus simulieren Tastenschlägen und geben diese an den Computer weiter.
Driver 0-Day Sticks infizieren den Computer direkt mit Malware und übernehmen so das Gerät.
Wie wird so ein Stick erstellt und was beinhaltet er alles? Das könnt Ihr HIER sehen.
Danke an Elie Bursztein für seine Präsentation, die Anleitung und den Test.
Wir sollen unser Kennwort regelmässig änder, am liebsten alle 30 Tage. Doch nützten solche Regelungen wirklich etwas?
Lassen wir uns wirklich jedes mal ein neues Kennwort einfallen?
Wenn wir jeden Monat unser Kennwort ändern, verfallen wir in ein Schema um denn Passwort wechsel zu vereinfachen. Nehmen wir an unser Kennwort ist kLoh4T nächsten Monat müssen wir unser Kennwort ändern. Nun lautet es kLoh5T, kLoh5t, KloH4t, usw..
Wir werden verleitet das selbe Kennwort nur leicht abzuändern und wieder zu benutzen. Dies birg Gefahren bei Passwort-Attacken. Bei einem Test konnten 17% aller Kennwörter, welche immer dem selben Schema folgten, nach 5 Versuchen geknackt werden.
Sollten wir Kennwörter also nie ändern?
Nein. Kennwörter sollten regelmässig gewechselt werden. Es müssen aber gewisse Vorraussetzungen gegeben sein.
Das neue Kennwort sollte keine Teile des vorhergehenden Kennwort enthalten.
Kennwörter sollten nicht fortlaufend sein (z.B. Test01, Test02, Test03, usw..)
Die Laufzeit entspricht einem realistischem Zeitrahmen (90 Tage – 120 Tage)
Nach einem Angriff auf das Netzwerk sollten Kennwörter schnellst möglich geändert werden.
Wie VMware gerade bekannt gegeben hat, gibt es eine Sicherheitslücke im Produkt vRealize Log Insight.
Es besteht die Gefahr von Directory Traversal Angriffen über dieses Produkt. Durch diese Art von Angriffen können Daten und Passwörter ausgelesen und gestohlen werden.
Laut VMware gibt es keinen Workaround, nur ein Update hilft gegen die Lücke.
Hier die Auflistung der Betroffenen Versionen:
VMware Product Running Replace with/
Product Version on Severity Apply Patch Workaround
==================== ======= ======= ======== ============= ==========
vRealize Log Insight 3.x VA Moderate 3.6.0 None
vRealize Log Insight 2.x VA Moderate 3.6.0 None
VMware wurde durch Peter Nelson über die Schwachstelle Informiert und konnte schnell ein Update herausbringen.
In den VMware Produkten ESXi, Fusion, Player, Tools und Workstation sind zwei Schwachstellen aufgetaucht die vom Notfallteam des BSI als hoch eingestuft werden.
Folgend eine Auflistung der betroffenen Produkte:
VMware Fusion vor 8.1.1
VMware Player vor 12.1.1
VMWare Tools vor 10.0.6
VMware vCenter Server
VMware vCenter Server ab 6.0
VMware vCenter Server vor 6.0 Update 2
VMware Workstation vor 12.1.1
Apple Mac OS X
GNU/Linux
Microsoft Windows
VMware ESXi
VMware ESXi ab 5.0
VMware ESXi vor 5.0 ESXi500-201606102-SG
VMware ESXi ab 5.1
VMware ESXi vor 5.1 ESXi510-201605102-SG
VMware ESXi ab 5.5
VMware ESXi vor 5.5 ESXi550-201607102-SG
VMware ESXi ab 6.0
VMware ESXi vor 6.0 ESXi600-201603102-SG
VMware hat bereits Patches für die betroffenen Systeme bereitgestellt.
Über das VMware Tool „Shared Folders“ (HGFS) können DLL Hijacking Attacken ausgeführt werden. Dies kann dazu führen dass auf dem Gast System Schadcodes ausgeführt werden können.
Der Angreifer muss jedoch Zugriff erhalten, dies kann durch ein manipuliertes Mail oder Dokument erfolgen welches ein ahnungsloser Benutzer öffnet.
Die zweite Schwachstelle, welche bei ESXi und vCenter Servern vorkommt, können Angreifer XSS-Attacken (Cross-Site-Scripting) ausführen und so Benutzer auf gefälschte Webseiten locken.
Sollte das ESXi-System bereits auf dem neusten Stand sein, ist es wichtig die VMware Tools einem Update zu unterziehen um die Schwachstellen endgültig zu schliessen.
Zum Glück wurde VMware frühzeitig durch Security B.V. auf die Lücken aufmerksam gemacht und konnte in kurzer Zeit Sicherheitspatches veröffentlichen.
Ein neuer Ransomware Virus ist in der Entwicklungsphase aufgetaucht.
Der einfallslose und makabere Name lautet „Hitler-Ransomware“ oder wie es auf dem Lock-Screen angezeigt wird „Hitler-Ransonware“.
Diese Version wurde vom AVG Maleware-Analyst Jakub Kroustek entdeckt und analysiert.
Der Lock-Screen zeigt Hitler und den Status der verschlüsselten Dateien. Es wird eine 25€ Vodafone Karte verlangt, resp. denn Code.
Dieser Virus verschlüsselt die Daten auch nicht direkt, er entfernt die Dateiendungen und zeigt den oben gezeigten Lock-Screen. Nachdem der 1 Stunde andauernde Countdown abgelaufen ist wird der Computer zum Absturz gebracht und zeigt einen BSOD an. Nach dem Neustart werden sämtliche Daten unter %UserProfile% gelöscht.
Die Entwickler scheinen Deutsch zu sein, wenigstens schreiben Sie in Deutsch.
Das ist ein Test
besser gesagt ein HalloWelt
copyright HalloWelt 2016
:d by CoolNass
Ich bin ein Pro
fuer Tools für Windows
Dieser Ransomware-Virus ist noch in der Entwicklung, jedoch können wir uns bereits auf sein Auftreten, vermehrt im Deutschen Sprachgebiet, bereitmachen.
Hitler-Ransomware wird bereits von mehreren AV-Programmen erkannt.
Das Grundmuster des Social Engineering zeigt sich bei fingierten Telefonanrufen: Der Social Engineer ruft Mitarbeiter eines Unternehmens an und gibt sich als Techniker aus, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschließen. Bereits im Vorfeld hat er aus öffentlich zugänglichen Quellen oder vorangegangenen Telefonaten kleine Informationsfetzen über Verfahrensweisen, tägliches Bürogerede und Unternehmenshierarchie zusammengetragen, die ihm bei der zwischenmenschlichen Manipulation helfen, sich als Insider des Unternehmens auszugeben. Zusätzlich verwirrt er sein technisch ungebildetes Opfer mit Fachjargon, baut mit Smalltalk über scheinbar gemeinsame Kollegen Sympathie auf und nutzt Autoritätsrespekt aus, indem er droht, bei vom Opfer unterlassener Kooperation dessen Vorgesetzten stören zu müssen. Unter Umständen hat der Social Engineer bereits im Vorfeld Informationen gesammelt, dass ein bestimmter Mitarbeiter sogar wirklich technische Hilfe angefordert hat und bereits tatsächlich einen derartigen Anruf erwartet.
Trotz ihrer scheinbaren Banalität gelingen mit der Methode immer wieder spektakuläre Datendiebstähle. So gelang es einem amerikanischen Schüler 2015, den privaten E-Mail-Account des amtierenden CIA-Direktors Brennanzu öffnen und drei Tage lang darauf zuzugreifen.[1][2]
Das Problem an Social Engineering ist dass es schwierig ist zu erkennen. Social Engineere nutzen die Höflichkeit und Hilfsbereitschaft der Personen aus.
Jeder hilft gerne, vor allem wenn sich jemand meldet der dringen Hilfe benötigt da sein Job an dieser einen „Aufgabe“ hängt.
Weitere Informationen zu Social Engineering folgen in weiteren Posts.
