it-sicherheit.li

News rund um IT-Sicherheit

Monat: September 2016 (Seite 2 von 2)

Nullbyte Ransomware anstatt NecroBot Pokemon Go

September 2, 2016 / / Keine Kommentare

Pokemon Go ist toll, man geht raus an die Frische Luft und sucht kleine Digitale Monster. Manche Leute finden jedoch das Laufen und die Frische Luft nicht so toll. Für die gibt es Bots. Diese laufen für die User, natürlich nur virtuell, umher und fangen Pokemon. Da lies auch ein Erpresser-Trojaner nicht lange auf sich warten.

Nullbyte Ransomware stopft nun diese, nicht so wichtige Lücke.

Die Ransomware ist als Github Project NecroBot getarnt und auch nach dem öffnen und starten sieht man keinen Unterschied.

Fake NecroBot Github Page

Nach dem Starten werden Logindaten abgefragt. Egal ob diese richtig oder gefälscht sind, der Trojaner sendet die Daten an seinen C&C Server. Anschliessend wird die Verschlüsslung gestartet.

Nach dem Abschluss der Verschlüsselung wird ein Bild angezeigt mit der Meldung das die Daten verschlüsselt wurden und ein Lösegeld von 0.1 Bitcoins zu zahlen ist.

Nullbyte Ransomware verschlüsselt die folgenden Ordner:

%USERPROFILE%\Documents
%USERPROFILE%\Downloads
%USERPROFILE%\Favorites
%USERPROFILE%\Pictures
%USERPROFILE%\Music
%USERPROFILE%\Videos
%USERPROFILE%\Contacts
%USERPROFILE%\Desktop

Ebenfalls werden die Prozesse von Chrome, CMD, Firefox, iexplorer und Opera beendet um die Suche nach Hilfe zu erschweren. Zum Schluss wird noch ein Screenshot des Desktops zum C&C Server hochgeladen, für was dieser Screenshot benutzt wird ist noch nicht klar.  

Dank Michael Gillespie gibt es jedoch schon ein Entschlüsselungs-Tool. Die Anleitung dazu findet ihr hier.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Phantom der Windows Updates

September 1, 2016 / / Keine Kommentare

Fantom Ransomware Header

Windows Updates sind was gutes. Sie schliessen Sicherheitslücken und geben uns neue Features.

Doch es geht auch anders. Ein neuer Erpressertrojaner gibt sich als Sicherheitsupdate für Windows aus und wiegt so die Benutzer in Sicherheit.

Wie BleepingComputer berichtet basiert der Trojaner auf dem EDA2 Ransomware Projekt. Durch die Ransomware wird ein gefälschtes Windows Update Bild eingeblendet, man vermutet dass Windows Updates installiert werden.

Fake Windows Update Screen

Die Prozent anzeige funktioniert sogar wirklich, es wird angezeigt wie viel Prozent Daten bereits verschlüsselt wurden.

Sogar die Datei Eigenschaften geben an dass es sich um ein Windows Update handelt.

File Properties

Wenn der Trojaner ausgeführt wird. öffnet dieser ein Programm das WindowsUpdate.exe Heist, dieses generiert den oben gezeigten Update-Screen und überdeckt somit alle Aktivitäten im Hintergrund. Mit CTRL+F4 kann der Update-Screen geschlossen werden und man erhält die normale Windows Oberfläche wieder, der Trojaner verschlüsselt jedoch weiterhin sämtliche Daten.

Die verschlüsselten Dateien werden mit der Erweiterung .fantom versehen.

Zum Abschluss erscheint die alt bekannte Mitteilung der „Erpresserbrief“

Ransom Note

 

Ebenfalls wird die Datei DECRYPT_YOUR_FILES.HTML in jedem Ordner mit verschlüsselten Dateien abgelegt und die Schattenkopien sowie das gefakte Update gelöscht.

Facebooktwittergoogle_plusredditpinterestlinkedinmail
Neuere Beiträge

Durch die Nutzung dieser Website erklären Sie sich mit unserer Verwendung von Cookies einverstanden. Nähere infos

Nähere infos Datenerfassung deaktivieren

© 2025 it-sicherheit.li

Theme von Anders NorénHoch ↑