it-sicherheit.li

News rund um IT-Sicherheit

Autor: dbargetze_834duc9p (Seite 6 von 6)

Neues Design für Jigsaw Ransomware

Juli 29, 2016 / / Keine Kommentare

Taken from BleepingComputer.com

Taken from BleepingComputer.com

Michael Gillespie hat eine Neue Variante der Jigsaw Ransomware entdeckt. Dieses mal wir ein Anonymous Theme als Hintergrund für die Verschlüsselungsmeldung benutzt. Der neue Hintergrund zeigt nun den Leitspruch „We are Anonymous. We Are Legion. We do not forget. We do not forgive. Expect us.“ Die gute Nachricht, Michaels Jigsaw Decrypter wurde bereits einem Update unterzogen.  Diese Variante der Ransomware verschlüsselt die Daten mit AEs Verschlüsselung.

Die Ransomware installiert sich in das Verzeichnis %UserProfile%AppData\Local\MS\app_roaming.exe und erstellt dort eine Autorun Datei namens Microsoft Defender. Somit ist der Prozess nicht auf den ersten Blick als Gefährlich ersichtlich. Beim Start wird eine Meldung angezeigt in welcher darauf hingewiesen wird dass ein Scan ausgeführt wird. Diese Meldung kann mit OK bestätigt werden. Während des „scan“ werden die Daten verschlüsselt und mit der Endung .xyz versehen. Um die Daten wieder zu bekommen, verlangen die Erpresser 250$

Unten ist die komplette Meldung ersichtlich.

Taken from BleepingComputer.com

Taken from BleepingComputer.com

Mit dem Decrypter ist es möglich die verschlüsselten Daten wiederherzustellen.

Ebenfalls sollten Benutzer, welche bemerkt haben das sich Jigsaw ans Werk gemacht hat, denn Prozess app_roaming.exe im Taskmanager stoppen

Facebooktwittergoogle_plusredditpinterestlinkedinmail

SysAdmin Day 2016

Juli 28, 2016 / / Keine Kommentare

Es  ist wieder soweit.  Zum 17 mal darf gefeiert werden.

Der SysAdmin Day ist da, am Freitag dem 29. 07.2016 darf allen Systemadministratoren gedankt werden.

 

Für was soll ich den Admins danken?

Für alles was Sie denn ganzen Tag so tun.

Sie halten eure Systeme am laufen, helfen bei Druckerproblemen, lassen ausgesperrte User wieder arbeiten, usw…

 

Und wie kann ich meinem SysAdmin danken?

Ganz einfach, sag mal danke oder noch besser:

  • Ice Cream
  • Pizza
  • Cola
  • Kaffee
  • RedBull
  • oder was der Admin halt sonst noch gerne hat.

Weitere Informationen zum SysAdmin Day findet ihr hier

 

Für alle Admins und Kollegen: Einen frohen SysAdmin Day 2016

8x6k0fv5CKi8Jg

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Locky Sprössling „Zepto“

Juli 27, 2016 / / Keine Kommentare

photo-1454165205744-3b78555e5572

Sicherheitsforscher haben einen, beängstigenden Anstieg von Spam E-Mails mit verseuchten Anhängen, festgestellt. Die meisten dieser Anhänge enthalten den Locky Spross Zepto.

Das Team von Cisco Talos hat innerhalb von vier Tagen über 137`731 E-Mails mit Zepto Anhängen festgestellt.

Die E-Mails sind sehr gut gemacht. Es wird der Anschein erweckt dass man den Absender persönlich kennt. Man wird mit dem Vornamen angesprochen und gebeten den Anhang zu öffnen.

Wurde der Anhang geöffnet, läuft das JavaScript basierende Tool im Hintergrund und beginnt die Dateien zu verschlüsseln. Die Dateien bekommen die Endung .zepto.

Einige untersuchten Proben kommunizierten mit einem einzelnen C&C Server andere mit bis zu neun verschiedenen Domains.

Sobald die Verschlüsselung beendet ist wird eine Meldung angezeigt auf dem über die Verschlüsselung und die Zahlungsart informiert wird.

 

Bisher ist noch keine Entschlüsselung für Zepto bekannt.

Vor Zepto kann man sich nur schützen wenn man alle Systeme und Programme up-to-date hält und Mails mit gebührendem Respekt bearbeitet.

Gewisse Tools und Hilfsmittel können eine Infektion vorbeugen, wie z.B. AMP (Advanced Malware Protection), CWS oder WSA (Web Scanner zum auffinden von gefährlichen Webseiten) , IPS und NGFW sowie Botnet Detection und APT-Blocker.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Dridex erneut auf Beutezug

Juli 27, 2016 / / Keine Kommentare

Quelle: MELANI

Wie die Melde- und Analysestelle fürInformationssicherheit MELANI meldet sind wieder vermehrt Fälle von Dridex Infektionen gemeldet worden.

Dridex wendet sich an Offline-Zahlungsprogramme und benutzt diese um Überweisungen an dritte zu tätigen.

Bei den gemeldeten Fällen wurde versucht, gleich mehrere Zahlungen innerhalb kürzester Zeit zu tätigen.

Verbreitet wird Dridex vor allem über Mails mit  Office Dokumente welche mit Makros versehen sind und von vermeintlichen legitimen Absendern kommen.

Nach der Infektion sucht der Trojaner nach Offline Zahlungs-Software. Findet Dridex solche Software wird weitere Schadsoftware aus dem Internet nachgeladen, diese führt die Zahlungen schlussendlich aus.

Software folgender Hersteller ist betroffen:

Abacus
Abrantix
Alphasys
Argo-Office
Bellin
Cashcomm
CoCoNet
Crealogix
Epsitec
financesuite
Financesuite
Macrogram
Mammut
Mmulticash
Moneta
Multiversa
Myaccessweb
Omikron
Quatersoft
Softcash
Softcrew
Starmoney
Trinity

Die Tipps von MELANI zur Prävention sind:

  • Verwenden Sie für offline Zahlungs-Software und eBanking einen dedizierten Computer, auf welchem Sie nicht im Internet surfen oder Emails empfangen.
  • Verwenden Sie für die Visierung von Zahlungen eine Kollektivunterschrift über einen Zweitkanal (z.B. eBanking). Erkundigen Sie sich bei Ihrer Bank über entsprechende Möglichkeiten.
  • Falls Sie einen Hardware-Token (z.B. Smart Card, USB-Dongle) verwenden, entfernen Sie diesen nach Gebrauch der Zahlungs-Software.
  • Speichern Sie Zugangsdaten (Vertragsnummer, Passwort, etc.) für eBanking und Zahlungs-Software nicht auf dem Computer bzw. in der Software.
  • Erkundigen Sie sich beim Hersteller Ihrer Zahlungs-Software über zusätzliche Sicherheitsmassnahmen und aktivieren Sie die automatischen Softwareupdates.
  • Melden Sie verdächtige Zahlungen umgehend Ihrer Bank. 

Um eine Infektion mit Dridex und anderer Schadsoftware in Ihrem Unternehmen zu verhindern, empfiehlt MELANI zudem folgende Massnahmen:

  • Stellen Sie sicher, dass potenziell schädliche Email Anhänge bereits auf Ihrem Email-Gateway bzw. Spam-Filter blockiert bzw. gefiltert werden. Gefährliche Email Anhänge verwenden unter anderem folgende Dateieendungen:

            .js (JavaScript)
            .jar (Java)
            .bat (Batch file)
            .exe (Windows executable)
            .cpl (Control Panel)
            .scr (Screensaver)
            .com (COM file)
            .pif (Program Information File)
            .vbs (Visual Basic Script)
            .ps1 (Windows PowerShell)
            .wsf (Windows Script File) 
            .docm (Microsoft Word mit Makros)
            .xlsm (Microsoft Excel mit Makros)
            .pptm (Microsoft PowerPoint mit Makros)         

  • Versichern Sie sich, dass solche gefährlichen E-Mail-Anhänge auch dann blockiert werden, wenn diese in Archiv-Dateien wie Beispielsweise ZIP, RAR oder aber auch in geschützen Archiv-Dateien (z.B. in einem passwortgeschützten ZIP) an Empfänger in Ihrem Unternehmen versendet werden.
  • Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten (z.B. Word, Excel oder PowerPoint Anhänge mit Makros). 

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Bart muss Nachsitzen

Juli 26, 2016 / / Keine Kommentare

bart-618x336-edfb827cec72a5de

Nicht der gelbe Bart. Wir sprechen hier von der Ransomware Bart. Diese nimmt als erste bekannte Ransomware die Daten in Passwortgeschützen ZIP-Dateien in Gewahrsam und gibt sie so schnell nicht wieder her, bis jetzt.

AVG hat einen Decrypter für den Trojaner Bart entwickelt. Diesen sowie eine Anleitung findet man hier: AVG

Es gibt jedoch einen Knackpunkt. Das Entschlüsselungstool benötigt eine nicht verschlüsselte Datei und dessen verschlüsselten Klon.

Das Tool führt eine Analyse der unverschlüsselten und verschlüsselten Datei durch. Aufgrund dieser Analyse kann das Tool denn Algorithmus für den PkZip-Cipher herausfinden und die gefangen genommenen Daten befreien.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

No More Ransomware. Neues Onlineportal für den Kampf gegen Erpresser

Juli 26, 2016 / / Keine Kommentare

nomoreransom.org

Verschiedene Unternehmen, darunter Kaspersky, Intel Security, Europol und die niederländische Polizei, habe sich zusammengeschlossen.

Herausgekommen ist die Webseite www.nomoreransom.org. Dort wird über die verschiedenen Ransomware Arten und Familien informiert, es werden verschiedene Entschlüsselungstools bereitgestellt und es kann sogar ein Ransomware Befall an die zuständigen Behörden gemeldet werden. Ebenfalls ist es möglich, infizierte Dateien hochzuladen um herauszufinden, von welchem Virus man befallen wurde.

Interessant sind vor allem die präventiven Hinweise sowie der Q&A Bereich in welchem erklärt wird was Ransomware tut und wie man sich schützen kann.

nomoreransom.org

Ein Besuch ist www.nomoreransom.org auf jeden Fall wert.

Facebooktwittergoogle_plusredditpinterestlinkedinmail
Neuere Beiträge

Durch die Nutzung dieser Website erklären Sie sich mit unserer Verwendung von Cookies einverstanden. Nähere infos

Nähere infos Datenerfassung deaktivieren

© 2025 it-sicherheit.li

Theme von Anders NorénHoch ↑