it-sicherheit.li

News rund um IT-Sicherheit

Kategorie: Ransomware (Seite 2 von 2)

Neues Design für Jigsaw Ransomware

Juli 29, 2016 / / Keine Kommentare

Taken from BleepingComputer.com

Taken from BleepingComputer.com

Michael Gillespie hat eine Neue Variante der Jigsaw Ransomware entdeckt. Dieses mal wir ein Anonymous Theme als Hintergrund für die Verschlüsselungsmeldung benutzt. Der neue Hintergrund zeigt nun den Leitspruch „We are Anonymous. We Are Legion. We do not forget. We do not forgive. Expect us.“ Die gute Nachricht, Michaels Jigsaw Decrypter wurde bereits einem Update unterzogen.  Diese Variante der Ransomware verschlüsselt die Daten mit AEs Verschlüsselung.

Die Ransomware installiert sich in das Verzeichnis %UserProfile%AppData\Local\MS\app_roaming.exe und erstellt dort eine Autorun Datei namens Microsoft Defender. Somit ist der Prozess nicht auf den ersten Blick als Gefährlich ersichtlich. Beim Start wird eine Meldung angezeigt in welcher darauf hingewiesen wird dass ein Scan ausgeführt wird. Diese Meldung kann mit OK bestätigt werden. Während des „scan“ werden die Daten verschlüsselt und mit der Endung .xyz versehen. Um die Daten wieder zu bekommen, verlangen die Erpresser 250$

Unten ist die komplette Meldung ersichtlich.

Taken from BleepingComputer.com

Taken from BleepingComputer.com

Mit dem Decrypter ist es möglich die verschlüsselten Daten wiederherzustellen.

Ebenfalls sollten Benutzer, welche bemerkt haben das sich Jigsaw ans Werk gemacht hat, denn Prozess app_roaming.exe im Taskmanager stoppen

Facebooktwittergoogle_plusredditpinterestlinkedinmail

SysAdmin Day 2016

Juli 28, 2016 / / Keine Kommentare

Es  ist wieder soweit.  Zum 17 mal darf gefeiert werden.

Der SysAdmin Day ist da, am Freitag dem 29. 07.2016 darf allen Systemadministratoren gedankt werden.

 

Für was soll ich den Admins danken?

Für alles was Sie denn ganzen Tag so tun.

Sie halten eure Systeme am laufen, helfen bei Druckerproblemen, lassen ausgesperrte User wieder arbeiten, usw…

 

Und wie kann ich meinem SysAdmin danken?

Ganz einfach, sag mal danke oder noch besser:

  • Ice Cream
  • Pizza
  • Cola
  • Kaffee
  • RedBull
  • oder was der Admin halt sonst noch gerne hat.

Weitere Informationen zum SysAdmin Day findet ihr hier

 

Für alle Admins und Kollegen: Einen frohen SysAdmin Day 2016

8x6k0fv5CKi8Jg

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Locky Sprössling „Zepto“

Juli 27, 2016 / / Keine Kommentare

photo-1454165205744-3b78555e5572

Sicherheitsforscher haben einen, beängstigenden Anstieg von Spam E-Mails mit verseuchten Anhängen, festgestellt. Die meisten dieser Anhänge enthalten den Locky Spross Zepto.

Das Team von Cisco Talos hat innerhalb von vier Tagen über 137`731 E-Mails mit Zepto Anhängen festgestellt.

Die E-Mails sind sehr gut gemacht. Es wird der Anschein erweckt dass man den Absender persönlich kennt. Man wird mit dem Vornamen angesprochen und gebeten den Anhang zu öffnen.

Wurde der Anhang geöffnet, läuft das JavaScript basierende Tool im Hintergrund und beginnt die Dateien zu verschlüsseln. Die Dateien bekommen die Endung .zepto.

Einige untersuchten Proben kommunizierten mit einem einzelnen C&C Server andere mit bis zu neun verschiedenen Domains.

Sobald die Verschlüsselung beendet ist wird eine Meldung angezeigt auf dem über die Verschlüsselung und die Zahlungsart informiert wird.

 

Bisher ist noch keine Entschlüsselung für Zepto bekannt.

Vor Zepto kann man sich nur schützen wenn man alle Systeme und Programme up-to-date hält und Mails mit gebührendem Respekt bearbeitet.

Gewisse Tools und Hilfsmittel können eine Infektion vorbeugen, wie z.B. AMP (Advanced Malware Protection), CWS oder WSA (Web Scanner zum auffinden von gefährlichen Webseiten) , IPS und NGFW sowie Botnet Detection und APT-Blocker.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Bart muss Nachsitzen

Juli 26, 2016 / / Keine Kommentare

bart-618x336-edfb827cec72a5de

Nicht der gelbe Bart. Wir sprechen hier von der Ransomware Bart. Diese nimmt als erste bekannte Ransomware die Daten in Passwortgeschützen ZIP-Dateien in Gewahrsam und gibt sie so schnell nicht wieder her, bis jetzt.

AVG hat einen Decrypter für den Trojaner Bart entwickelt. Diesen sowie eine Anleitung findet man hier: AVG

Es gibt jedoch einen Knackpunkt. Das Entschlüsselungstool benötigt eine nicht verschlüsselte Datei und dessen verschlüsselten Klon.

Das Tool führt eine Analyse der unverschlüsselten und verschlüsselten Datei durch. Aufgrund dieser Analyse kann das Tool denn Algorithmus für den PkZip-Cipher herausfinden und die gefangen genommenen Daten befreien.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

No More Ransomware. Neues Onlineportal für den Kampf gegen Erpresser

Juli 26, 2016 / / Keine Kommentare

nomoreransom.org

Verschiedene Unternehmen, darunter Kaspersky, Intel Security, Europol und die niederländische Polizei, habe sich zusammengeschlossen.

Herausgekommen ist die Webseite www.nomoreransom.org. Dort wird über die verschiedenen Ransomware Arten und Familien informiert, es werden verschiedene Entschlüsselungstools bereitgestellt und es kann sogar ein Ransomware Befall an die zuständigen Behörden gemeldet werden. Ebenfalls ist es möglich, infizierte Dateien hochzuladen um herauszufinden, von welchem Virus man befallen wurde.

Interessant sind vor allem die präventiven Hinweise sowie der Q&A Bereich in welchem erklärt wird was Ransomware tut und wie man sich schützen kann.

nomoreransom.org

Ein Besuch ist www.nomoreransom.org auf jeden Fall wert.

Facebooktwittergoogle_plusredditpinterestlinkedinmail
Neuere Beiträge

Durch die Nutzung dieser Website erklären Sie sich mit unserer Verwendung von Cookies einverstanden. Nähere infos

Nähere infos Datenerfassung deaktivieren

© 2025 it-sicherheit.li

Theme von Anders NorénHoch ↑