it-sicherheit.li

News rund um IT-Sicherheit

Schlagwort: Ransomware

Altes in neuem Kleid

März 22, 2017 / / Keine Kommentare

Eine altbekannte Ransomware zeigt sich wieder auf dem Parkett.
Crypt0l0cker ist wieder unterwegs. Ist aber komplett neu gekleidet. Virenscanner erkennen noch nicht alle das es sich hier um eine Ransomware handelt.
VirusTotal zeigt 41 von 61 Scanner erkennen die .exe als Gefährlich.
Crypt0l0cker lässt sich nicht lumpen. Nach dem Abspeichern des Trojaners in AppData Roaming wir fröhlich angefangen das Benutzerprofil zu verschlüsseln. Auch Netzlaufwerke werden verschlüsselt. Nur bei Schattenkopien hört Crypt0l0cker auf. Das ist auch die schnellste Variante, die verschlüsselten Daten wieder herzustellen. Freude dem der Schattenkopien aktiviert hat. Wer keine Schattenkopien aktiv hat, sieht sich dem Resotre aus dem Backup gegenüber. Schwierig ist dies vor allem da Crypt0l0cker nicht alle Dateien verschlüsselt. Das einzelne zurückholen von Daten aus dem Backup ist eine langwierige Prozedur die sich jedoch lohnt.
Folgende Dateiendungen werden nicht verschlüsselt:
exe,dll,sys,vdx,vxd,com,msi,scr,cpl,bat,cmd,lnk,url,log,log2,tmp,ini,chm,manifest,inf,html,
txt,bmp,ttf,png,ico,gif,mp3,wav,avi,theme,evtx,folder,kdmp

Hier noch ein Link zu TALOS
Sie haben eine komplette Analyse des neuen Crypt0l0ckers durchgeführt.
Auch diese Ransomware zeigt wie wichtig es ist ein gutes funktionierendes Backup zu haben. Im Moment gibt es kein Tool dass die Dateien wieder entschlüsseln kann.

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Locky wie früher aber ganz neu.

November 29, 2016 / / Keine Kommentare

{CAPTION}

Locky ist wohl noch lange nicht tot. Gerade eben wurde es etwas ruhiger,
man konzentrierte sich mehr auf böse IoT-Geräte und schwups. Locky hat
eine neue Endung. Neu verschlüsselt Locky nun mit .zzzzz das ist leider
nicht zum schnarchen sondern hält uns sehr auf Trap. Wie Bleepincomputer
berichtet wird Locky jedoch immer noch über gefälschte Rechnungen als
Mailanhang verbreitet. Der Betreff besteht meistens aus folgendem Text
Order #[random_numbers] und mit einem Anhang mit diesem Titel
order_[target_name].zip Im ZIP File ist eine Java Script Datei welche
Locky ausführt.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Locky in neuem Gewand

September 27, 2016 / / Keine Kommentare


Eine neue Variante des Locky Trojaners ist aufgetaucht. Die Daten werden nun mit der Endung .ODIN verschlüsselt. Dies hilft Locky natürlich zur Verschleierung da es auf den ersten Blick so aussieht als wurde man von der Ransomware ODIN infiziert. Auch Locky mit seiner neuen .ODIN Endung wird vorwiegend über SPAM E-Mails verteilt. Wenn der Empfänger einen Doppelklick auf den Anhang macht, ladet Locky einen verschlüsselten DLL installer herunter und führt diesen mithilfe der Rundll32.exe aus. Einmal ausgeführt verschlüsselt Locky sämtliche Files des betroffenen Rechners sowie weitere Netzlaufwerke und verbundene USB Speichergeräte oder sogar Cloud Dienste. Die Dateien auf den Geräten werden umbenennt und mit der Dateiendung .ODIN versehen.

Untenstehend eine Liste aller betroffenen Dateiformate:

.yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads, .adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff, .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .pst, .onetoc2, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key

Das Vorgehen ist weiterhin das selbe und auch für diese Variante von Locky gibt es kein Entschlüsselungstool

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Nullbyte Ransomware anstatt NecroBot Pokemon Go

September 2, 2016 / / Keine Kommentare

Pokemon Go ist toll, man geht raus an die Frische Luft und sucht kleine Digitale Monster. Manche Leute finden jedoch das Laufen und die Frische Luft nicht so toll. Für die gibt es Bots. Diese laufen für die User, natürlich nur virtuell, umher und fangen Pokemon. Da lies auch ein Erpresser-Trojaner nicht lange auf sich warten.

Nullbyte Ransomware stopft nun diese, nicht so wichtige Lücke.

Die Ransomware ist als Github Project NecroBot getarnt und auch nach dem öffnen und starten sieht man keinen Unterschied.

Fake NecroBot Github Page

Nach dem Starten werden Logindaten abgefragt. Egal ob diese richtig oder gefälscht sind, der Trojaner sendet die Daten an seinen C&C Server. Anschliessend wird die Verschlüsslung gestartet.

Nach dem Abschluss der Verschlüsselung wird ein Bild angezeigt mit der Meldung das die Daten verschlüsselt wurden und ein Lösegeld von 0.1 Bitcoins zu zahlen ist.

Nullbyte Ransomware verschlüsselt die folgenden Ordner:

%USERPROFILE%\Documents
%USERPROFILE%\Downloads
%USERPROFILE%\Favorites
%USERPROFILE%\Pictures
%USERPROFILE%\Music
%USERPROFILE%\Videos
%USERPROFILE%\Contacts
%USERPROFILE%\Desktop

Ebenfalls werden die Prozesse von Chrome, CMD, Firefox, iexplorer und Opera beendet um die Suche nach Hilfe zu erschweren. Zum Schluss wird noch ein Screenshot des Desktops zum C&C Server hochgeladen, für was dieser Screenshot benutzt wird ist noch nicht klar.  

Dank Michael Gillespie gibt es jedoch schon ein Entschlüsselungs-Tool. Die Anleitung dazu findet ihr hier.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Phantom der Windows Updates

September 1, 2016 / / Keine Kommentare

Fantom Ransomware Header

Windows Updates sind was gutes. Sie schliessen Sicherheitslücken und geben uns neue Features.

Doch es geht auch anders. Ein neuer Erpressertrojaner gibt sich als Sicherheitsupdate für Windows aus und wiegt so die Benutzer in Sicherheit.

Wie BleepingComputer berichtet basiert der Trojaner auf dem EDA2 Ransomware Projekt. Durch die Ransomware wird ein gefälschtes Windows Update Bild eingeblendet, man vermutet dass Windows Updates installiert werden.

Fake Windows Update Screen

Die Prozent anzeige funktioniert sogar wirklich, es wird angezeigt wie viel Prozent Daten bereits verschlüsselt wurden.

Sogar die Datei Eigenschaften geben an dass es sich um ein Windows Update handelt.

File Properties

Wenn der Trojaner ausgeführt wird. öffnet dieser ein Programm das WindowsUpdate.exe Heist, dieses generiert den oben gezeigten Update-Screen und überdeckt somit alle Aktivitäten im Hintergrund. Mit CTRL+F4 kann der Update-Screen geschlossen werden und man erhält die normale Windows Oberfläche wieder, der Trojaner verschlüsselt jedoch weiterhin sämtliche Daten.

Die verschlüsselten Dateien werden mit der Erweiterung .fantom versehen.

Zum Abschluss erscheint die alt bekannte Mitteilung der „Erpresserbrief“

Ransom Note

 

Ebenfalls wird die Datei DECRYPT_YOUR_FILES.HTML in jedem Ordner mit verschlüsselten Dateien abgelegt und die Schattenkopien sowie das gefakte Update gelöscht.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Ransomware aus dem dritten Reich

August 8, 2016 / / Keine Kommentare

Ein neuer Ransomware Virus ist in der Entwicklungsphase aufgetaucht.

Der einfallslose und makabere Name lautet „Hitler-Ransomware“ oder wie es auf dem Lock-Screen angezeigt wird „Hitler-Ransonware“.

Diese Version wurde vom AVG Maleware-Analyst Jakub Kroustek entdeckt und analysiert.

Der Lock-Screen zeigt Hitler und den Status der verschlüsselten Dateien. Es wird eine 25€ Vodafone Karte verlangt, resp. denn Code.

Dieser Virus verschlüsselt die Daten auch nicht direkt, er entfernt die Dateiendungen und zeigt den oben gezeigten Lock-Screen. Nachdem der 1 Stunde andauernde Countdown abgelaufen ist wird der Computer zum Absturz gebracht und zeigt einen BSOD an. Nach dem Neustart werden sämtliche Daten unter %UserProfile% gelöscht.

Die Entwickler scheinen Deutsch zu sein, wenigstens schreiben Sie in Deutsch.

Das ist ein Test
besser gesagt ein HalloWelt
copyright HalloWelt 2016
:d by CoolNass
Ich bin ein Pro
fuer Tools für Windows

Dieser Ransomware-Virus ist noch in der Entwicklung, jedoch können wir uns bereits auf sein Auftreten, vermehrt im Deutschen Sprachgebiet, bereitmachen.

Hitler-Ransomware wird bereits von mehreren AV-Programmen erkannt.

2016-08-08_20h34_43

 

 

 

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Neues Design für Jigsaw Ransomware

Juli 29, 2016 / / Keine Kommentare

Taken from BleepingComputer.com

Taken from BleepingComputer.com

Michael Gillespie hat eine Neue Variante der Jigsaw Ransomware entdeckt. Dieses mal wir ein Anonymous Theme als Hintergrund für die Verschlüsselungsmeldung benutzt. Der neue Hintergrund zeigt nun den Leitspruch „We are Anonymous. We Are Legion. We do not forget. We do not forgive. Expect us.“ Die gute Nachricht, Michaels Jigsaw Decrypter wurde bereits einem Update unterzogen.  Diese Variante der Ransomware verschlüsselt die Daten mit AEs Verschlüsselung.

Die Ransomware installiert sich in das Verzeichnis %UserProfile%AppData\Local\MS\app_roaming.exe und erstellt dort eine Autorun Datei namens Microsoft Defender. Somit ist der Prozess nicht auf den ersten Blick als Gefährlich ersichtlich. Beim Start wird eine Meldung angezeigt in welcher darauf hingewiesen wird dass ein Scan ausgeführt wird. Diese Meldung kann mit OK bestätigt werden. Während des „scan“ werden die Daten verschlüsselt und mit der Endung .xyz versehen. Um die Daten wieder zu bekommen, verlangen die Erpresser 250$

Unten ist die komplette Meldung ersichtlich.

Taken from BleepingComputer.com

Taken from BleepingComputer.com

Mit dem Decrypter ist es möglich die verschlüsselten Daten wiederherzustellen.

Ebenfalls sollten Benutzer, welche bemerkt haben das sich Jigsaw ans Werk gemacht hat, denn Prozess app_roaming.exe im Taskmanager stoppen

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Durch die Nutzung dieser Website erklären Sie sich mit unserer Verwendung von Cookies einverstanden. Nähere infos

Nähere infos Datenerfassung deaktivieren

© 2024 it-sicherheit.li

Theme von Anders NorénHoch ↑