Erpressungstrojaner im Web per Mausklick zusammenstellen und präparierte Word-Makros und Windows-Hilfe-Dateien zur Verbreitung erhalten — das bieten die Drahtzieher hinter der Ransomware Satan. Über das Tor-Netzwerk geht das mittels Webinterface. 30% Provision werden fällig für die Nutzung. Erste Scanner erkennen die Bedrohung, doch es gibt noch keine Entwarnung. Details im Blogbeitrag.
Kryptotrojaner mit Wurmfunktion gesichtet
Es war nur eine Frage der Zeit, jetzt ist es also soweit. Microsoft warnt vor einem neuen Kryptotrojaner namens ZCryptor. Dieser nimmt sich Dateien mit über 80 Dateiendungen vor. Besonders unangenehm: zusätzlich nistet sich ZCryptor in die Autostart-Routinen eingesteckter USB-Sticks und USB-Laufwerke ein. Somit kann sich der Trojaner bei Nutzung dieser Speicher an anderen Geräten auf diese Systeme ebenfalls verbreiten.
Einen Befall erkennen Sie an der Dateiendung .zcrypt. Aktuell ist noch kein Tool zum Entschlüsseln verfügbar. Betroffen sind ausschließlich Windows-Systeme. Wer es bisher noch nicht getan hat, sollte spätestens jetzt seine Backup-Strategie prüfen und anpassen. Und bitte nicht vergessen, Recovery-Tests durchzuführen. Das beste Backup hilft nichts, wenn es sich später nicht wiederherstellen läßt. Erfolgsprotokolle der Backup-Software sind alleine nicht ausreichend.
RannohDecryptor wirkungslos gegen neue Version von CryptXXX
Wer bisher von der Ransomware CryptXXX heimgesucht wurde, hatte Glück. Das Tool RannohDecryptor half bisher mit wenigen Klicks und die Verschlüsselung war Geschichte. In der neuesten Version des Kryptotrojaners CryptXXX ist das nun nicht mehr möglich.
Sofern Sie von einer früheren Version von CryptXXX befallen wurden, können Sie sich mit dem von Kaspersky entwickelten Tool RannohDecryptor (Webseite von Kaspersky Link im Blogbeitrag) behelfen.
Rathaus Markt Schwaben durch Krypto-Trojaner verschlüsselt
Am 28.04.2016 ist es passiert. Ein unvorsichtiger Klick durch einen oder mehrere Mitarbeiter und einer der bekannten Krypto-Trojaner wurde im Rathaus Markt Schwaben (Bayern) aktiv. Der Befall wurde am frühen Donnerstagmorgen bereits bemerkt und der zuständige Systemadministrator hat sofort erste Schritte zur Eindämmung und Ursachenanalyse eingeleitet. Oberstes Ziel ist es jetzt, den Ursprung zu lokalisieren, zu isolieren und zu entfernen. Am Freitag den 29.04.2016 blieb das Rathaus nach zuvor offizieller Ankündigung geschlossen. Glücklicherweise sind wohl nur vereinzelte Rechner betroffen. Auch aktuelle Virenschutzsoftware konnte den Befall nicht verhindern.
Atomkraftwerk Grundremmingen: PC mit Malware verseucht
Im Rahmen der gesetzlichen Meldepflicht informierte der Betreiber RWE des Atomkraftwerkes Grundremmingen das Bundesamt für Sicherheit in der Informationstechnik (BSI) über einen mit Malware befallenen Computer im Bereich der Brennstab-Beladung. Installiert wurde das System bereits 2008. Details sind noch keine bekannt, eine Analyse wird derzeit noch durchgeführt.
Online-Banker aufgepasst, Banking-Trojaner Retefe ist wieder da
Banking-Trojaner Retefe “is back in town”. Österreich, Schweiz, Schweden und Japan sind von einer erneuten Welle des bereits seit 2014 bekannten Banking-Trojaners Retefe betroffen. Die Gefahr kommt per Spam-Email samt Zip-Anhang mit integriertem JavaScript. Dieses lädt den Schadcode nach, installiert ein Sicherheitszertifikat und einen DNS Server. Über die so manipulierte Webverbindung in Verbindung mit einer untergeschobenen Android-App zum Abgreifen von Banking-SMS steht den Angreifern der Zugriff auf das Online-Konto offen.
Petya-Trojaner ist geknackt, Passwort-Generator verfügbar
Petya geknackt, Passwort-Generator online veröffentlicht. Handhabung etwas tricky. Entschlüsselung soll funktionieren.
Krypto-Trojaner Petya kommt via Dropbox und verschlüsselt ganze Festplatten
Krypto-Trojaner Petya kommt via Dropbox und verschlüsselt ganze Festplatten. Getarnt als Bewerbung wird Schadcode installiert, der nicht einzelne Dateien verschlüsselt, sondern den Master Boot Record der Festplatte manipuliert. Eine zusätzliche Verschlüsselung des ganzen Dateisystems kann nicht ausgeschlossen werden. Lösegeld aktuell 0,99 Bitcoins, ca. 380 Euro für die Freigabe des Systems.
Mitarbeiter Awareness: Schutz vor Krypto-Trojanern
Kostenfreies Handout (1 Seite) zur Mitarbeitersensibilisierung im Umgang mit Email-Anhängen und Ausführen von Makro-Code in Anbetracht der aktuellen Bedrohungslage durch Locky, Teslacrypt und weiterer Ransomware.
Teslacrypt 4.0 mit Bugfixes und Neuerungen im Umlauf
Teslacrypt 4.0 im Umlauf, Verteilung erfolgt zur Zeit über Drive-by-Downloads. Teslacrypt 4.0 verschlüsselt nach ersten Erkenntnissen nun auch Dateien größer 4 Gigabyte und hängt keine zusätzliche Dateiendung mehr an.