Erpressungstrojaner im Web per Mausklick zusammenstellen und präparierte Word-Makros und Windows-Hilfe-Dateien zur Verbreitung erhalten — das bieten die Drahtzieher hinter der Ransomware Satan. Über das Tor-Netzwerk geht das mittels Webinterface. 30% Provision werden fällig für die Nutzung. Erste Scanner erkennen die Bedrohung, doch es gibt noch keine Entwarnung. Details im Blogbeitrag.
Bedrohung / Presse
Kryptotrojaner Goldeneye greift gezielt Personalabteilungen an, Polizei warnt bundesweit
Verschlüsselungstrojaner “Goldeneye” greift gezielt und massiv Personalabteilungen an. Eine Bewerbung in perfektem Deutsch auf teilweise aktuelle Stellenangebote sowie unter Nennung organisationsinterner Details soll den Empfänger dazu verleiten, eine angehängte XLS Tabelle zu öffnen. Geschieht dies und ist kein Schutz vor Ausführung von Makros aktiv oder wird dieser vom Nutzer ausgehebelt, verrichtet Goldeneye seinen Dienst analog zu seinem wohl verwandten Krypto-Kollegen Petya. Als Absender werden Email-Adressen eines Ingenieurbüros genutzt, dass unter anderem Hilfe bei der Entschlüsselung von befallenen Petya-Systemen anbietet. Erfahren Sie mehr im ganzen Blog-Beitrag und sensibilisieren Sie Ihre Mitarbeiter — gerne unter Nutzung unseres Beitragstexts.
Bedrohung
Locky erhält Updates
Locky ändert seine Dateiendung von “.locky” in “.odin”. Schlimmer: Locky ist nicht mehr auf seine Steuerungsserver angewiesen. Jetzt geht der bekannte Krypto-Trojaner auch offline ans Werk. Mehr im Blogbeitrag.
Bedrohung / Schutz
Kryptotrojaner mit Wurmfunktion gesichtet
Es war nur eine Frage der Zeit, jetzt ist es also soweit. Microsoft warnt vor einem neuen Kryptotrojaner namens ZCryptor. Dieser nimmt sich Dateien mit über 80 Dateiendungen vor. Besonders unangenehm: zusätzlich nistet sich ZCryptor in die Autostart-Routinen eingesteckter USB-Sticks und USB-Laufwerke ein. Somit kann sich der Trojaner bei Nutzung dieser Speicher an anderen Geräten auf diese Systeme ebenfalls verbreiten.
Einen Befall erkennen Sie an der Dateiendung .zcrypt. Aktuell ist noch kein Tool zum Entschlüsseln verfügbar. Betroffen sind ausschließlich Windows-Systeme. Wer es bisher noch nicht getan hat, sollte spätestens jetzt seine Backup-Strategie prüfen und anpassen. Und bitte nicht vergessen, Recovery-Tests durchzuführen. Das beste Backup hilft nichts, wenn es sich später nicht wiederherstellen läßt. Erfolgsprotokolle der Backup-Software sind alleine nicht ausreichend.
Entschlüsselung / Tipps
Masterschlüssel für TeslaCrypt veröffentlicht
Laut einer Meldung von heise.de haben die Entwickler von Teslacrypt die Weiterentwicklung eingestellt und den Masterschlüssel für den Kryptotrojaner veröffentlicht. Betroffene, deren Syteme und Daten noch verschlüsselt sind, können aufatmen. Nach ersten Berichten funktioniert der Master-Key und in Verbindung mit dem Tool Tesladecoder sind alle Varianten von Teslacrypt 1 bis 4 wieder zu entschlüsseln. Links im Beitrag.
Bedrohung / Entschlüsselung / Uncategorized
RannohDecryptor wirkungslos gegen neue Version von CryptXXX
Wer bisher von der Ransomware CryptXXX heimgesucht wurde, hatte Glück. Das Tool RannohDecryptor half bisher mit wenigen Klicks und die Verschlüsselung war Geschichte. In der neuesten Version des Kryptotrojaners CryptXXX ist das nun nicht mehr möglich.
Sofern Sie von einer früheren Version von CryptXXX befallen wurden, können Sie sich mit dem von Kaspersky entwickelten Tool RannohDecryptor (Webseite von Kaspersky Link im Blogbeitrag) behelfen.
Bedrohung
Rathaus Markt Schwaben durch Krypto-Trojaner verschlüsselt
Am 28.04.2016 ist es passiert. Ein unvorsichtiger Klick durch einen oder mehrere Mitarbeiter und einer der bekannten Krypto-Trojaner wurde im Rathaus Markt Schwaben (Bayern) aktiv. Der Befall wurde am frühen Donnerstagmorgen bereits bemerkt und der zuständige Systemadministrator hat sofort erste Schritte zur Eindämmung und Ursachenanalyse eingeleitet. Oberstes Ziel ist es jetzt, den Ursprung zu lokalisieren, zu isolieren und zu entfernen. Am Freitag den 29.04.2016 blieb das Rathaus nach zuvor offizieller Ankündigung geschlossen. Glücklicherweise sind wohl nur vereinzelte Rechner betroffen. Auch aktuelle Virenschutzsoftware konnte den Befall nicht verhindern.
Schutz / Tipps
Schutz vor Krypto-Trojanern für Mac OS X: RansomWhere?
Ein Tool namens RansomWhere? soll unter Mac OS X vor Krypto-Trojanern schützen. Das Prinzip dahinter ist ziemlich einfach. Laufende Prozesse werden überwacht und sobald eine Verschlüsselungsaktivität erkannt wird, der dazugehörige Prozess angehalten. Der Anwender erteilt dem Prozess dann auf Wunsch die notwendigen Rechte zum Weiterarbeiten. Zwar ist Mac OS zur Zeit nur sehr gering dem Risiko eines Befalls durch Krypto-Trojaner ausgesetzt, deswegen können entsprechende Schutzmaßnahmen zur Abwehr nicht schaden. Download-Link und weitere Infos im Blog-Artikel.
Entschlüsselung / Technik
Petya-Trojaner ist geknackt, Passwort-Generator verfügbar
Petya geknackt, Passwort-Generator online veröffentlicht. Handhabung etwas tricky. Entschlüsselung soll funktionieren.
Bedrohung
Krypto-Trojaner Petya kommt via Dropbox und verschlüsselt ganze Festplatten
Krypto-Trojaner Petya kommt via Dropbox und verschlüsselt ganze Festplatten. Getarnt als Bewerbung wird Schadcode installiert, der nicht einzelne Dateien verschlüsselt, sondern den Master Boot Record der Festplatte manipuliert. Eine zusätzliche Verschlüsselung des ganzen Dateisystems kann nicht ausgeschlossen werden. Lösegeld aktuell 0,99 Bitcoins, ca. 380 Euro für die Freigabe des Systems.