NSA & PRISM sind auch bei Cyberkriminellen hoch im Kurs! Einstellungen

[simracer]

Wieder ist in den vergangenen Tagen eine neue Variante des Lösegeld-Trojaners aufgetaucht, die sich per Drive-By-Download auf die Rechner der User installiert und sich mit einem sogenannten Popup-Fenster (Winlocker) vor den Desktop schaltet. Das Arbeiten am Rechner wird dann mit den Worten: “This computer has been locked for violating the law of the United States of America.” unterbunden.
Wie auch viele andere Varianten der Schadsoftware, versucht sie den Anschein einer Legitimation zu erheben, indem sie das Logo der “National Security Agency” bzw. des Central Security Services”. Hier wird nun gemeldet: “All activities of this computer has been recorded. All your files are encrypted. Don't try to unlock your computer”.

Quelle: http://blog.check-and-secure.com/nsa-prism...n-hoch-im-kurs/

[simracer]

Was für Infektionen kann denn so ein loadit.exe Ransom File verursachen? zum Beispiel so etwas:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2014.01.23.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
:: [Administrator]

23.01.2014 19:48:41
mbam-log-2014-01-23 (19-48-41).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 279069
Laufzeit: 4 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 6
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoViewContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions|NoBrowserContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoViewContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions|NoBrowserContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\\desktop\loadit.exe (Trojan.Autoit) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\\Startmenü\Programme\Autostart\ja.lnk (Trojan.Winlock.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Aber selbst nach dieser Bereinigung konnte mein System immer noch nicht im Abgesicherten Modus gestartet werden und das seltsame bei dem jetzigen File war: es kam direkt nach der Ausführung des Files zwar ein weißer Bildschirm mit einem angeblichen Quickscan und kurz darauf eine Meldung im selbigen Bildschirm das man Urheberrechte usw verletzt habe usw und das der Computer deswegen gesperrt wurde, aber nach dem Reboot der durchgeführt wurde, kam kein GVU Sperrbildschirm wie bei den Files davor sondern das Desktopbild mit funktionierender Taskleiste und ausführbaren Programmen aber ohne jegliche Desktopverknüpfungen. Auch nach der Bereinigung mit Malwarebytes konnte das System nicht im Abgesicherten Modius gestartet werden und auch fehlten weiterhin die Desktopverknüpfungen.

Der Beitrag wurde von simracer bearbeitet: 23.01.2014, 23:43