Verschlüsselungs-Trojaner Variante Einstellungen

[Virusscanner]

Kaum zu glauben, dass immer noch jemand auf solche Mails herein fällt.

Das von mir verlinkte Forum spricht für sich. Es scheint, als gäbe es solche "Jemande" zuhauf. Und gerade in Kleinstbetrieben kann es schnell passieren, dass man eine Mail öffnet, nur weil die angehängte Datei sich brav Faktura schimpft. Getreu dem Motto "Wenn man tausend Mal vorher unbeschadet eine Warnung weggeklickt hat, wird auch beim tausend und ersten Mal doch nichts passieren.".

Der Beitrag wurde von Virusscanner bearbeitet: 20.12.2015, 17:02

[Virusscanner]

Ich will euch noch wissen lassen, dass die Daten meines Bekannten mit der Hilfe des Forum-Mitglieds BloodDolly kostenlos entschlüsselt wurden. Für den Fall, dass in eurem Bekanntenkreis jemand zum Opfer wird, tretet mit ihm auf BleepingComputer in Kontakt.

[Solution-Design]

Hat dir dein Bekannter zufällig verraten, wie er die Malware auf den PC bekommen hat?

Edit: Frage deshalb, weil ich es mir nur schwer vorstellen kann...

- Outlook-Vorschau, per "Bearbeitung aktivieren"
- Email-Anhang öffnen
- Email-Anhang entzippen
- Word-Datei öffnen
- Makros aktivieren

Der Beitrag wurde von Solution-Design bearbeitet: 27.12.2015, 15:52

[Virusscanner]

Hat dir dein Bekannter zufällig verraten, wie er die Malware auf den PC bekommen hat?

Edit: Frage deshalb, weil ich es mir nur schwer vorstellen kann...

- Outlook-Vorschau, per "Bearbeitung aktivieren"
- Email-Anhang öffnen
- Email-Anhang entzippen
- Word-Datei öffnen
- Makros aktivieren

Er hat die Malware auf einem Mac bekommen und "nicht öffnen können". dann auf den PC weitergeleitet und den Anhang angeklickt, da war's schon geschehen. Avast hat keine Reaktion gezeigt. Die Mail ging ursprünglich an verschiedene Empfänger und er kannte die anderen Empfänger.

Du musst dir das nicht vorstellen können. Lies dich im Forum durch und du wirst sehen, dass auch versiertere PC-User den TeslaCrypt eingefangen haben. Hat in seinem Fall mit Word nichts zu tun, war eine .js Datei.

[Solution-Design]

Ich kann es mir immer noch nicht vorstellen. Mit einer js-Datei alleine machst du gar nichts. In der VM habe ich mir aus meinem Spamfilter eine *.doc heruntergeladen, welche aber nach Entpacken und Ausführen und zig Warnmeldungen seitens Office, dazu noch die UAC aufgerufen hat.

Sorry, irgendwie habe ich das Gefühl, das es sich kaum um einen versierten/erfahrenen Benutzer handeln kann. Zig Warnmeldungen wegklicken will schon was heißen.

[Virusscanner]

Du interpretierst da was, was nicht war. Keine Warnmeldungen. Von .doc war nicht die Rede. Von Word auch nicht. Es wurde weiter vorn im Thread erwähnt. Es ist eine .js Datei.

Ich habe nie gesagt, dass es ein in Bezug auf Malware sonderlich versierter User ist, aber da waren keine Warnmeldungen. Er wäre so ehrlich, und würde dies unverschämt zugeben.

Also, willst du nochmals mit .doc und Word kommen?

The group behind TeslaCrypt focused on individual users at first, but in this campaign the targets are mainly companies in Northern Europe.
Analyses of the TeslaCrypt saw that the ransomware uses the Angler exploit kit as a distribution vector. By using Angler’s sophisticated techniques to avoid antivirus detection, TeslaCrypt can achieve a high infection rate for the targeted computers.
TeslaCrypt comes a .js file which retrieves TeslaCrypt from several compromised web pages.
When the Javascript (.js) file is ran, the malicious code connects to different URLs to download the main ransomware component.

Weder Firewall noch AV haben irgend einen Logeintrag. Also hat das Teil als Trojaner seinen Dienst, wie von den Programmierern vorgesehen, verrichtet.

Der Beitrag wurde von Virusscanner bearbeitet: 27.12.2015, 23:57

[scu]

Mit einer js-Datei alleine machst du gar nichts.

Wie kommst du zu dieser Annahme? Die .js Dateien die gerade im Umlauf sind laden nach Ausführung eine .exe herunter und starten diese.
Auch wenn ich mich da wiederhole, es handelt sich dort nicht um JavaScript Dateien die im Browser geöffnet werden, sondern um JScript und die wird direkt vom Betriebssystem geöffnet.
Das ist genauso gefährlich wie eine .exe direkt zu öffnen.

[Solution-Design]

Wie kommst du zu dieser Annahme? Die .js Dateien die gerade im Umlauf sind laden nach Ausführung eine .exe herunter und starten diese.
Auch wenn ich mich da wiederhole, es handelt sich dort nicht um JavaScript Dateien die im Browser geöffnet werden, sondern um JScript und die wird direkt vom Betriebssystem geöffnet.
Das ist genauso gefährlich wie eine .exe direkt zu öffnen.

Ja, ist wie eine *.bat zu starten...darauf komme? Keine Ahnung; um deine Frage zu beantworten. Vielleicht lag es daran, dass ich solche Kleinigkeiten von jeher per registry unterbinde. Zumindest auf allen PCs, welche mir unter die Finger kommen. Wird Zeit, das wish bald beerdigt wird. Unter Powershell gibt es diese Sorgen nicht.

Habe gerade die Reg im privaten Tool-Verzeichnis herausgesucht. Denke mal, mit diesen Einträgen als Standard gesetzt, wären gewisse Nur-Benutzer etwas vorsichtiger.  Windows_Script_Host_Sig_Check.zip ( 703Byte ) Anzahl der Downloads: 14

[Gast_GerhardKO_*]

Umgeht jeden Virenscanner: Trojaner bedroht Windows, OS X und Linux


http://www.chip.de/news/Umgeht-jeden-Viren...x_87796897.html

[scu]

Umgeht jeden Virenscanner: Trojaner bedroht Windows, OS X und Linux


http://www.chip.de/news/Umgeht-jeden-Viren...x_87796897.html

CHIP mal wieder auf ganz hohem Niveau...
Fast jede neue Malware hat am ersten Tag eine geringe Erkennungsrate. Deshalb gibt es ja Behavior Blocker und ähnliche Schutzmodule.

https://www.virustotal.com/de/file/01d3becf...2944a/analysis/
https://www.virustotal.com/de/file/9b9bfaeb...4b010/analysis/

Edit:
Der Artikel von Heise ist wesentlich sachlicher und besser:
http://www.heise.de/security/meldung/Erste...er-3060409.html

Wer technische Details möchte und vor der englischen Sprachen nicht zurückschreckt kann hier mehr nachlesen:
http://blog.emsisoft.com/2016/01/01/meet-r...ipt-ransomware/


Der Beitrag wurde von scu bearbeitet: 06.01.2016, 10:22

[Clinton]

Den Blog kann man auf Deutsch umstellen.

http://blog.emsisoft.com/2016/01/01/meet-r...ipt-ransomware/