Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

5 Seiten V  < 1 2 3 4 > »   
Reply to this topicStart new topic
> Ransomsoftware
simracer
Beitrag 22.05.2012, 16:30
Beitrag #21


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.899
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 Prof.
Virenscanner:
Avast



ZITAT
Die Screenshots sehen bisher nach einem Fake AV aus, von Ransomware sehe ich noch nichts.

SLE, du hast aber schon mitgelesen was ich geschrieben habe als ich den Thread eröffnete:
ZITAT
lauert ein Fake/Ransomsoftware der Microsoft Seecurity Essentials imitiert und einem anzeigt das das System infiziert sei.
wink.gif Da ich nicht genau wusste ob es ein Fake oder Ransomsoftware ist(wo ist da eigentlich genau der Unterschied?)habe ich den Satz zu Anfang entspechend so verfasst.


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 22.05.2012, 16:37
Beitrag #22



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.994
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



Lass mir mal das Sample zukommen.

ZITAT(simracer @ 22.05.2012, 17:29) *
SLE, du hast aber schon mitgelesen was ich geschrieben habe als ich den Thread eröffnete:

Ja, was unpräzises, v.a. im Titel biggrin.gif

ZITAT(simracer @ 22.05.2012, 17:29) *
Fake oder Ransomsoftware ist(wo ist da eigentlich genau der Unterschied?)


Fake: Verarsche.
Programm täuscht etwas vor, was es nicht ist oder nicht macht.
Tut z.B. so als wäre es ein AV, findet angebliche Bedrohungen und will das Dumme es kaufen. Mehr nicht. Der Unterschied zu Tuningtools ist also marginal..
Oder böses Fake, lädt Malware nach, ist selbst ein Trojaner etc. ...

Ransom: Erpressung.
Verweigert dem Nutzer den Zugang zum Rechner bzw. zu bestimmten Dateien, oft gepaart mit Verschlüsselung. Geld gegen Freischaltcode. Neuere bekannte Fälle heißen im Volksmund BKA-Trojaner oder GEMA-Trojaner...

Der Beitrag wurde von SLE bearbeitet: 22.05.2012, 16:38


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
simracer
Beitrag 22.05.2012, 16:50
Beitrag #23


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.899
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 Prof.
Virenscanner:
Avast



Weißt du was SLE wink.gif wenn das: fertig ist, werde ich Avast und Comodo deaktivieren und das Fake(oder isses doch Ransom biggrin.gif )mal ausführen und hoffe, das ich dabei Screenshots erstellen kann biggrin.gif


--------------------
Go to the top of the page
 
+Quote Post
simracer
Beitrag 22.05.2012, 16:52
Beitrag #24


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.899
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 Prof.
Virenscanner:
Avast



ZITAT(SLE @ 22.05.2012, 17:36) *
Lass mir mal das Sample zukommen.


Ja, was unpräzises, v.a. im Titel biggrin.gif



Fake: Verarsche.
Programm täuscht etwas vor, was es nicht ist oder nicht macht.
Tut z.B. so als wäre es ein AV, findet angebliche Bedrohungen und will das Dumme es kaufen. Mehr nicht. Der Unterschied zu Tuningtools ist also marginal..
Oder böses Fake, lädt Malware nach, ist selbst ein Trojaner etc. ...

Ransom: Erpressung.
Verweigert dem Nutzer den Zugang zum Rechner bzw. zu bestimmten Dateien, oft gepaart mit Verschlüsselung. Geld gegen Freischaltcode. Neuere bekannte Fälle heißen im Volksmund BKA-Trojaner oder GEMA-Trojaner...

Aber egal ob Fake oder Ransomsoftware, bei beiden ist Windows erstmal unbrauchbar. Zumindest sind in dem Punkt beide "Bösewichter" gleich und lästig und ärgerlich für den User der an eines der beiden gerät.


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 22.05.2012, 16:57
Beitrag #25



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.994
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(simracer @ 22.05.2012, 17:51) *
Aber egal ob Fake oder Ransomsoftware, bei beiden ist Windows erstmal unbrauchbar.

Nein, bei den meisten Fake Programmen eben nicht.


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
simracer
Beitrag 22.05.2012, 17:00
Beitrag #26


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.899
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 Prof.
Virenscanner:
Avast



Mal gucken was nachher passiert. Wir hatten hier aber schon Fakes, da war ein Arbeiten unter Windows nicht mehr oder fast nicht mehr möglich. Ausserdem ist ne PN zu dir unterwegs.


--------------------
Go to the top of the page
 
+Quote Post
simracer
Beitrag 22.05.2012, 17:39
Beitrag #27


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.899
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 Prof.
Virenscanner:
Avast



Ein erster "Zwischenbericht"(vom PCmeiner Frau):Wenn das Fake aktiv ist, lässt sich dieComodo Firewall nicht mehr starten/einschalten. Versuche ich den FF oder IE zu starten klappt das manchmal, manchmal aber auch nicht und nach kurzer Zeit kappt/beendet das Fake dieBrowser. Malwarebytes Free lässt sich unter Windows nicht starten aber Avast Free und mit letzterem kann ich auch OnDemand Scans machen. Im Abgesicherten Modus ohne Netzwerktreiber ist Malwarebytes Free ebenfalls nicht zu starten und auch Emergency Kit kannn nicht gestartet werden. Eine Schnelle Überprüfung mit Avast im Abgesicherten Modus brachte keine Infektionen/Funde zutage. Ein paar erstellte Bilder des Fakes stelle ich nachher ein.


--------------------
Go to the top of the page
 
+Quote Post
simracer
Beitrag 22.05.2012, 18:30
Beitrag #28


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.899
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 Prof.
Virenscanner:
Avast



Die Bilder die ich vom Fake AV machte:


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 22.05.2012, 19:54
Beitrag #29



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.994
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



Auf Win7 (x86) funktioniert das Ding nicht:
Schreibt sich unter anderem Namen in den Benutzerordner und löscht die Hauptdatei dann selbst. Anschließend crasht es (auch mit deaktiviertem DEP/SEHOP/ASLR) - keine weiteren Aktivitäten (Registry oder Netzwerk)

Angehängte Datei  2012_05_22_190309.jpg ( 174.79KB ) Anzahl der Downloads: 17




--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
simracer
Beitrag 23.05.2012, 19:27
Beitrag #30


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.899
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 Prof.
Virenscanner:
Avast



Ergänzend dazu: Als das Fake AV auf meinem System aktiv war, hatte es auch meine Steam Installation samt meinen Rennsimulationen die per steam installiert sind auf der Partition D erwischt und von Steam war eine Netzwerkkomponente beschädigt so das Steam nicht mehr gestartet werden konnte. steam konnte nicht repariert werden und eine Neuinstallation schlug auch fehl, also musste ich auch ein Backup/Image der Partition D zurückspielen.


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 23.05.2012, 20:02
Beitrag #31



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.994
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(simracer @ 23.05.2012, 20:26) *
Ergänzend dazu: Als das Fake AV auf meinem System aktiv war, hatte es auch meine Steam Installation ...


Das es direkt die Installation angegriffen hat glaube ich nicht...wenn dann evtl. global was an den Netzwerkeinstellungen. Aber generell schade, dass du es nicht protokollieren kannst was das Ding ungefähr anstellt.
Obwohl: Wenn du dich mit dein Comodo bedienen kannst und die Ausführung erlaubst (AV/Cloudeinstufung ignorieren, den Rest komplett auf fragen stellen und alles erlauben) könnte man anhand der Popups zumindest bei den von CIS überwachten Aktionen etwas Einblick erhalten.

Mein XP-VM ist derzeit beschädigt, sonst hätte ich es schnell mal selbst unter Xp angeschaut. Der ThreatExpert Bericht zeigt leider auch nichts anderes als meine Analyse auf Win7.


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
olli
Beitrag 24.05.2012, 16:47
Beitrag #32



Ist unverzichtbar
Gruppensymbol

Gruppe: Freunde
Beiträge: 5.255
Mitglied seit: 30.11.2003
Wohnort: Dortmund
Mitglieds-Nr.: 242

Betriebssystem:
Windows 10 Prof 64Bit
Virenscanner:
GData/ MS Defender
Firewall:
Router/ Windows 10



Moin zusammen,

Eset blockt die Seite auch sofort. Ich habe keine Chance die Datei herunterzuladen.

Bis denne
Olli


--------------------
...und sonst bin ich mit einem VW T3 oder einer V-Strom unterwegs...
Go to the top of the page
 
+Quote Post
SLE
Beitrag 24.05.2012, 17:14
Beitrag #33



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.994
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(olli @ 24.05.2012, 17:46) *
Eset blockt die Seite auch sofort. Ich habe keine Chance die Datei herunterzuladen.


Dumme veraltete Blacklist eben, eine nicht mehr existierende Seite wird geblockt.

___

Generell funktioniert das Fake nur auf dem ollen XP.
Schnelldurchlauf: kopiert sich in die Anwendungsdaten, knallt sich in den Autostart, deaktiviert ein paar AV Programme (im Bsp. Defender), und verändert die Internetzoneneinstellungen, so dass die Browser nicht mehr funzen...
Wenn man den Prozess beendet und das Teil aus dem Autostart nimmt kann man wieder Herr seines Systems werden.
detaillierter: Angehängte Datei  fake.txt ( 6.58KB ) Anzahl der Downloads: 8


Führt man es aus (ggf. Signaturerkennung deaktivieren) sollte jeder einigermaßen vernünftige BB meckern/blockieren.

Der Beitrag wurde von SLE bearbeitet: 24.05.2012, 17:25


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
simracer
Beitrag 24.05.2012, 17:19
Beitrag #34


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.899
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 Prof.
Virenscanner:
Avast



Stimmt was SLE schreibt: die Seite ist nicht mehr aufrufbar.

Der Beitrag wurde von simracer bearbeitet: 24.05.2012, 17:26


--------------------
Go to the top of the page
 
+Quote Post
Rios
Beitrag 27.05.2012, 09:37
Beitrag #35



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 4.240
Mitglied seit: 12.06.2004
Mitglieds-Nr.: 984

Betriebssystem:
Windows 10



Guten Tag, und allen hier ein schönes Pfingstfest

Diese Ransom Geschichte artet zur Zeit heftig aus. Die User in anderen Foren, melden teilweise im Tagesrythmus derartige Infektionen. Sie scheinen auch immer raffinierter, und angepasster was die Sprache bzw. Schrift, sowie die Entschlüsselung zu werden.

Da kommt auf die Security Leute einige Arbeit in Sachen Gegenmaßnahmen zu, sprich Entschlüsseln, falls dem Teil deren Überlistung gelingt. Die gegenwärtigen Tools scheinen nur noch bedingt zu greifen. Die Ansteckungsgefahr durch Ransom, ist mittlerweile auch recht variabel geworden. ph34r.gif
Go to the top of the page
 
+Quote Post
aido
Beitrag 28.05.2012, 10:21
Beitrag #36



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.492
Mitglied seit: 21.12.2008
Mitglieds-Nr.: 7.287

Betriebssystem:
Arch, Win 8 Pro
Virenscanner:
EAM
Firewall:
Win



ZITAT(Rios @ 27.05.2012, 10:36) *
Da kommt auf die Security Leute einige Arbeit in Sachen Gegenmaßnahmen zu, sprich Entschlüsseln, falls dem Teil deren Überlistung gelingt. Die gegenwärtigen Tools scheinen nur noch bedingt zu greifen. Die Ansteckungsgefahr durch Ransom, ist mittlerweile auch recht variabel geworden. ph34r.gif



Vor allem aber weil man dem Nutzer damit vorgaukeln will, dass eine Entschlüsselung/Beseitigung noch möglich ist. Grundsätzlich ist bei einem Befall immer ein zurückspielen eines Backups die sicherste Lösung.


--------------------
System: Intel Core2 Duo, Broadcom NetXtreme II GB-LAN, 4 TB, 8 GB Corsair, Zotac GTX275
-------------------------------------------------------------------------------------------------------------
serpent's embrace
Chas Computer Club Sabayon Linux Das Fedora Projekt Computerguard Wilders Security 28C3 behind enemy lines

The White Stripes: http://www.youtube.com/watch?v=0J2QdDbelmY
frei.Wild: http://www.youtube.com/watch?v=CYxrCtFlXEA
Go to the top of the page
 
+Quote Post
simracer
Beitrag 28.05.2012, 10:25
Beitrag #37


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.899
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 Prof.
Virenscanner:
Avast



ZITAT(aido @ 28.05.2012, 11:20) *
Vor allem aber weil man dem Nutzer damit vorgaukeln will, dass eine Entschlüsselung/Beseitigung noch möglich ist. Grundsätzlich ist bei einem Befall immer ein zurückspielen eines Backups die sicherste Lösung.

Und da liegt leider oftmals der berühmte Hund begraben aido wink.gif sehr viele Nutzer(vor allem ausserhalb von Foren wie diesem)haben kein Systembackup das zurückgespielt werden könnte.


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 28.05.2012, 10:38
Beitrag #38



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.994
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(aido @ 28.05.2012, 11:20) *
Vor allem aber weil man dem Nutzer damit vorgaukeln will, dass eine Entschlüsselung/Beseitigung noch möglich ist. Grundsätzlich ist bei einem Befall immer ein zurückspielen eines Backups die sicherste Lösung.


Du wirfst aber 2 Sachen in einen Topf: Eine Entschlüsselung ist eben oft möglich, vorher sollte man natürlich eine Beseitigung der Schadsoftware versuchen.
Klar ist ein Image das sicherste, aber wichtige Dateien die nach Image-Erstellung erstelt wurden versuchen durch Entschlüsselung zusätzlich zu retten kann manchmal sehr relevant sein.



--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
simracer
Beitrag 28.05.2012, 11:00
Beitrag #39


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.899
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 Prof.
Virenscanner:
Avast



Festzuhalten bleibt leider das sich diese Ransomsoftware(varianten)zu einer richtigen Plage entwickelt haben und immer raffinierter werden ph34r.gif


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 28.05.2012, 11:55
Beitrag #40



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.994
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(Rios @ 27.05.2012, 10:36) *
Sie scheinen auch immer raffinierter, und angepasster was die Sprache bzw. Schrift, sowie die Entschlüsselung zu werden.
...


Es gibt dafür Baukästen, von günstig bis teuer - auch abhängig davon was man zusätzlich noch an Malware mitbringen möchte.
Über GeoIP wird dann das infizierte System lokalisiert und die länderspezifische Anzeige des Sperrbildschirms geladen, so dass der Nutzer seinen passenden Ransom erhält.

Bsp. 1
Bsp. 2

Ok, hat jetzt aber alles nichts mehr mit dem ursprünglichen FakeAV zu tun.



--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post

5 Seiten V  < 1 2 3 4 > » 
Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 28.06.2017, 02:59
Impressum