Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Reply to this topicStart new topic
> NSA & PRISM sind auch bei Cyberkriminellen hoch im Kurs!
simracer
Beitrag 16.01.2014, 01:13
Beitrag #1



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.352
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 10 64 Pro 22H2
Virenscanner:
Kaspersky Free
Firewall:
GlassWire Free



ZITAT
Wieder ist in den vergangenen Tagen eine neue Variante des Lösegeld-Trojaners aufgetaucht, die sich per Drive-By-Download auf die Rechner der User installiert und sich mit einem sogenannten Popup-Fenster (Winlocker) vor den Desktop schaltet. Das Arbeiten am Rechner wird dann mit den Worten: “This computer has been locked for violating the law of the United States of America.” unterbunden.
Wie auch viele andere Varianten der Schadsoftware, versucht sie den Anschein einer Legitimation zu erheben, indem sie das Logo der “National Security Agency” bzw. des Central Security Services”. Hier wird nun gemeldet: “All activities of this computer has been recorded. All your files are encrypted. Don't try to unlock your computer”.

Quelle: http://blog.check-and-secure.com/nsa-prism...n-hoch-im-kurs/


--------------------
Go to the top of the page
 
+Quote Post
Der Moloch
Beitrag 16.01.2014, 17:55
Beitrag #2



Fühlt sich hier wohl
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 463
Mitglied seit: 31.08.2012
Wohnort: Münster
Mitglieds-Nr.: 9.419

Betriebssystem:
Win 10 Pro (x64)



Ich versuche gerade herauszufinden, was daran so besonders sein soll. Die gleiche alte Ransomware hat jetzt einen anderen Sperrbildschirm. Wahnsinn... und wenn ich jetzt mit einem Filzstift NSA auf meine Schuhe male, gibt es dann eine Schlagzeile "Die NSA folgt mir auf Schritt und Tritt"? Langweilig...


--------------------
Eine Stunde FleischmannTV rettet einen Quadratkilometer wertvoller Geröllwüste.
Go to the top of the page
 
+Quote Post
simracer
Beitrag 16.01.2014, 18:06
Beitrag #3


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.352
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 10 64 Pro 22H2
Virenscanner:
Kaspersky Free
Firewall:
GlassWire Free



Da ist wohl auch nichts Besonderes dran ausser das die Sperrbildschirme geändert wurden Richtung Prism und NSA aber auch diese Ransoms werden wieder genug User erschrecken und Angst einjagen die davon betroffen sind.


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 16.01.2014, 18:43
Beitrag #4



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



Hype, mehr nicht.

Die meisten dieser Ransoms sind eh dynamisch, werden sie in einem deutschen IP Raum aktiv zeigen sie einen deutschen Sperrbildschirm, in Polen einen polnischen etc. Nichts neues zum Glück, die Locker sind da weitaus gefährlicher.


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
simracer
Beitrag 17.01.2014, 20:12
Beitrag #5


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.352
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 10 64 Pro 22H2
Virenscanner:
Kaspersky Free
Firewall:
GlassWire Free



Wollte deswegen nicht einen extra Thread starten. Dieses bösartige File: https://www.virustotal.com/de/file/e581670c...sis/1389985298/ ist wohl eine Ecke "schlauer" und meiner Meinung nach gefährlicher als die bekannten GVU/BKA Ransoms. Warum meine Behauptung? wird das File ausgeführt und nicht vom installierten AV erkannt, erscheint auch kurz ein überwiegend weiß gehaltener Sperrbildschirm in dem etwas steht das man Urheberrechte verletzt habe und der PC bzw. Windows nun gesperrt wird und im Gegensatz zu den bekannten GVU/BKA Ransoms kann man das mit loadit infizierte System nicht in den 3 Abgesichtern Modi starten. Alle 3 Versuche Windows im Abgesicherten Modus zu starten(mit XP ausprobiert)scheiterten und ich nahm dann die Paragon Boot CD und spielte ein Backup ein das ich ein paar Stunden vorher erstellt habe.


--------------------
Go to the top of the page
 
+Quote Post
simracer
Beitrag 20.01.2014, 21:49
Beitrag #6


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.352
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 10 64 Pro 22H2
Virenscanner:
Kaspersky Free
Firewall:
GlassWire Free



Alle paar Tage(oder noch öfters?)werden wohl neue Files/Varianten dieser Ransoms hochgeladen unter der Adresse die ich von einem User bekam. Beispiele:
ZITAT
https://www.virustotal.com/de/file/e581670c...sis/1390242485/
SHA256: e581670ca2fec839faa7a4ef4110ff9bb27a3a164cf5d24ae1fb2cd4f5e33f99


ZITAT
https://www.virustotal.com/de/file/03ff4434...sis/1390242526/
SHA256: 03ff4434021340620256f8a1b4bf95319cb0e315517a754c669a078f6bca1fa5


Der Beitrag wurde von simracer bearbeitet: 20.01.2014, 21:49


--------------------
Go to the top of the page
 
+Quote Post
simracer
Beitrag 23.01.2014, 23:42
Beitrag #7


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.352
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 10 64 Pro 22H2
Virenscanner:
Kaspersky Free
Firewall:
GlassWire Free



Was für Infektionen kann denn so ein loadit.exe Ransom File verursachen? zum Beispiel so etwas:
ZITAT
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2014.01.23.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
:: [Administrator]

23.01.2014 19:48:41
mbam-log-2014-01-23 (19-48-41).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 279069
Laufzeit: 4 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 6
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoViewContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions|NoBrowserContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoViewContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions|NoBrowserContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\\desktop\loadit.exe (Trojan.Autoit) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\\Startmenü\Programme\Autostart\ja.lnk (Trojan.Winlock.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Aber selbst nach dieser Bereinigung konnte mein System immer noch nicht im Abgesicherten Modus gestartet werden und das seltsame bei dem jetzigen File war: es kam direkt nach der Ausführung des Files zwar ein weißer Bildschirm mit einem angeblichen Quickscan und kurz darauf eine Meldung im selbigen Bildschirm das man Urheberrechte usw verletzt habe usw und das der Computer deswegen gesperrt wurde, aber nach dem Reboot der durchgeführt wurde, kam kein GVU Sperrbildschirm wie bei den Files davor sondern das Desktopbild mit funktionierender Taskleiste und ausführbaren Programmen aber ohne jegliche Desktopverknüpfungen. Auch nach der Bereinigung mit Malwarebytes konnte das System nicht im Abgesicherten Modius gestartet werden und auch fehlten weiterhin die Desktopverknüpfungen.

Der Beitrag wurde von simracer bearbeitet: 23.01.2014, 23:43


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 24.01.2014, 00:00
Beitrag #8



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



Löschen ist eben nicht immer Bereinigung und automatische Tools ala Malwarebytes und AVs haben es nicht immer so mit echter Bereinigung. Vor allem wenn sie nicht alles finden. Also nicht wundern wenn etwas nicht funktioniert.

Spektakulär ist von den angezeigten Funden aber nichts. Wer natürlich ein veraltetes Xp mit Adminrechten nutzt braucht sich nicht wundern wenn kinderleicht Berechtigungen verbogen werden können. Um dies zu machen braucht es dann keine Malware, ich könnte dir in weniger als einer halbe Stunde eine Batch schreiben die dasselbe anstellt...

Dass der abgesicherte Modus nicht funktioniert war bei den Ransoms vor knapp 2 Jahren Standard, nur die letzten Varianten waren da gnädiger. Also auch unspektakulär.

Deaktivere aber wenigstens die Internetverbindung (Kabel raus) wenn du schon auf einem echten System mit Malware zu spielen versuchst.

Denn:
- vor dem, was zur Laufzeit passieren kann, davor retten dich auch Images nicht.
- Mögliche Einträge in deinem Adressbuch sind dir dankbar
- du wirst (wie bei manchen Malwareaktivitäten) keinen Ärger mit deinem Provider bekommen
...


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
simracer
Beitrag 24.01.2014, 00:38
Beitrag #9


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.352
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 10 64 Pro 22H2
Virenscanner:
Kaspersky Free
Firewall:
GlassWire Free



ZITAT
Spektakulär ist von den angezeigten Funden aber nichts. Wer natürlich ein veraltetes Xp mit Adminrechten nutzt braucht sich nicht wundern wenn kinderleicht Berechtigungen verbogen werden können. Um dies zu machen braucht es dann keine Malware, ich könnte dir in weniger als einer halbe Stunde eine Batch schreiben die dasselbe anstellt...

Hab ich geschrieben das es spektakuläre Funde wären? Und warum ich immer noch XP einsetze und nicht Win7 oder Win8/8.1 das hat seine Gründe die ich garantiert hier nicht nenne die aber ein Admin eines anderen Forums kennt.
ZITAT
Dass der abgesicherte Modus nicht funktioniert war bei den Ransoms vor knapp 2 Jahren Standard, nur die letzten Varianten waren da gnädiger. Also auch unspektakulär.

Bei den BKA/GVU Ransoms die ich bisher hatte, funktionierte der Abgesicherte normale Modus nicht, der Abgesicherte Modus mit Eingabeaufforderung funtionierte, der Abgesicherte Modus mit Netzwerktreibern funktionierte nicht mit dem Benutzerkonto auf dem die Infektion stattfand. Der Abgesicherte normale Abgesicherte Modus und der mit Netzwerktreibern funktionierte jeweils wenn man ein anderes Benutzerkonto(zum Beispiel bei XP das Administrator Konto)auswählte.
Bei den jetzigen loadit Ransoms funktionieren alle 3 Abgesicherte Modi von XP nicht.


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 24.01.2014, 08:54
Beitrag #10



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



Nicht spektakluär, aber:
ZITAT(simracer @ 17.01.2014, 20:11) *
... ist wohl eine Ecke "schlauer" und meiner Meinung nach gefährlicher als die bekannten GVU/BKA Ransoms. ...


Und nein, nichts bisher nicht dagewesenes.

Warum du auf XP bist ist mir egal, aber das ist entscheident dafür das Infektionen hohe Chancen haben.


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
simracer
Beitrag 24.01.2014, 11:34
Beitrag #11


Threadersteller

Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.352
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 10 64 Pro 22H2
Virenscanner:
Kaspersky Free
Firewall:
GlassWire Free



ZITAT
... ist wohl eine Ecke "schlauer" und meiner Meinung nach gefährlicher als die bekannten GVU/BKA Ransoms. ...

Die Behauptung hatte ich aufgestellt weil es eben nicht möglich war Windows in einem der 3 Abgesicherten Modi zu booten und weil mehr nfektionen aufs System kamen wie man anhand des Malwarebytes Scans sieht. Vorher hatte ich hier halt "nur" Ransoms bei denen man noch das System im Abgesicherten Modus mit Eingabeaufforderung starten konnte und die weniger Infektionen aufs System brachten.
ZITAT
Warum du auf XP bist ist mir egal, aber das ist entscheident dafür das Infektionen hohe Chancen haben.

Sind persönliche Gründe und ich weiß selbst das XP weniger Schutzfunktionen bietet als die neueren Windowsversionen.


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 24.01.2014, 15:15
Beitrag #12



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(simracer @ 24.01.2014, 11:33) *
Die Behauptung hatte ich aufgestellt weil es eben nicht möglich war Windows in einem der 3 Abgesicherten Modi zu booten und weil mehr nfektionen aufs System kamen...


Ich sehe nicht mehr Infektionen: 2 Autostarteinträge sind mehr oder weniger Standard für Ransoms und was man an den Berechtigungen deaktiviert ist alles ein Aufwasch: ob ich da 3 deaktiviere oder alle möglichen...egal.


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 28.03.2024, 09:37
Impressum