Druckversion des Themas

Hier klicken um das Topic im Orginalformat anzusehen

Rokop Security _ Trojaner, Viren und Würmer _ Ransomsoftware

Geschrieben von: simracer 21.05.2012, 16:52

Achtung! hier: hxxp://wormsdetectionoptimizer.in/fdd91a64ce20e17d/ lauert ein Fake/Ransomsoftware der Microsoft Seecurity Essentials imitiert und einem anzeigt das das System infiziert sei. Klickt man auf Clean computer soll man eine exe(Trojaner)runterladen und diese ausführen. http://www.pic-upload.de/view-14297760/Unbenannt.jpg.html

Geschrieben von: markus17 21.05.2012, 17:29

Der Virustotalscan liefert noch eher ein mageres Ergebnis:
https://www.virustotal.com/file/733fe174d5a184339160c837758eddf15d49e00c9fd4f85c5579fdbf254921ca/analysis/1337617431/

G Data 2013 löscht das Sample direkt nach dem Ausführen über die Verhaltensanalyse. Es wird also kein Schaden angerichtet.

Geschrieben von: olli 21.05.2012, 17:39

BitDefender 2013 Beta blockt die Seiter per Clouderkennung.

Bis denne
Olli

Geschrieben von: simracer 21.05.2012, 17:42

olli, AVG hinderte mich nicht daran die Seite aufzurufen und ich habe noch nicht versucht die Ransomsoftware auszuführen.

Geschrieben von: olli 21.05.2012, 17:45

1:0 für BitDefender lmfao.gif

Bis denne
Olli

Geschrieben von: simracer 21.05.2012, 17:51

AntiLogger reagiert auch sofort wenn ich versuche die Ransomsoftware auszuführen: http://www.abload.de/image.php?img=3arcky.jpg http://www.abload.de/image.php?img=46iiq4.jpg

Geschrieben von: simracer 21.05.2012, 17:52

ZITAT(olli @ 21.05.2012, 18:44) *
1:0 für BitDefender lmfao.gif

Bis denne
Olli

Falsch..... nun steht es 1:1 tongue.gif

Geschrieben von: markus17 21.05.2012, 18:06

@olli
Damit scheint Bitdefender im Moment einer der Wenigen zu sein: smile.gif
https://www.virustotal.com/url/45c65d3948370a56adc15cdc1ed77eba3d8bb8037cac936a2c4564c9cbb00c75/analysis/1337619827/

Geschrieben von: ciacomo 21.05.2012, 18:07

Einer der wenigen yes.gif
Norton blockt die Seite.


VG

 

Geschrieben von: simracer 21.05.2012, 18:08

ZITAT
@olli
Damit scheint Bitdefender im Moment einer der Wenigen zu sein: smile.gif
https://www.virustotal.com/url/45c65d394837...sis/1337619827/

Noch ein Grund mehr für olli dem "BitDefender Urgestein" der Software weiterhin treu zu bleiben biggrin.gif

Geschrieben von: simracer 21.05.2012, 20:49

Der Avast Netzwerkschutz verhindert den Zugriff auf die Webseite: http://www.abload.de/image.php?img=xxaju21.jpg
Hat man aber schon die Ransomsoftware Datei und will diese ausführen, meldet sich die Avast Autosandbox und Comodo(ich hab Comodo FW Defense+ neben Avast Free installiert)und eine Infektion wird verhindert: http://www.pic-upload.de/view-14302706/cccc.jpg.html
Ist die Avast Autosandbox deaktiviert, reagiert nur Comodo und verhindert ebenfalls eine Infektion: http://www.pic-upload.de/view-14302735/yyyyyy.jpg.html

Geschrieben von: Kenshiro 22.05.2012, 05:16

Die Seite scheint off zu sein - ich komme nicht drauf

Geschrieben von: simracer 22.05.2012, 08:55

Nein Kenshiro, die Seite ist noch nicht off: http://www.abload.de/image.php?img=xyz20unl.jpg Ich schick dir mal die Adresse per PN.

Geschrieben von: Kenshiro 22.05.2012, 10:14

Genau das bekomme ich beim Aufruf der Seite

Geschrieben von: simracer 22.05.2012, 10:23

Mit einer Einblendung deines Virenschutz Programmes bzw deiner Firewall? wenn ja, wird der Aufruf der Seite dadurch verhindert. Siehst du ja auch bei mir: der Avast Netzwerkschutz verhindert den Zugriff auf die Webseite.

Geschrieben von: ciacomo 22.05.2012, 10:54

Nachtrag vom 21.05.2012
Kaspersky hat die Seite nicht geblockt und es kommt das selbe Fenster wie aus dem Beitrag von @simracer http://www.rokop-security.de/index.php?s=&showtopic=22050&view=findpost&p=354911.
Download der Datei auch kein Problem.
Ausführen wollte ich sie dann aber nicht.

VG

Geschrieben von: olli 22.05.2012, 12:01

Seltsam, laut VTT erkennt Kaspersky den Schädling per Signatur. Also sollte KIS Breis beim Download anschlagen.

Hat einer ESET getestet?

Bis denne
Olli

Geschrieben von: simracer 22.05.2012, 12:16

ZITAT(ciacomo @ 22.05.2012, 11:53) *
Nachtrag vom 21.05.2012
Kaspersky hat die Seite nicht geblockt und es kommt das selbe Fenster wie aus dem Beitrag von @simracer http://www.rokop-security.de/index.php?s=&showtopic=22050&view=findpost&p=354911.
Download der Datei auch kein Problem.
Ausführen wollte ich sie dann aber nicht.

VG

Hättest du die Datei ausgeführt ciacomo und Kaspersky hätte da nicht reagiert, hätte dir der Trojaner(Ransomsoftware)dein System versaut, unbrauchbar gemacht.

Geschrieben von: ciacomo 22.05.2012, 15:17

ZITAT(olli @ 22.05.2012, 14:00) *
Seltsam, laut VTT erkennt Kaspersky den Schädling per Signatur. Also sollte KIS Breis beim Download anschlagen.


Ich hatte, wie geschrieben, gestern getestet.
Kann sein, das die Signatur erst danach verfügbar war.

VG



Geschrieben von: SLE 22.05.2012, 16:17

Down?

Hat den mal jemand das Ding installiert und getestet was passiert? Außer auf AV-Signaturen basierenden Meldungen und einer dieser typischen nichtvielsagenden Meldungen über Codeinjection von Zemana erkennt man hier im Thread bisher nichts.

Die Screenshots sehen bisher nach einem Fake AV aus, von Ransomware sehe ich noch nichts.

Geschrieben von: simracer 22.05.2012, 16:30

ZITAT
Die Screenshots sehen bisher nach einem Fake AV aus, von Ransomware sehe ich noch nichts.

SLE, du hast aber schon mitgelesen was ich geschrieben habe als ich den Thread eröffnete:
ZITAT
lauert ein Fake/Ransomsoftware der Microsoft Seecurity Essentials imitiert und einem anzeigt das das System infiziert sei.
wink.gif Da ich nicht genau wusste ob es ein Fake oder Ransomsoftware ist(wo ist da eigentlich genau der Unterschied?)habe ich den Satz zu Anfang entspechend so verfasst.

Geschrieben von: SLE 22.05.2012, 16:37

Lass mir mal das Sample zukommen.

ZITAT(simracer @ 22.05.2012, 17:29) *
SLE, du hast aber schon mitgelesen was ich geschrieben habe als ich den Thread eröffnete:

Ja, was unpräzises, v.a. im Titel biggrin.gif

ZITAT(simracer @ 22.05.2012, 17:29) *
Fake oder Ransomsoftware ist(wo ist da eigentlich genau der Unterschied?)


Fake: Verarsche.
Programm täuscht etwas vor, was es nicht ist oder nicht macht.
Tut z.B. so als wäre es ein AV, findet angebliche Bedrohungen und will das Dumme es kaufen. Mehr nicht. Der Unterschied zu Tuningtools ist also marginal..
Oder böses Fake, lädt Malware nach, ist selbst ein Trojaner etc. ...

Ransom: Erpressung.
Verweigert dem Nutzer den Zugang zum Rechner bzw. zu bestimmten Dateien, oft gepaart mit Verschlüsselung. Geld gegen Freischaltcode. Neuere bekannte Fälle heißen im Volksmund BKA-Trojaner oder GEMA-Trojaner...

Geschrieben von: simracer 22.05.2012, 16:50

Weißt du was SLE wink.gif wenn das: http://www.abload.de/image.php?img=unbenanntq6u1y.jpg fertig ist, werde ich Avast und Comodo deaktivieren und das Fake(oder isses doch Ransom biggrin.gif )mal ausführen und hoffe, das ich dabei Screenshots erstellen kann biggrin.gif

Geschrieben von: simracer 22.05.2012, 16:52

ZITAT(SLE @ 22.05.2012, 17:36) *
Lass mir mal das Sample zukommen.


Ja, was unpräzises, v.a. im Titel biggrin.gif



Fake: Verarsche.
Programm täuscht etwas vor, was es nicht ist oder nicht macht.
Tut z.B. so als wäre es ein AV, findet angebliche Bedrohungen und will das Dumme es kaufen. Mehr nicht. Der Unterschied zu Tuningtools ist also marginal..
Oder böses Fake, lädt Malware nach, ist selbst ein Trojaner etc. ...

Ransom: Erpressung.
Verweigert dem Nutzer den Zugang zum Rechner bzw. zu bestimmten Dateien, oft gepaart mit Verschlüsselung. Geld gegen Freischaltcode. Neuere bekannte Fälle heißen im Volksmund BKA-Trojaner oder GEMA-Trojaner...

Aber egal ob Fake oder Ransomsoftware, bei beiden ist Windows erstmal unbrauchbar. Zumindest sind in dem Punkt beide "Bösewichter" gleich und lästig und ärgerlich für den User der an eines der beiden gerät.

Geschrieben von: SLE 22.05.2012, 16:57

ZITAT(simracer @ 22.05.2012, 17:51) *
Aber egal ob Fake oder Ransomsoftware, bei beiden ist Windows erstmal unbrauchbar.

Nein, bei den meisten Fake Programmen eben nicht.

Geschrieben von: simracer 22.05.2012, 17:00

Mal gucken was nachher passiert. Wir hatten hier aber schon Fakes, da war ein Arbeiten unter Windows nicht mehr oder fast nicht mehr möglich. Ausserdem ist ne PN zu dir unterwegs.

Geschrieben von: simracer 22.05.2012, 17:39

Ein erster "Zwischenbericht"(vom PCmeiner Frau):Wenn das Fake aktiv ist, lässt sich dieComodo Firewall nicht mehr starten/einschalten. Versuche ich den FF oder IE zu starten klappt das manchmal, manchmal aber auch nicht und nach kurzer Zeit kappt/beendet das Fake dieBrowser. Malwarebytes Free lässt sich unter Windows nicht starten aber Avast Free und mit letzterem kann ich auch OnDemand Scans machen. Im Abgesicherten Modus ohne Netzwerktreiber ist Malwarebytes Free ebenfalls nicht zu starten und auch Emergency Kit kannn nicht gestartet werden. Eine Schnelle Überprüfung mit Avast im Abgesicherten Modus brachte keine Infektionen/Funde zutage. Ein paar erstellte Bilder des Fakes stelle ich nachher ein.

Geschrieben von: simracer 22.05.2012, 18:30

Die Bilder die ich vom Fake AV machte:
http://www.abload.de/image.php?img=unbenannt3qie4.jpg http://www.abload.de/image.php?img=1oqis4.jpg http://www.abload.de/image.php?img=2xye12.jpg http://www.abload.de/image.php?img=3u1iga.jpg http://www.abload.de/image.php?img=418izo.jpg http://www.abload.de/image.php?img=5gwd93.jpg

Geschrieben von: SLE 22.05.2012, 19:54

Auf Win7 (x86) funktioniert das Ding nicht:
Schreibt sich unter anderem Namen in den Benutzerordner und löscht die Hauptdatei dann selbst. Anschließend crasht es (auch mit deaktiviertem DEP/SEHOP/ASLR) - keine weiteren Aktivitäten (Registry oder Netzwerk)



http://www.abload.de/image.php?img=20120522190355a6d57.jpg

Geschrieben von: simracer 23.05.2012, 19:27

Ergänzend dazu: Als das Fake AV auf meinem System aktiv war, hatte es auch meine Steam Installation samt meinen Rennsimulationen die per steam installiert sind auf der Partition D erwischt und von Steam war eine Netzwerkkomponente beschädigt so das Steam nicht mehr gestartet werden konnte. steam konnte nicht repariert werden und eine Neuinstallation schlug auch fehl, also musste ich auch ein Backup/Image der Partition D zurückspielen.

Geschrieben von: SLE 23.05.2012, 20:02

ZITAT(simracer @ 23.05.2012, 20:26) *
Ergänzend dazu: Als das Fake AV auf meinem System aktiv war, hatte es auch meine Steam Installation ...


Das es direkt die Installation angegriffen hat glaube ich nicht...wenn dann evtl. global was an den Netzwerkeinstellungen. Aber generell schade, dass du es nicht protokollieren kannst was das Ding ungefähr anstellt.
Obwohl: Wenn du dich mit dein Comodo bedienen kannst und die Ausführung erlaubst (AV/Cloudeinstufung ignorieren, den Rest komplett auf fragen stellen und alles erlauben) könnte man anhand der Popups zumindest bei den von CIS überwachten Aktionen etwas Einblick erhalten.

Mein XP-VM ist derzeit beschädigt, sonst hätte ich es schnell mal selbst unter Xp angeschaut. Der http://www.threatexpert.com/report.aspx?md5=bd8a790ed3d641e5bd742a2f85935967 Bericht zeigt leider auch nichts anderes als meine Analyse auf Win7.

Geschrieben von: olli 24.05.2012, 16:47

Moin zusammen,

Eset blockt die Seite auch sofort. Ich habe keine Chance die Datei herunterzuladen.

Bis denne
Olli

Geschrieben von: SLE 24.05.2012, 17:14

ZITAT(olli @ 24.05.2012, 17:46) *
Eset blockt die Seite auch sofort. Ich habe keine Chance die Datei herunterzuladen.


Dumme veraltete Blacklist eben, eine nicht mehr existierende Seite wird geblockt.

___

Generell funktioniert das Fake nur auf dem ollen XP.
Schnelldurchlauf: kopiert sich in die Anwendungsdaten, knallt sich in den Autostart, deaktiviert ein paar AV Programme (im Bsp. Defender), und verändert die Internetzoneneinstellungen, so dass die Browser nicht mehr funzen...
Wenn man den Prozess beendet und das Teil aus dem Autostart nimmt kann man wieder Herr seines Systems werden.
detaillierter:  fake.txt ( 6.58KB ) : 8


Führt man es aus (ggf. Signaturerkennung deaktivieren) sollte jeder einigermaßen vernünftige BB meckern/blockieren.

Geschrieben von: simracer 24.05.2012, 17:19

Stimmt was SLE schreibt: die Seite ist nicht mehr aufrufbar.

Geschrieben von: Rios 27.05.2012, 09:37

Guten Tag, und allen hier ein schönes Pfingstfest

Diese Ransom Geschichte artet zur Zeit heftig aus. Die User in anderen Foren, melden teilweise im Tagesrythmus derartige Infektionen. Sie scheinen auch immer raffinierter, und angepasster was die Sprache bzw. Schrift, sowie die Entschlüsselung zu werden.

Da kommt auf die Security Leute einige Arbeit in Sachen Gegenmaßnahmen zu, sprich Entschlüsseln, falls dem Teil deren Überlistung gelingt. Die gegenwärtigen Tools scheinen nur noch bedingt zu greifen. Die Ansteckungsgefahr durch Ransom, ist mittlerweile auch recht variabel geworden. ph34r.gif

Geschrieben von: aido 28.05.2012, 10:21

ZITAT(Rios @ 27.05.2012, 10:36) *
Da kommt auf die Security Leute einige Arbeit in Sachen Gegenmaßnahmen zu, sprich Entschlüsseln, falls dem Teil deren Überlistung gelingt. Die gegenwärtigen Tools scheinen nur noch bedingt zu greifen. Die Ansteckungsgefahr durch Ransom, ist mittlerweile auch recht variabel geworden. ph34r.gif



Vor allem aber weil man dem Nutzer damit vorgaukeln will, dass eine Entschlüsselung/Beseitigung noch möglich ist. Grundsätzlich ist bei einem Befall immer ein zurückspielen eines Backups die sicherste Lösung.

Geschrieben von: simracer 28.05.2012, 10:25

ZITAT(aido @ 28.05.2012, 11:20) *
Vor allem aber weil man dem Nutzer damit vorgaukeln will, dass eine Entschlüsselung/Beseitigung noch möglich ist. Grundsätzlich ist bei einem Befall immer ein zurückspielen eines Backups die sicherste Lösung.

Und da liegt leider oftmals der berühmte Hund begraben aido wink.gif sehr viele Nutzer(vor allem ausserhalb von Foren wie diesem)haben kein Systembackup das zurückgespielt werden könnte.

Geschrieben von: SLE 28.05.2012, 10:38

ZITAT(aido @ 28.05.2012, 11:20) *
Vor allem aber weil man dem Nutzer damit vorgaukeln will, dass eine Entschlüsselung/Beseitigung noch möglich ist. Grundsätzlich ist bei einem Befall immer ein zurückspielen eines Backups die sicherste Lösung.


Du wirfst aber 2 Sachen in einen Topf: Eine Entschlüsselung ist eben oft möglich, vorher sollte man natürlich eine Beseitigung der Schadsoftware versuchen.
Klar ist ein Image das sicherste, aber wichtige Dateien die nach Image-Erstellung erstelt wurden versuchen durch Entschlüsselung zusätzlich zu retten kann manchmal sehr relevant sein.


Geschrieben von: simracer 28.05.2012, 11:00

Festzuhalten bleibt leider das sich diese Ransomsoftware(varianten)zu einer richtigen Plage entwickelt haben und immer raffinierter werden ph34r.gif

Geschrieben von: SLE 28.05.2012, 11:55

ZITAT(Rios @ 27.05.2012, 10:36) *
Sie scheinen auch immer raffinierter, und angepasster was die Sprache bzw. Schrift, sowie die Entschlüsselung zu werden.
...


Es gibt dafür Baukästen, von günstig bis teuer - auch abhängig davon was man zusätzlich noch an Malware mitbringen möchte.
Über GeoIP wird dann das infizierte System lokalisiert und die länderspezifische Anzeige des Sperrbildschirms geladen, so dass der Nutzer seinen passenden Ransom erhält.

http://www.abuse.ch/?p=3718
http://www.abuse.ch/?p=3610

Ok, hat jetzt aber alles nichts mehr mit dem ursprünglichen FakeAV zu tun.


Geschrieben von: simracer 28.05.2012, 12:19

Ups, SLE dein Beispiel 2 wird von AVG als Bedrohung erkannt: http://www.abload.de/image.php?img=unbenannte5fxq.jpg

Geschrieben von: SLE 28.05.2012, 12:41

Dann melde den FP. Dämliche Webscanner...

Geschrieben von: Rios 21.11.2013, 15:33

Schönen Nachmittag,

CryptoLocker macht vor niemanden halt.
http://www.heraldnews.com/news/x2132756948/Swansea-police-pay-750-ransom-after-computer-virus-strikes

Geschrieben von: Rios 07.01.2014, 20:01

Servus@all,
wenn etwas erfolg hat, dann verfeinert und optimiert man gerne noch etwas. So auch in Sachen Cryptolocker, die nächste Steigerung Powerlocker!! man sieht also, die dunkle Seite des Intenet,s lässt sich etwas einfallen. Aber mehr ist hier zu lesen.
http://www.golem.de/news/ransomware-powerlocker-wird-fuer-100-us-dollar-angeboten-1401-103757.html

Englisch: http://www.pcworld.com/article/2084700/cybercrooks-developing-dangerous-new-fileencrypting-ransomware-researchers-warn.html

Geschrieben von: Rios 16.03.2016, 13:30

Servus,
hier geht es wieter. Natürlich bekommen die anderen auch was ab davon. Das Geschäft wird mit jedem der bezahlt, lukrativer.
http://www.welivesecurity.com/deutsch/2016/03/15/erpressungs-trojaner-nemucod-malware-uberzieht-den-globus-mit-teslacrypt-und-locky-infektionen/

Die haben es schnell erkannt, der Schaden wäre sonst um einiges höher gewesen.
http://news.nationalpost.com/news/canada/ottawa-hospital-hit-with-ransomware-information-on-four-computers-locked-down

Geschrieben von: Solution-Design 16.03.2016, 19:14

http://www.heise.de/newsticker/meldung/Malvertising-Kampagne-Webseiten-von-AOL-BBC-und-MSN-verteilten-Erpressungs-Trojaner-3139150.html
Malvertising-Kampagne: Webseiten von AOL, BBC und MSN verteilten Erpressungs-Trojaner

Das ist insbesondere dahingehend interessant, dass immer mehr Seiten Adblock-Nutzer (oder wie der Werbeblocker sich auch immer nennen mag) aussperren. Verrückte Welt whistling.gif

Geschrieben von: Rios 20.03.2016, 14:01

Servus,
es wird bestimmt nicht einfacher mit dem Mist, der da auf viele im Web noch zukommt. Also sind wir wieder bei Augen auf, und dem Back up!!
https://blog.botfrei.de/2016/03/neue-ransomware-teslacrypt-4-ist-unknackbar/

Geschrieben von: Siria 22.03.2016, 16:44

ZITAT(Rios @ 20.03.2016, 14:01) *
Servus,
es wird bestimmt nicht einfacher mit dem Mist, der da auf viele im Web noch zukommt. Also sind wir wieder bei Augen auf, und dem Back up!!
https://blog.botfrei.de/2016/03/neue-ransomware-teslacrypt-4-ist-unknackbar/

TeslyCrypt wird aktuell via Exploitkit oder Drive-by verteilt. Unklar scheint noch, ob die Entwickler die Verschlüsselung nun tatsächlich grundständig auf RSA-2048 oder RSA-4096 umgestellt haben. Soweit ich es richtig in Erinnerung habe, war die Umsetzung bisher glücklicherweise recht schlampig.

Geschrieben von: Capulcu 24.03.2016, 13:53

Erpressungs-Trojaner Petya riegelt den gesamten Rechner ab 24.03.2016 12:54 Uhr

ZITAT
Eine neue Ransomware hat es aktuell auf deutschsprachige Windows-Nutzer abgesehen. Petya wird über Dropbox verteilt und manipuliert die Festplatte, wodurch das Betriebssystem nicht mehr ausgeführt werden kann.


http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Petya-riegelt-den-gesamten-Rechner-ab-3150917.html

http://www.heise.de/forum/heise-Security/Themen-Hilfe/Hilfe-bei-Erpressungs-Trojanern/Re-Neuer-Trojaner-PETYA-RANSOMWARE/posting-25682007/show/

Geschrieben von: scu 24.03.2016, 16:22

https://blog.gdata.de/2016/03/28222-ransomware-petya-verschlusselt-die-festplatte

Geschrieben von: Rios 30.03.2016, 14:39

Servus,
und es werden weitere Krankenhäuser lahm gelegt. Mit den abgedrückten Lösegeldzahlungen machen sich die Leute eine schöne Zeit, bzw. verwenden die Knete um deftig nachzurüsten. ph34r.gif

Geschrieben von: citro 31.03.2016, 09:15

Petya von SemperVideo vorgestellt

https://www.youtube.com/watch?v=z1o7Q9iFrqM

Geschrieben von: citro 03.04.2016, 21:42

Avast (Hardened mode) und BitDefender AntiRansomware gegen Petya & Co

https://www.youtube.com/watch?v=EBi0HfLb5Yk

Zuvor hatten schon 2 Tools versagt, bis auf WinAntiRansom

https://www.youtube.com/watch?v=3YXYnAiSYrY

Geschrieben von: Rios 04.04.2016, 05:51

Servus,
zumindest hier im Video, geht es auch anders! warum???

https://www.youtube.com/watch?v=dNA6vbjqYh8

http://blog.avira.com/de/

Geschrieben von: citro 04.04.2016, 09:32

Wäre mal interessant, wie sich Comodo verhalten würde

Geschrieben von: Solution-Design 10.04.2016, 23:26

Bei AVs bin ich gegenüber Ransomware immer skeptisch. Bei Verhaltensanalysen habe ich mehr Vertrauen.

Hier am Beispiel Emsisoft
https://youtu.be/zDKModQjFUs

Geschrieben von: Schulte 11.04.2016, 11:09

ZITAT(Capulcu @ 24.03.2016, 14:53) *
Erpressungs-Trojaner Petya riegelt den gesamten Rechner ab 24.03.2016 12:54 Uhr

Angeblich wurde die Verschlüsselung geknackt.

ZITAT
Ein kostenloses Tool soll das zum Entschlüsseln nötige Passwort innerhalb weniger Sekunden generieren können, verspricht der Macher des Werkzeugs. Erste Erfolgsberichte von Petya-Opfern liegen bereits vor.


http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Petya-geknackt-Passwort-Generator-veroeffentlicht-3167064.html

Geschrieben von: Capulcu 11.04.2016, 13:14

Die Info von Schulte scheint zu stimmen, denn

ZITAT
Petya Ransomware Unlocked, You Can Now Recover Password Needed for Decryption
The process is a little bit complicated, but it works
Apr 11, 2016 09:50 GMT · By Catalin Cimpanu

Good news for victims infected by the Petya ransomware. Two security researchers created an online service and a desktop tool that can help them generate the password needed to unlock their computer.


Rest des Artikels http://news.softpedia.com/news/petya-ransomware-unlocked-you-can-now-recover-password-needed-for-decryption-502798.shtml

denn es gibt sogar schon eine Website zum entschlüsseln



https://petya-pay-no-ransom-mirror1.herokuapp.com/


Geschrieben von: Solution-Design 14.04.2016, 10:41

http://www.bleepingcomputer.com/news/security/jigsaw-ransomware-decrypted-will-delete-your-files-until-you-pay-the-ransom/
Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom

Wird noch interessant werden

Geschrieben von: Schulte 14.04.2016, 10:46

ZITAT
Opfer von Verschlüsselungs-Trojanern können auf der Webseite ID Ransomware den Schädling identifizieren und unter anderem Infos zur Möglichkeit einer kostenlosen Entschlüsselung abrufen.
...
Neben dem Namen der Ransomware zeigt die Ergebnisseite auch an, ob es ein Entschlüsselungs-Tool gibt.

http://www.heise.de/newsticker/meldung/Entschluesselungs-Tool-verfuegbar-Webseite-identifiziert-Erpressungs-Trojaner-3173463.html

Geschrieben von: citro 15.04.2016, 09:17

Semper Video stellt den Crypto Trojaner Jigsaw vor

https://www.youtube.com/watch?v=ZspjLZagzPw

Geschrieben von: citro 26.04.2016, 20:28

Ältere Android-Versionen von 4.0.3 bis 4.4.4 können von Ransomsoftware befallen werden

http://www.pcwelt.de/news/Dogspectus-Ransomware-gefaehrdet-aeltere-Android-Geraete-9972353.html

Geschrieben von: Rios 01.05.2016, 07:51

Servus,
da es den hauseigenen Speziallisten nicht gelang!! Grrrrr wink.gif manchmal fällt einem dazu wirklich nichts mehr ein, da schlummert ein angeblicher Trojaner auf dem System, und keiner bekommt etwas mit von den Damen und Herren der IT.
http://www.mz-web.de/mitteldeutschland/verfassungsschutz-sachsen-anhalt-geheimdienst-gehackt-23979024

Geschrieben von: Solution-Design 13.05.2016, 19:00

http://www.borncity.com/blog/2016/05/13/verschlsselungstrojaner-cryptxxx-2-0-aufgetaucht/#more-177386 CryptXXX 2.0

War ja zu erwarten.

Geschrieben von: Schulte 16.05.2016, 16:14

Manchmal geht's schneller als man denkt:

ZITAT
Die Macher von CryptXXX sperrten jüngst ein Entschlüsselungs-Tool für ihre Ransomware aus. Nun haben die Entwickler des Werkzeugs nachgelegt.
http://www.heise.de/newsticker/meldung/Kaspersky-treibt-Katz-und-Maus-Spiel-mit-Erpressungs-Trojaner-CryptXXX-3208810.html (heise.de)

ZITAT
Die Drahtzieher hinter der Ransomware Jigsaw müssen trotz ihrer neuen Version namens CryptoHitman eine Schlappe einstecken: Opfer brauchen dank eines kostenlosen Entschlüsselungs-Tools kein Lösegeld mehr zahlen.
http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Jigsaw-mutiert-zu-CryptoHitman-und-ist-geknackt-3208807.html (heise.de)

Geschrieben von: Schulte 19.05.2016, 11:10

Zur Nachahmung empfohlen:

ZITAT
Die Drahtzieher hinter TeslaCrypt haben den Stecker gezogen und den Master-Schlüssel in Umlauf gebracht: Opfer der Ransomware können nun ohne Lösegeld zu zahlen wieder Zugriff auf ihre Daten bekommen.
http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-TeslaCrypt-gibt-auf-Master-Schluessel-veroeffentlicht-3210654.html (heise.de)

Geschrieben von: Solution-Design 19.05.2016, 15:40

Schön, nett die Buben. Na, das lässt aber Raum für Spekulationen biggrin.gif

Geschrieben von: Rios 27.05.2016, 11:38

Servus
oder der bereits überwiesene Betrag reicht nicht, und man will nochmal kassieren!!
http://www.heise.de/security/meldung/Erpressungstrojaner-Wer-Pech-hat-zahlt-zweimal-3220985.html

Geschrieben von: citro 06.06.2016, 23:42

Hier hat HitmanPro Alert und MBAM AntiRansomware auch nichts ausrichten können

https://www.youtube.com/watch?v=HD-UIrLlwh0

Geschrieben von: citro 03.07.2016, 16:32

An einer Ransomware scheiterte HMPA

https://www.youtube.com/watch?v=Y7qp4AdnamE

Geschrieben von: Doominik 06.07.2016, 14:39

Interessant für Android-Nutzer: http://www.zdnet.de/88273611/kaspersky-android-ransomware-in-deutschland-am-staerksten-verbreitet/
In Deutschland ist Ransomware für Android am weitesten verbreitet.

Geschrieben von: citro 07.07.2016, 09:21

Antiransom-Tools gegen einen MBR Locker

https://www.youtube.com/watch?v=teUbLpOwK4Y

Geschrieben von: Doominik 12.07.2016, 13:29

ZITAT(Doominik @ 06.07.2016, 15:39) *
Interessant für Android-Nutzer: http://www.zdnet.de/88273611/kaspersky-android-ransomware-in-deutschland-am-staerksten-verbreitet/
In Deutschland ist Ransomware für Android am weitesten verbreitet.


Abhilfe soll dann Android 7.0 "Nougat" schaffen: http://t3n.de/news/android-7-0-nougat-ransomware-724485/

Geschrieben von: niveasoft 13.09.2016, 02:50

Neue Beta von Anti-Ransomware von Malwarebyte erschienen.


https://forums.malwarebytes.org/topic/187988-new-version-beta-8-now-available/


Im Praxistest mit sub-optimalen Resultaten: https://www.youtube.com/watch?v=NeDrsiflQt0


Geschrieben von: Rios 19.09.2016, 11:11

Servus,
auf ein Neues!!
http://www.heise.de/security/meldung/Erpressungs-Trojaner-Stampado-verleibt-sich-auch-bereits-verschluesselte-Daten-ein-3326573.html

Geschrieben von: citro 02.10.2016, 09:48

Kaspersky AntiRansomware for Business im Test von cruelsister1

2 Teile

https://www.youtube.com/watch?v=sS_J1UzlPGM

https://www.youtube.com/watch?v=-wjSrTwEuYg

Geschrieben von: citro 28.10.2016, 14:25

Semper Video hat ein Tool vorgestellt, welches den MBR vor Überschreiben zB von Ransomware schützen soll.
Zum Deinstallieren muss allerdings die Registry bearbeitet werden

https://www.youtube.com/watch?v=v8ptiTCDQcY

Geschrieben von: J4U 28.10.2016, 18:57

ZITAT(citro @ 28.10.2016, 15:25) *
Semper Video hat ein Tool vorgestellt - Zum Deinstallieren muss allerdings die Registry bearbeitet werden
Dann doch lieber im Fall der Fälle die Bill-Gates-Schallplatte reinschieben und die Titel /fixmbr und /fixboot abspielen...
...falls man überhaupt noch einen MBR verwendet.

Geschrieben von: Solution-Design 29.10.2016, 20:58

Man bedenke, dass sehr viele große Firmen im 5-Jahres-Rhythmus ihre Hardware komplett tauschen (damit meine ich alles, angefangen von der Maus, über Tastatur, Bildschirm und Rechner; auch wenn es sich um mehrere 10.000 PCs handelt). Die Bundesregierung im 15-Jahre-Rhythmus. Für die sind alle Tools interessant. Immerhin ist der PC für die, Neuland. Und die gebeutelten anhängenden Institutionen...tja, für die leider auch.

Geschrieben von: wotan 02.11.2016, 17:40

Finger weg von Kaspersky Antiransomware thumbdown.gif
Hatte es installiert und die Hälfte der Anwendungen lief nicht mehr.
Umsonst ist nicht immer gut.
Da sollte man doch lieber zu HitmanProalert oder Zemana greifen.

Geschrieben von: J4U 02.11.2016, 17:55

ZITAT(wotan @ 02.11.2016, 17:40) *
Finger weg von Kaspersky Antiransomware
Hatte es installiert und die Hälfte der Anwendungen lief nicht mehr.

Das ist mir jetzt zu pauschal. Was lief nicht mehr?

Geschrieben von: wotan 02.11.2016, 18:35

Einige Webseiten wie freenet, web.de, t-online.wetter, wetter.com, Kölner Stadt-Anzeiger oder Express.
Andere wie ARD, ZDF, WDR, NTV oder Rokop biggrin.gif luden sofort auf und zeigten an.
Woran es lag? Weiss der Henker.
Kasper wieder deinstalliert und alles lief super wie ehedem.
Auch mit HitmanProAlert oder Zemana gibbt es keine derartigen Probleme.
Kann dann ja wohl nur an Kaspersky liegen... rolleyes.gif

Geschrieben von: J4U 02.11.2016, 18:49

ZITAT(wotan @ 02.11.2016, 18:35) *
Woran es lag? Weiss der Henker.
Nee, der weiß das auch nicht. Schau Dir z.B. die Frühnett-Seite an, was da alles geladen wird, rechtfertigt die Blockerei auf jeden Fall.

Geschrieben von: wotan 02.11.2016, 19:41

ZITAT(J4U @ 02.11.2016, 19:49) *
Nee, der weiß das auch nicht. Schau Dir z.B. die Frühnett-Seite an, was da alles geladen wird, rechtfertigt die Blockerei auf jeden Fall.

Nee... tut es nicht.
Wenn du noch nicht mal Zugriff auf gängige Websides bekommst, weil sie geblockt werden, kannst du dein Internet direkt in den Keller sperren.
Das ist nicht Sinn und Zweck der Angelegenheit.

Geschrieben von: J4U 02.11.2016, 20:37

ZITAT(wotan @ 02.11.2016, 19:41) *
Wenn du noch nicht mal Zugriff auf gängige Websides bekommst,
Seiten mit Porns und Cracks sind auch gängig - nur um mal zum nachdenken anzuregen. wink.gif
Was das Internet angeht, irgend wie holen wir uns den Überwachungsapparat freiwillig in unsere Wohnungen. Wir tragen sogar freiwillig immer einen mit uns herum.
Verrückte Welt. ph34r.gif

Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)