Druckversion des Themas
Hier klicken um das Topic im Orginalformat anzusehen
Rokop Security _ Trojaner, Viren und Würmer _ NSA & PRISM sind auch bei Cyberkriminellen hoch im Kurs!
Geschrieben von: simracer 16.01.2014, 01:13
Wie auch viele andere Varianten der Schadsoftware, versucht sie den Anschein einer Legitimation zu erheben, indem sie das Logo der “National Security Agency” bzw. des Central Security Services”. Hier wird nun gemeldet: “All activities of this computer has been recorded. All your files are encrypted. Don't try to unlock your computer”.
Quelle: http://blog.check-and-secure.com/nsa-prism-sind-auch-bei-cyberkriminellen-hoch-im-kurs/
Geschrieben von: Der Moloch 16.01.2014, 17:55
Ich versuche gerade herauszufinden, was daran so besonders sein soll. Die gleiche alte Ransomware hat jetzt einen anderen Sperrbildschirm. Wahnsinn... und wenn ich jetzt mit einem Filzstift NSA auf meine Schuhe male, gibt es dann eine Schlagzeile "Die NSA folgt mir auf Schritt und Tritt"? Langweilig...
Geschrieben von: simracer 16.01.2014, 18:06
Da ist wohl auch nichts Besonderes dran ausser das die Sperrbildschirme geändert wurden Richtung Prism und NSA aber auch diese Ransoms werden wieder genug User erschrecken und Angst einjagen die davon betroffen sind.
Geschrieben von: SLE 16.01.2014, 18:43
Hype, mehr nicht.
Die meisten dieser Ransoms sind eh dynamisch, werden sie in einem deutschen IP Raum aktiv zeigen sie einen deutschen Sperrbildschirm, in Polen einen polnischen etc. Nichts neues zum Glück, die Locker sind da weitaus gefährlicher.
Geschrieben von: simracer 17.01.2014, 20:12
Wollte deswegen nicht einen extra Thread starten. Dieses bösartige File: https://www.virustotal.com/de/file/e581670ca2fec839faa7a4ef4110ff9bb27a3a164cf5d24ae1fb2cd4f5e33f99/analysis/1389985298/ ist wohl eine Ecke "schlauer" und meiner Meinung nach gefährlicher als die bekannten GVU/BKA Ransoms. Warum meine Behauptung? wird das File ausgeführt und nicht vom installierten AV erkannt, erscheint auch kurz ein überwiegend weiß gehaltener Sperrbildschirm in dem etwas steht das man Urheberrechte verletzt habe und der PC bzw. Windows nun gesperrt wird und im Gegensatz zu den bekannten GVU/BKA Ransoms kann man das mit loadit infizierte System nicht in den 3 Abgesichtern Modi starten. Alle 3 Versuche Windows im Abgesicherten Modus zu starten(mit XP ausprobiert)scheiterten und ich nahm dann die Paragon Boot CD und spielte ein Backup ein das ich ein paar Stunden vorher erstellt habe.
Geschrieben von: simracer 20.01.2014, 21:49
Alle paar Tage(oder noch öfters?)werden wohl neue Files/Varianten dieser Ransoms hochgeladen unter der Adresse die ich von einem User bekam. Beispiele:
SHA256: e581670ca2fec839faa7a4ef4110ff9bb27a3a164cf5d24ae1fb2cd4f5e33f99
SHA256: 03ff4434021340620256f8a1b4bf95319cb0e315517a754c669a078f6bca1fa5
Geschrieben von: simracer 23.01.2014, 23:42
Was für Infektionen kann denn so ein loadit.exe Ransom File verursachen? zum Beispiel so etwas:
www.malwarebytes.org
Datenbank Version: v2014.01.23.06
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
:: [Administrator]
23.01.2014 19:48:41
mbam-log-2014-01-23 (19-48-41).txt
Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 279069
Laufzeit: 4 Minute(n), 44 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 6
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoViewContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions|NoBrowserContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoViewContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions|NoBrowserContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 2
C:\Dokumente und Einstellungen\\desktop\loadit.exe (Trojan.Autoit) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\\Startmenü\Programme\Autostart\ja.lnk (Trojan.Winlock.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
Aber selbst nach dieser Bereinigung konnte mein System immer noch nicht im Abgesicherten Modus gestartet werden und das seltsame bei dem jetzigen File war: es kam direkt nach der Ausführung des Files zwar ein weißer Bildschirm mit einem angeblichen Quickscan und kurz darauf eine Meldung im selbigen Bildschirm das man Urheberrechte usw verletzt habe usw und das der Computer deswegen gesperrt wurde, aber nach dem Reboot der durchgeführt wurde, kam kein GVU Sperrbildschirm wie bei den Files davor sondern das Desktopbild mit funktionierender Taskleiste und ausführbaren Programmen aber ohne jegliche Desktopverknüpfungen. Auch nach der Bereinigung mit Malwarebytes konnte das System nicht im Abgesicherten Modius gestartet werden und auch fehlten weiterhin die Desktopverknüpfungen.
Geschrieben von: SLE 24.01.2014, 00:00
Löschen ist eben nicht immer Bereinigung und automatische Tools ala Malwarebytes und AVs haben es nicht immer so mit echter Bereinigung. Vor allem wenn sie nicht alles finden. Also nicht wundern wenn etwas nicht funktioniert.
Spektakulär ist von den angezeigten Funden aber nichts. Wer natürlich ein veraltetes Xp mit Adminrechten nutzt braucht sich nicht wundern wenn kinderleicht Berechtigungen verbogen werden können. Um dies zu machen braucht es dann keine Malware, ich könnte dir in weniger als einer halbe Stunde eine Batch schreiben die dasselbe anstellt...
Dass der abgesicherte Modus nicht funktioniert war bei den Ransoms vor knapp 2 Jahren Standard, nur die letzten Varianten waren da gnädiger. Also auch unspektakulär.
Deaktivere aber wenigstens die Internetverbindung (Kabel raus) wenn du schon auf einem echten System mit Malware zu spielen versuchst.
Denn:
- vor dem, was zur Laufzeit passieren kann, davor retten dich auch Images nicht.
- Mögliche Einträge in deinem Adressbuch sind dir dankbar
- du wirst (wie bei manchen Malwareaktivitäten) keinen Ärger mit deinem Provider bekommen
...
Geschrieben von: simracer 24.01.2014, 00:38
Hab ich geschrieben das es spektakuläre Funde wären? Und warum ich immer noch XP einsetze und nicht Win7 oder Win8/8.1 das hat seine Gründe die ich garantiert hier nicht nenne die aber ein Admin eines anderen Forums kennt.
Bei den BKA/GVU Ransoms die ich bisher hatte, funktionierte der Abgesicherte normale Modus nicht, der Abgesicherte Modus mit Eingabeaufforderung funtionierte, der Abgesicherte Modus mit Netzwerktreibern funktionierte nicht mit dem Benutzerkonto auf dem die Infektion stattfand. Der Abgesicherte normale Abgesicherte Modus und der mit Netzwerktreibern funktionierte jeweils wenn man ein anderes Benutzerkonto(zum Beispiel bei XP das Administrator Konto)auswählte.
Bei den jetzigen loadit Ransoms funktionieren alle 3 Abgesicherte Modi von XP nicht.
Geschrieben von: SLE 24.01.2014, 08:54
Nicht spektakluär, aber:
Und nein, nichts bisher nicht dagewesenes.
Warum du auf XP bist ist mir egal, aber das ist entscheident dafür das Infektionen hohe Chancen haben.
Geschrieben von: simracer 24.01.2014, 11:34
Die Behauptung hatte ich aufgestellt weil es eben nicht möglich war Windows in einem der 3 Abgesicherten Modi zu booten und weil mehr nfektionen aufs System kamen wie man anhand des Malwarebytes Scans sieht. Vorher hatte ich hier halt "nur" Ransoms bei denen man noch das System im Abgesicherten Modus mit Eingabeaufforderung starten konnte und die weniger Infektionen aufs System brachten.
Sind persönliche Gründe und ich weiß selbst das XP weniger Schutzfunktionen bietet als die neueren Windowsversionen.
Geschrieben von: SLE 24.01.2014, 15:15
Ich sehe nicht mehr Infektionen: 2 Autostarteinträge sind mehr oder weniger Standard für Ransoms und was man an den Berechtigungen deaktiviert ist alles ein Aufwasch: ob ich da 3 deaktiviere oder alle möglichen...egal.
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)