Verschlüsselungs-Trojaner Variante Einstellungen

[Solution-Design]

https://www.virustotal.com/de/file/4cfd438b...sis/1439906413/

Den Jungs scheint wieder langweilig zu sein. Mir gerade auch, habe deshalb mal den Spam-Ordner online durchforstet

[Capulcu]

Also was wirklich neu ist, ist Encryptor RaaS

[Solution-Design]

TOR-Schädling. Bringt wieder Schwung in die versionierte Backup-Diskussion.

Lese gerade was über den Vorgänger http://www.enigmasoftware.com/toxransomware-removal/

Der Beitrag wurde von Solution-Design bearbeitet: 18.08.2015, 20:09

[Siria]

Brandaktuell und im Umlauf ist die Ransomware Chimera. Bisher erkennen viele Antivirenprogramme den Verschlüsselungstrojaner nicht:
http://www.heise.de/security/meldung/Versc...en-2909986.html

Neu ist, dass die Erpresser hinter der Malware mit der Veröffentlichung von Bildern und privaten Daten drohen, sollten die Betroffenen nicht ihrer Lösegeldforderung von etwa 500 € nachkommen. Es ist nicht zu erwarten, dass ein Weg zur Entschlüsselung der Dateien gefunden wird.

[olli]

Na Super, 27/54 Scanner erkennen das Teil, und Bitty ist mal wieder nicht dabei....

https://www.virustotal.com/en/file/dd181ac3...01f10/analysis/

Bis denne
Olli

[Siria]

Na Super, 27/54 Scanner erkennen das Teil, und Bitty ist mal wieder nicht dabei...

Das ist ein relativ normales Bild bei AVs. Mal ist der schneller, mal der. Interessant wäre es zu wissen, ob Bitdefender (oder andere) die Verschlüsselung hätten verhindern können, durch z.B. die proaktiven Schutzmodule.

[olli]

...z.B. durch den neuen Ransomware-Schutz, der ja einen den Zugriff durch nicht autorisierte Prozesse auf die geschützten Ordner verhindern soll.
Hat aber bisher leider niemand ausprobiert. Auch die Wirkungsweise von BRAIN würde mich gerade mal in diesem Zusammenhang, also keine Erkennung der Malware per Signatur, interessieren...

[Siria]

Auch die Wirkungsweise von BRAIN würde mich gerade mal in diesem Zusammenhang, also keine Erkennung der Malware per Signatur, interessieren...

Bisher kenne ich nur Chimera-Varianten, die als Emailanhang direkt vom Nutzer ausgeführt werden müssen. Daher ließe sich mit dem eigenen Verstand eine entsprechende Infektion verhindern. Anders sieht es da bei anderen Verschlüsselungstrojanern aus, die sich über die Einschleusng durch Exploitkits selbst starten können.

Der Beitrag wurde von Siria bearbeitet: 08.11.2015, 22:17

[olli]

Mit BRAIN meinte ich das neue Netzwerk von BitDefender....

[Siria]

Mit BRAIN meinte ich das neue Netzwerk von BitDefender....

Achso

[Virusscanner]

Ein Bekannter von mir hat sich gestern die TeslaCrypt Ransomware eingefangen. Der Grossteil der Dateien wurden mit der Endung .vvv versehen. Avast konnte den PC vor dem Befall nicht bewahren.

[chris30duew]

Bei Gdata hat die Verhaltensüberwachung bei dem Tesla Ransom angesprochen

[olli]

Hast du mal ein vtt-scan dazu?

[chris30duew]

https://www.virustotal.com/de/file/14b96288...e9177/analysis/

[olli]

Danke!
Jetzt würde mich noch interessieren, was Bitty ist. Hast du das File echt ausgeführt? Hut ab, das hätte ich mich nicht getraut...

[olli]

Ah, Biity hat ihn jetzt in der Erkennung. GData noch nicht.

[chris30duew]

ja, aber nur weil ich vor hatte das System eh neu aufzusetzen. Vorher alle anderen Festplatten (System hat seine eigene SSD) vom Mainboard abgezogen. Also war das Risiko überschaubar
Wenn Du Bitty drauf hast und VM Möglichkeit, führe doch mal aus. Mal sehn was Bittys neuer Ransom Schutz leistet
Oder meinst Du Ransom überlistet VM?

Der Beitrag wurde von chris30duew bearbeitet: 12.12.2015, 22:36

[olli]

Hab keine VM...

Und womit hast du das frische System bestückt?

[chris30duew]

W10 TH2 also brand aktuell . Hab aber Dualboot gemacht und noch für Notfälle (da flashprogramme fürs Handy etc noch nicht reibungslos auf W10 laufen) noch Win7 drauf. Aber Standardmässig fährt es auf W10 hoch

[olli]

...und welche Security?

[chris30duew]

Also nach reichlicher Überlegung und auch testen in der letzten Zeit verschiedener Suiten habe ich mich für Emsisoft entschieden. Hat in der neuen Version 11 echt Fortschritte in Erkennung neuer und aktueller Malwaretypen und Verhalten gemacht. Läuft ausserdem flüssig und unter TH2 fehlerfrei

[Virusscanner]

Wer von TeslaCrypt befallen wird und einer der neueren Versionen erwischt, sollte rasch handeln und den während des Verschlüsselungsprozesses verwendeten Schlüssel sichern. Das heisst, wer den Schädling ausführt, sollte sofort handeln. Wer den PC während der Verschlüsselung abstellt, hat nach dem Neustart das Problem, dass die bis dato noch unverschlüsselten Dateien mit einem neuen Schlüssel codiert werden.

Die neueste Variante soll im .doc-Format statt .js vorliegen und ist damit noch heimtückischer, da viel zu viele der Endung wohl trauen werden. Chris30duew, Emsisoft erkennt diesen übrigens noch nicht . Virustotal

Ich kann nur empfehlen, BloodDolly's TeslaDecoder schon mal zur Hand zu haben.

Dieser Thread ist sicher hilfreich und dürfte bei inzwischen befallenen Systemen unter Umständen in Zukunft eine Lösung bereitstellen.

Ich kann nur anraten, auf keinen Fall Lösegeld zu bezahlen. Damit bewirtschaftet man die kriminellen Machenschaften nur. Falls es zu spät ist, um den Schlüssel aus der Registry/Textdatei zu entnehmen, sollte man lieber zuwarten.

Achtung: Backups und Datensicherungen auf dem befallenen Computer werden ebenfalls verschlüsselt. Sicher ist nur ein Backup, das getrennt vom befallenen System aufbewahrt wird.

Der Beitrag wurde von Virusscanner bearbeitet: 14.12.2015, 22:29

[simracer]

Achtung: Backups und Datensicherungen auf dem befallenen Computer werden ebenfalls verschlüsselt. Sicher ist nur ein Backup, das getrennt vom befallenen System aufbewahrt wird.

Das sollte eigentlich bekannt sein das man Datensicherungen und Systembackups zum Beispiel auf eine USB Festplatte aufspielt die wiederum nur dann angschlossen bzw eingeschaltet wird wenn man damit arbeiten will. Die Realität sieht leider so aus das immer noch viel zu viel User sich weder um regelmässige Datensicherungen noch um regelmässige Systembackups kümmern.

[Virusscanner]

Und bei automatisierten Backups...? Ein Backup auf eine externe Platte wird i.d.R. weit weniger häufig durchgeführt.

Die Info war aber auch grundsätzlich an jeden Leser gerichtet. Ich bin mir sicher, dass auch weniger gut informierte PC-User gelegentlich hier nachlesen, wenn Big G sie hierher verweist.

Wir beide wissen auch, dass man solche Attachments nicht anklickt. Nicht?

Der Beitrag wurde von Virusscanner bearbeitet: 15.12.2015, 00:08

[simracer]

Virusscanner, ich mache Systembackups nicht automatisiert sondern starte dafür Paragon manuell, wähle die Partition C aus und die dafür eingeschaltete USB Festplatte als Ziellaufwerk. Auch mache ich immer Vollbackups und keine inkrementiellen oder differentiellen oder wie die heißen. Tatsache ist: würden sich mehr User mit Systembackups und Datensicherungen ihnen wichtiger Dateien kümmern wäre der Schreck nicht so groß wenn ein Verschlüsselungs Ransom zuschlägt und es würden keine bzw nur sehr wenige(wenn überhaupt)wichtigen persönlichen Dateien verloren gehen.

Wir beide wissen auch, dass man solche Attachments nicht anklickt. Nicht?

Was meinst du damit? Anhänge oder Links in unbekannten E-Mails? wäre ich ja blöd wenn ich das machen würde.

Der Beitrag wurde von simracer bearbeitet: 15.12.2015, 00:12

[Virusscanner]

Die Frage war rhetorischer Natur.

Was nützt es, wenn der PC just infiziert wurde, man gerade die USB-Platte anhängt um ein Backup zu machen und dadurch die externen Backup-Dateien ebenfalls infiziert bzw. verschlüsselt werden? Die Infektion wird in den meisten Fällen kaum sofort bemerkt.
Übrigens nützt es nichts, wenn du nur von C ein Backup hast und von allen anderen datentragenden Partitionen keines hast. Um sicher zu gehen, müssen schEon alle Partitionen regelmässig gesichert werden. Wer das täglich manuell tun muss, wartet vor dem Runterfahren jeweils ganz schön lange. Klar, der PC wird nach dem Backup auf Wunsch automatisch heruntergefahren. Aber Hand auf's Herz, hast du dein externes USB-Laufwerk am nächsten Morgen vor dem PC-Start noch nie vergessen abzustöpseln? Wenn's mal richtig schief läuft, dann läuft alles schief.

Der Beitrag wurde von Virusscanner bearbeitet: 16.12.2015, 01:29

[simracer]

Um es kurz zu machen Virusscanner: ich habe mehrere Backups von C, einige von der mir auch wichtigen Partition D und ein Backup der eher unwichtigen Partition E auf der nur Installer und so Zeug ist. Und was das abstöpseln betrifft: die 3,5 Zoll USB Festplatte hat einen Ein/Ausschalter am Gehäuse und ich weiß auch das theoretisch gerade dann ein Verschlüsselungstrojaner gerade dann in Aktion treten könnte wenn ich die USB Festplatte eingeschaltet habe aber das halte ich für ziemlich unwahrscheinlich und jeden Tag mache ich keine Backups, ein so wichtiges System habe ich nicht. Aber schau dich mal im realen Umfeld um wer der Privatuser macht überhaupt Backups und Datensicherungen? darauf hatte ich angespielt.

Der Beitrag wurde von simracer bearbeitet: 16.12.2015, 01:44

[hop]

werden denn nur Netzlaufwerke verschlüsselt denen auch ein Buchstabe zugewiesen wurde , oder auch praktisch alles was in der Netzwerkumgebung gefunden wird (z.b. workgroup) und ohne username/passwort zugänglich ist?

[scu]

Es gibt verschiedene Ransomware Familien und innerhalb derer auch verscheidene Varianten die sich alle etwas anders verhalten.
Ich würde bei Ransomware immer vom worst case ausgehen und daher muss man damit rechnen, dass sämtliche zugängliche Dateien verschlüsset werden.

[Virusscanner]

werden denn nur Netzlaufwerke verschlüsselt denen auch ein Buchstabe zugewiesen wurde , oder auch praktisch alles was in der Netzwerkumgebung gefunden wird (z.b. workgroup) und ohne username/passwort zugänglich ist?

Einige berichteten, dass die TeslaCrypts der neueren Generation ihr ganzes NAS mitverschlüsselt haben. Ich kann nur von dem einen Fall meines Bekannten berichten. Dabei handelt es sich um den einzigen PC in einer sonst reinen Mac-Umgebung. Der Witz ist der, dass er die Mail zuerst auf dem Mac öffnen wollte, das aber anscheinend nicht ging. Fatalerweise probierte er es dann noch auf dem PC... Die Folgen sind bekannt. Dummerweise war er dabei, vom PC auf den MAC zu migrieren und hat sich nun echte Probleme aufgehalst, da er selbstständig ist und alle Geschäftsdateien nun nicht mehr zugänglich sind. Und eben leider sind auch die Acronis Backups mitverschlüsselt worden, obschon die Backup-HD wahrscheinlich gerade von Windows "geparkt" war. Der PC läuft 24/7. TeslaCrypt wird wohl die Platte aufgeweckt haben.

Man kann den Leuten sagen und einrichten was man will, am Ende müssen Sie's am eigenen Leibe erfahren.

Der Beitrag wurde von Virusscanner bearbeitet: 17.12.2015, 00:02

[Solution-Design]

Die neueste Variante soll im .doc-Format statt .js vorliegen und ist damit noch heimtückischer, da viel zu viele der Endung wohl trauen werden. Chris30duew, Emsisoft erkennt diesen übrigens noch nicht . Virustotal

Was macht die *.DOC? Außer Word starten. Was macht JavaScript? Außer eine mögliche Weiterleitung beginnen.

Im Allgemeinen läuft es doch so. Böse Rechnung.EXE im Anhang entzippen, anklicken, Administratorrechte zusprechen, Browser startet über JavaScript Download, anschließend Installation. Wobei ich da wieder Schwierigkeiten habe zu glauben, dass diese im Hintergrund ablaufen soll, ohne weitere Interaktion.

[scu]

Mit

Was macht die *.DOC? Außer Word starten. Was macht JavaScript? Außer eine mögliche Weiterleitung beginnen.

liegst du nicht ganz richtig.

Die .js Dateien die aktuell per Email verschickt werden, sind keine JavaScript Dateien und haben nichts mit dem Browser zu tun. Wenn du die öffnest, wird die Skript Datei durch den Windows Scripting Host (wscript.exe) interpretiert und der quellcode ausgeführt.
In der Regel machen diese nicht anderes wie "Download and Execute" von bösartigen .exe Dateien (deshalb auch Trojan-Downloader).

[Schulte]

Dann übernehme ich mal die andere Hälfte:

Was macht die *.DOC? Außer Word starten.

Wenn die Ausführung von Makros deaktiviert ist, kann das alles sein.
Für den anderen Fall habe ich diese Woche etwas reinbekommen:

Das Word-Dokument wird geöffnet, das Makro startet.
Es sucht nach einer bestimmten Textstelle, die sich auf einer scheinbar leeren Seite befindet. Scheinbar leer, da die Textfarbe der Hintergrundfarbe entspricht. Durch markieren kannst Du erkennen, dass dort "Zeichen" als Hexcode abgelegt sind. Diese werden Byte für Byte gelesen und in einer Datei gespeichert. Die wird dann nur noch in eine ausführbare Datei umbenannt und vom Makro auch gleich gestartet.

Ein evtl. Nachladen ist hinfällig, die Malware ist schon auf dem Rechner und läuft zunächst mit den Rechten des Users.

[Solution-Design]

Standardmäßig bringt Word eine Sicherheitswarnung, dass die Datei Makros enthält und diese deaktiviert wurden. Da muss man aber schon fahrlässig dumm vorgehen.

[Solution-Design]

Mit
liegst du nicht ganz richtig.

Die .js Dateien die aktuell per Email verschickt werden, sind keine JavaScript Dateien und haben nichts mit dem Browser zu tun. Wenn du die öffnest, wird die Skript Datei durch den Windows Scripting Host (wscript.exe) interpretiert und der quellcode ausgeführt.
In der Regel machen diese nicht anderes wie "Download and Execute" von bösartigen .exe Dateien (deshalb auch Trojan-Downloader).

Seit wann kann Windows Script Host Scripte ausführen?

[Schulte]

Standardmäßig bringt Word eine Sicherheitswarnung, dass die Datei Makros enthält und diese deaktiviert wurden. Da muss man aber schon fahrlässig dumm vorgehen.

Ja, ich bin auch immer froh, dass jeder User die richtige Voreinstellung fährt bzw richtig antwortet.

Andernfalls müssten wir uns am Ende noch mit Bot-Software, Adware, verschlüsselten Festplatten o.ä. beschäftigen...

[scu]

Seit wann kann Windows Script Host Scripte ausführen?

Seit wann kann ich dir nicht sagen. Dürfte aber bei allen derzeit noch produktiv genutzten Systemen funktionieren.
https://msdn.microsoft.com/en-us/library/by...t(v=vs.84).aspx

[scu]

G Data hat übrigens einen guten Artikel dazu veröffentlicht:
https://blog.gdata.de/artikel/diese-rechnun...t-teuer-werden/

Auch hier wird JavaScript geschrieben. Eigentlich handelt es sich aber um JScript (die Microsoft Variante). Beide basieren auf ECMAScript.
Siehe https://en.wikipedia.org/wiki/Jscript

[Gast_J4U_*]

G Data hat übrigens einen guten Artikel dazu veröffentlicht:

In dem Dridex-Artikel haben die noch was viel besseres veröfffentlicht:

SO SIND SIE AUF DER SICHEREN SEITE

„Wir bitten alle Internetbenutzer, dringend zu handeln und zum Update des Betriebssystems. Stellen Sie sicher, dass Sie eine aktuelle Sicherheits-Software installiert haben und denken Sie lieber zwei Mal nach, bevor Sie einen Link oder einen Anhang einer unaufgefordert zugesendeten Mail anklicken“, sagt der stellvertretende FBI Direktor Robert Anderson und erwähnt damit schon wichtige Punkte.

Eine aktuelle und umfassende Sicherheitslösung mit einem Schadcodescanner, Firewall, Web- und Echtzeitschutz gehören zur Grundausstattung. Ein Spam-Filter, als Schutz vor ungewollten Spam-Mails, ist ebenfalls sinnvoll.

Wir empfehlen Ihnen dringend, niemals Anhänge öffnen, die Sie von einem unbekannten Absender erhalten. Wir empfehlen Ihnen, bei Rechnungen und Co. auf der Hut zu sein. Vor dem Öffnen eines Anhangs sollten Sie sich folgende Fragen stellen:
Habe ich tatsächlich etwas bestellt? Kann ich eine solche Rechnung überhaupt erhalten?
Ist die E-Mail in einer Sprache verfasst, die für mich und meine Situation Sinn ergibt? Eine deutsche Website wird Ihnen E-Mails und Rechnungen höchstwahrscheinlich ausschließlich in deutscher, nicht in englischer Sprache senden.
Bezogen auf die angeblichen Dokumenten-Scans: Besitzen Sie oder besitzt ihre Firma ein solches Gerät? Würde dieses Gerät Dokumente als .doc speichern können oder eher als Bilder oder .pdf?
Wenn Sie sich sicher sind, dass das Dokument nicht für Sie bestimmt ist: Widerstehen Sie der Neugier, das Dokument zu öffnen, um Informationen über Fremde zu erhalten! Genau damit rechnen die Drahtzieher. Nicht selten wurden daher auch schon Anhänge verschickt, die angebliche Gehaltslisten enthalten.
Enthält die E-Mail persönliche Informationen, wie zum Beispiel meinen richtigen Namen, meine Adresse, Kundennummer, meinen Benutzernamen oder andere Daten?
Die eigene primäre E-Mail Adresse sollte nicht unbedacht online in z.B. Foren und Gästebüchern publiziert werden, da sie dort für Betrüger abgreifbar ist. Es hilft, sich für diesen Zweck eine Nebenadresse anzulegen.
Denken Sie daran, dass Angreifer sich häufiger aktuellen Themen bedienen, um potentielle Opfer in die Falle zu locken - so, wie es in diesem Fall mit den Steuern zum Jahresende der Fall ist. Für das kommende Frühjahr sollte im Zuge der baldigen Fußball-Europameisterschaft 2016 ein wachsames Auge auf Nachrichten mit Fußballbezug gelegt werden.
Wenn Sie Zweifel haben, öffnen Sie den Anhang nicht! Wir empfehlen Ihnen dringend, niemals Makros in Dokumenten aus unbekannter Quelle zu aktivieren.

Alter Wein in neuen Schläuchen, aber eine Wiederholung kann nicht schaden. Kaum zu glauben, dass immer noch jemand auf solche Mails herein fällt.

[Solution-Design]

Andernfalls müssten wir uns am Ende noch mit Bot-Software, Adware, verschlüsselten Festplatten o.ä. beschäftigen...

Kenne selbst von den vielen vielen Dummbatzen nur einen, welcher bisher mit einem Polizei-Trojaner seine Festplatte versiebt hat. Und da hatte die Gattin Urlaub, er endlich freie Bahn zu sämtlichen Sex-Seiten Aber selbst der wüsste nicht, wie man die Standard-Einstellungen der Makro-Sicherheit innerhalb von Word ändern müsste. Was nicht heißen soll, dass solch ein Kollege den Makro-Sicherheitshinweis nicht wegklickt; so frei nach...weg mit dem gelben Ding.

Wir unterhalten uns @work eigentlich recht oft über solche Einfallstore. Also mehr als 100 PC-Nutzer. Suiten werden in aller Couleur genutzt, dass einem ein Polizei-Trojaner oder gar schlimmeres widerfahren ist, ist bis dato eher unbekannt. Somit kann man schon von einer gewissen Sensibilität ausgehen.

Dass du dich also so oft mit "Bot-Software, Adware, verschlüsselten Festplatten o.ä." beschäftigen musst, tut mir echt leid

[Virusscanner]

Kaum zu glauben, dass immer noch jemand auf solche Mails herein fällt.

Das von mir verlinkte Forum spricht für sich. Es scheint, als gäbe es solche "Jemande" zuhauf. Und gerade in Kleinstbetrieben kann es schnell passieren, dass man eine Mail öffnet, nur weil die angehängte Datei sich brav Faktura schimpft. Getreu dem Motto "Wenn man tausend Mal vorher unbeschadet eine Warnung weggeklickt hat, wird auch beim tausend und ersten Mal doch nichts passieren.".

Der Beitrag wurde von Virusscanner bearbeitet: 20.12.2015, 17:02

[Virusscanner]

Ich will euch noch wissen lassen, dass die Daten meines Bekannten mit der Hilfe des Forum-Mitglieds BloodDolly kostenlos entschlüsselt wurden. Für den Fall, dass in eurem Bekanntenkreis jemand zum Opfer wird, tretet mit ihm auf BleepingComputer in Kontakt.

[Solution-Design]

Hat dir dein Bekannter zufällig verraten, wie er die Malware auf den PC bekommen hat?

Edit: Frage deshalb, weil ich es mir nur schwer vorstellen kann...

- Outlook-Vorschau, per "Bearbeitung aktivieren"
- Email-Anhang öffnen
- Email-Anhang entzippen
- Word-Datei öffnen
- Makros aktivieren

Der Beitrag wurde von Solution-Design bearbeitet: 27.12.2015, 15:52

[Virusscanner]

Hat dir dein Bekannter zufällig verraten, wie er die Malware auf den PC bekommen hat?

Edit: Frage deshalb, weil ich es mir nur schwer vorstellen kann...

- Outlook-Vorschau, per "Bearbeitung aktivieren"
- Email-Anhang öffnen
- Email-Anhang entzippen
- Word-Datei öffnen
- Makros aktivieren

Er hat die Malware auf einem Mac bekommen und "nicht öffnen können". dann auf den PC weitergeleitet und den Anhang angeklickt, da war's schon geschehen. Avast hat keine Reaktion gezeigt. Die Mail ging ursprünglich an verschiedene Empfänger und er kannte die anderen Empfänger.

Du musst dir das nicht vorstellen können. Lies dich im Forum durch und du wirst sehen, dass auch versiertere PC-User den TeslaCrypt eingefangen haben. Hat in seinem Fall mit Word nichts zu tun, war eine .js Datei.

[Solution-Design]

Ich kann es mir immer noch nicht vorstellen. Mit einer js-Datei alleine machst du gar nichts. In der VM habe ich mir aus meinem Spamfilter eine *.doc heruntergeladen, welche aber nach Entpacken und Ausführen und zig Warnmeldungen seitens Office, dazu noch die UAC aufgerufen hat.

Sorry, irgendwie habe ich das Gefühl, das es sich kaum um einen versierten/erfahrenen Benutzer handeln kann. Zig Warnmeldungen wegklicken will schon was heißen.

[Virusscanner]

Du interpretierst da was, was nicht war. Keine Warnmeldungen. Von .doc war nicht die Rede. Von Word auch nicht. Es wurde weiter vorn im Thread erwähnt. Es ist eine .js Datei.

Ich habe nie gesagt, dass es ein in Bezug auf Malware sonderlich versierter User ist, aber da waren keine Warnmeldungen. Er wäre so ehrlich, und würde dies unverschämt zugeben.

Also, willst du nochmals mit .doc und Word kommen?

The group behind TeslaCrypt focused on individual users at first, but in this campaign the targets are mainly companies in Northern Europe.
Analyses of the TeslaCrypt saw that the ransomware uses the Angler exploit kit as a distribution vector. By using Angler’s sophisticated techniques to avoid antivirus detection, TeslaCrypt can achieve a high infection rate for the targeted computers.
TeslaCrypt comes a .js file which retrieves TeslaCrypt from several compromised web pages.
When the Javascript (.js) file is ran, the malicious code connects to different URLs to download the main ransomware component.

Weder Firewall noch AV haben irgend einen Logeintrag. Also hat das Teil als Trojaner seinen Dienst, wie von den Programmierern vorgesehen, verrichtet.

Der Beitrag wurde von Virusscanner bearbeitet: 27.12.2015, 23:57

[scu]

Mit einer js-Datei alleine machst du gar nichts.

Wie kommst du zu dieser Annahme? Die .js Dateien die gerade im Umlauf sind laden nach Ausführung eine .exe herunter und starten diese.
Auch wenn ich mich da wiederhole, es handelt sich dort nicht um JavaScript Dateien die im Browser geöffnet werden, sondern um JScript und die wird direkt vom Betriebssystem geöffnet.
Das ist genauso gefährlich wie eine .exe direkt zu öffnen.

[Solution-Design]

Wie kommst du zu dieser Annahme? Die .js Dateien die gerade im Umlauf sind laden nach Ausführung eine .exe herunter und starten diese.
Auch wenn ich mich da wiederhole, es handelt sich dort nicht um JavaScript Dateien die im Browser geöffnet werden, sondern um JScript und die wird direkt vom Betriebssystem geöffnet.
Das ist genauso gefährlich wie eine .exe direkt zu öffnen.

Ja, ist wie eine *.bat zu starten...darauf komme? Keine Ahnung; um deine Frage zu beantworten. Vielleicht lag es daran, dass ich solche Kleinigkeiten von jeher per registry unterbinde. Zumindest auf allen PCs, welche mir unter die Finger kommen. Wird Zeit, das wish bald beerdigt wird. Unter Powershell gibt es diese Sorgen nicht.

Habe gerade die Reg im privaten Tool-Verzeichnis herausgesucht. Denke mal, mit diesen Einträgen als Standard gesetzt, wären gewisse Nur-Benutzer etwas vorsichtiger.  Windows_Script_Host_Sig_Check.zip ( 703Byte ) Anzahl der Downloads: 14

[Gast_GerhardKO_*]

Umgeht jeden Virenscanner: Trojaner bedroht Windows, OS X und Linux


http://www.chip.de/news/Umgeht-jeden-Viren...x_87796897.html

[scu]

Umgeht jeden Virenscanner: Trojaner bedroht Windows, OS X und Linux


http://www.chip.de/news/Umgeht-jeden-Viren...x_87796897.html

CHIP mal wieder auf ganz hohem Niveau...
Fast jede neue Malware hat am ersten Tag eine geringe Erkennungsrate. Deshalb gibt es ja Behavior Blocker und ähnliche Schutzmodule.

https://www.virustotal.com/de/file/01d3becf...2944a/analysis/
https://www.virustotal.com/de/file/9b9bfaeb...4b010/analysis/

Edit:
Der Artikel von Heise ist wesentlich sachlicher und besser:
http://www.heise.de/security/meldung/Erste...er-3060409.html

Wer technische Details möchte und vor der englischen Sprachen nicht zurückschreckt kann hier mehr nachlesen:
http://blog.emsisoft.com/2016/01/01/meet-r...ipt-ransomware/


Der Beitrag wurde von scu bearbeitet: 06.01.2016, 10:22

[Clinton]

Den Blog kann man auf Deutsch umstellen.

http://blog.emsisoft.com/2016/01/01/meet-r...ipt-ransomware/