Ransomsoftware |
Willkommen, Gast ( Anmelden | Registrierung )
Ransomsoftware |
22.05.2012, 16:30
Beitrag
#21
|
|
Threadersteller Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.367 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: F-Secure Firewall: GlassWire Free |
ZITAT Die Screenshots sehen bisher nach einem Fake AV aus, von Ransomware sehe ich noch nichts. SLE, du hast aber schon mitgelesen was ich geschrieben habe als ich den Thread eröffnete: ZITAT lauert ein Fake/Ransomsoftware der Microsoft Seecurity Essentials imitiert und einem anzeigt das das System infiziert sei. Da ich nicht genau wusste ob es ein Fake oder Ransomsoftware ist(wo ist da eigentlich genau der Unterschied?)habe ich den Satz zu Anfang entspechend so verfasst.
-------------------- |
|
|
22.05.2012, 16:37
Beitrag
#22
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Lass mir mal das Sample zukommen.
SLE, du hast aber schon mitgelesen was ich geschrieben habe als ich den Thread eröffnete: Ja, was unpräzises, v.a. im Titel Fake oder Ransomsoftware ist(wo ist da eigentlich genau der Unterschied?) Fake: Verarsche. Programm täuscht etwas vor, was es nicht ist oder nicht macht. Tut z.B. so als wäre es ein AV, findet angebliche Bedrohungen und will das Dumme es kaufen. Mehr nicht. Der Unterschied zu Tuningtools ist also marginal.. Oder böses Fake, lädt Malware nach, ist selbst ein Trojaner etc. ... Ransom: Erpressung. Verweigert dem Nutzer den Zugang zum Rechner bzw. zu bestimmten Dateien, oft gepaart mit Verschlüsselung. Geld gegen Freischaltcode. Neuere bekannte Fälle heißen im Volksmund BKA-Trojaner oder GEMA-Trojaner... Der Beitrag wurde von SLE bearbeitet: 22.05.2012, 16:38 -------------------- Don't believe the hype!
|
|
|
22.05.2012, 16:50
Beitrag
#23
|
|
Threadersteller Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.367 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: F-Secure Firewall: GlassWire Free |
Weißt du was SLE wenn das: fertig ist, werde ich Avast und Comodo deaktivieren und das Fake(oder isses doch Ransom )mal ausführen und hoffe, das ich dabei Screenshots erstellen kann
-------------------- |
|
|
22.05.2012, 16:52
Beitrag
#24
|
|
Threadersteller Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.367 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: F-Secure Firewall: GlassWire Free |
Lass mir mal das Sample zukommen. Ja, was unpräzises, v.a. im Titel Fake: Verarsche. Programm täuscht etwas vor, was es nicht ist oder nicht macht. Tut z.B. so als wäre es ein AV, findet angebliche Bedrohungen und will das Dumme es kaufen. Mehr nicht. Der Unterschied zu Tuningtools ist also marginal.. Oder böses Fake, lädt Malware nach, ist selbst ein Trojaner etc. ... Ransom: Erpressung. Verweigert dem Nutzer den Zugang zum Rechner bzw. zu bestimmten Dateien, oft gepaart mit Verschlüsselung. Geld gegen Freischaltcode. Neuere bekannte Fälle heißen im Volksmund BKA-Trojaner oder GEMA-Trojaner... Aber egal ob Fake oder Ransomsoftware, bei beiden ist Windows erstmal unbrauchbar. Zumindest sind in dem Punkt beide "Bösewichter" gleich und lästig und ärgerlich für den User der an eines der beiden gerät. -------------------- |
|
|
22.05.2012, 16:57
Beitrag
#25
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Aber egal ob Fake oder Ransomsoftware, bei beiden ist Windows erstmal unbrauchbar. Nein, bei den meisten Fake Programmen eben nicht. -------------------- Don't believe the hype!
|
|
|
22.05.2012, 17:00
Beitrag
#26
|
|
Threadersteller Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.367 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: F-Secure Firewall: GlassWire Free |
Mal gucken was nachher passiert. Wir hatten hier aber schon Fakes, da war ein Arbeiten unter Windows nicht mehr oder fast nicht mehr möglich. Ausserdem ist ne PN zu dir unterwegs.
-------------------- |
|
|
22.05.2012, 17:39
Beitrag
#27
|
|
Threadersteller Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.367 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: F-Secure Firewall: GlassWire Free |
Ein erster "Zwischenbericht"(vom PCmeiner Frau):Wenn das Fake aktiv ist, lässt sich dieComodo Firewall nicht mehr starten/einschalten. Versuche ich den FF oder IE zu starten klappt das manchmal, manchmal aber auch nicht und nach kurzer Zeit kappt/beendet das Fake dieBrowser. Malwarebytes Free lässt sich unter Windows nicht starten aber Avast Free und mit letzterem kann ich auch OnDemand Scans machen. Im Abgesicherten Modus ohne Netzwerktreiber ist Malwarebytes Free ebenfalls nicht zu starten und auch Emergency Kit kannn nicht gestartet werden. Eine Schnelle Überprüfung mit Avast im Abgesicherten Modus brachte keine Infektionen/Funde zutage. Ein paar erstellte Bilder des Fakes stelle ich nachher ein.
-------------------- |
|
|
22.05.2012, 18:30
Beitrag
#28
|
|
Threadersteller Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.367 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: F-Secure Firewall: GlassWire Free |
-------------------- |
|
|
22.05.2012, 19:54
Beitrag
#29
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Auf Win7 (x86) funktioniert das Ding nicht:
Schreibt sich unter anderem Namen in den Benutzerordner und löscht die Hauptdatei dann selbst. Anschließend crasht es (auch mit deaktiviertem DEP/SEHOP/ASLR) - keine weiteren Aktivitäten (Registry oder Netzwerk) 2012_05_22_190309.jpg ( 174.79KB ) Anzahl der Downloads: 17 -------------------- Don't believe the hype!
|
|
|
23.05.2012, 19:27
Beitrag
#30
|
|
Threadersteller Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.367 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: F-Secure Firewall: GlassWire Free |
Ergänzend dazu: Als das Fake AV auf meinem System aktiv war, hatte es auch meine Steam Installation samt meinen Rennsimulationen die per steam installiert sind auf der Partition D erwischt und von Steam war eine Netzwerkkomponente beschädigt so das Steam nicht mehr gestartet werden konnte. steam konnte nicht repariert werden und eine Neuinstallation schlug auch fehl, also musste ich auch ein Backup/Image der Partition D zurückspielen.
-------------------- |
|
|
23.05.2012, 20:02
Beitrag
#31
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Ergänzend dazu: Als das Fake AV auf meinem System aktiv war, hatte es auch meine Steam Installation ... Das es direkt die Installation angegriffen hat glaube ich nicht...wenn dann evtl. global was an den Netzwerkeinstellungen. Aber generell schade, dass du es nicht protokollieren kannst was das Ding ungefähr anstellt. Obwohl: Wenn du dich mit dein Comodo bedienen kannst und die Ausführung erlaubst (AV/Cloudeinstufung ignorieren, den Rest komplett auf fragen stellen und alles erlauben) könnte man anhand der Popups zumindest bei den von CIS überwachten Aktionen etwas Einblick erhalten. Mein XP-VM ist derzeit beschädigt, sonst hätte ich es schnell mal selbst unter Xp angeschaut. Der ThreatExpert Bericht zeigt leider auch nichts anderes als meine Analyse auf Win7. -------------------- Don't believe the hype!
|
|
|
24.05.2012, 16:47
Beitrag
#32
|
|
Ist unverzichtbar Gruppe: Freunde Beiträge: 5.267 Mitglied seit: 30.11.2003 Wohnort: Dortmund Mitglieds-Nr.: 242 Betriebssystem: Windows 10 Prof 64Bit Virenscanner: GData/ MS Defender Firewall: Router/ Windows 10 |
Moin zusammen,
Eset blockt die Seite auch sofort. Ich habe keine Chance die Datei herunterzuladen. Bis denne Olli -------------------- ...und sonst bin ich mit einem VW T3 oder einer V-Strom unterwegs...
|
|
|
24.05.2012, 17:14
Beitrag
#33
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Eset blockt die Seite auch sofort. Ich habe keine Chance die Datei herunterzuladen. Dumme veraltete Blacklist eben, eine nicht mehr existierende Seite wird geblockt. ___ Generell funktioniert das Fake nur auf dem ollen XP. Schnelldurchlauf: kopiert sich in die Anwendungsdaten, knallt sich in den Autostart, deaktiviert ein paar AV Programme (im Bsp. Defender), und verändert die Internetzoneneinstellungen, so dass die Browser nicht mehr funzen... Wenn man den Prozess beendet und das Teil aus dem Autostart nimmt kann man wieder Herr seines Systems werden. detaillierter: fake.txt ( 6.58KB ) Anzahl der Downloads: 8 Führt man es aus (ggf. Signaturerkennung deaktivieren) sollte jeder einigermaßen vernünftige BB meckern/blockieren. Der Beitrag wurde von SLE bearbeitet: 24.05.2012, 17:25 -------------------- Don't believe the hype!
|
|
|
24.05.2012, 17:19
Beitrag
#34
|
|
Threadersteller Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.367 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: F-Secure Firewall: GlassWire Free |
Stimmt was SLE schreibt: die Seite ist nicht mehr aufrufbar.
Der Beitrag wurde von simracer bearbeitet: 24.05.2012, 17:26 -------------------- |
|
|
27.05.2012, 09:37
Beitrag
#35
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 4.246 Mitglied seit: 12.06.2004 Mitglieds-Nr.: 984 Betriebssystem: Windows 10 |
Guten Tag, und allen hier ein schönes Pfingstfest
Diese Ransom Geschichte artet zur Zeit heftig aus. Die User in anderen Foren, melden teilweise im Tagesrythmus derartige Infektionen. Sie scheinen auch immer raffinierter, und angepasster was die Sprache bzw. Schrift, sowie die Entschlüsselung zu werden. Da kommt auf die Security Leute einige Arbeit in Sachen Gegenmaßnahmen zu, sprich Entschlüsseln, falls dem Teil deren Überlistung gelingt. Die gegenwärtigen Tools scheinen nur noch bedingt zu greifen. Die Ansteckungsgefahr durch Ransom, ist mittlerweile auch recht variabel geworden. |
|
|
28.05.2012, 10:21
Beitrag
#36
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.492 Mitglied seit: 21.12.2008 Mitglieds-Nr.: 7.287 Betriebssystem: Arch, Win 8 Pro Virenscanner: EAM Firewall: Win |
Da kommt auf die Security Leute einige Arbeit in Sachen Gegenmaßnahmen zu, sprich Entschlüsseln, falls dem Teil deren Überlistung gelingt. Die gegenwärtigen Tools scheinen nur noch bedingt zu greifen. Die Ansteckungsgefahr durch Ransom, ist mittlerweile auch recht variabel geworden. Vor allem aber weil man dem Nutzer damit vorgaukeln will, dass eine Entschlüsselung/Beseitigung noch möglich ist. Grundsätzlich ist bei einem Befall immer ein zurückspielen eines Backups die sicherste Lösung. -------------------- System: Intel Core2 Duo, Broadcom NetXtreme II GB-LAN, 4 TB, 8 GB Corsair, Zotac GTX275
------------------------------------------------------------------------------------------------------------- serpent's embrace Chas Computer Club Sabayon Linux Das Fedora Projekt Computerguard Wilders Security 28C3 behind enemy lines The White Stripes: http://www.youtube.com/watch?v=0J2QdDbelmY frei.Wild: http://www.youtube.com/watch?v=CYxrCtFlXEA |
|
|
28.05.2012, 10:25
Beitrag
#37
|
|
Threadersteller Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.367 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: F-Secure Firewall: GlassWire Free |
Vor allem aber weil man dem Nutzer damit vorgaukeln will, dass eine Entschlüsselung/Beseitigung noch möglich ist. Grundsätzlich ist bei einem Befall immer ein zurückspielen eines Backups die sicherste Lösung. Und da liegt leider oftmals der berühmte Hund begraben aido sehr viele Nutzer(vor allem ausserhalb von Foren wie diesem)haben kein Systembackup das zurückgespielt werden könnte. -------------------- |
|
|
28.05.2012, 10:38
Beitrag
#38
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Vor allem aber weil man dem Nutzer damit vorgaukeln will, dass eine Entschlüsselung/Beseitigung noch möglich ist. Grundsätzlich ist bei einem Befall immer ein zurückspielen eines Backups die sicherste Lösung. Du wirfst aber 2 Sachen in einen Topf: Eine Entschlüsselung ist eben oft möglich, vorher sollte man natürlich eine Beseitigung der Schadsoftware versuchen. Klar ist ein Image das sicherste, aber wichtige Dateien die nach Image-Erstellung erstelt wurden versuchen durch Entschlüsselung zusätzlich zu retten kann manchmal sehr relevant sein. -------------------- Don't believe the hype!
|
|
|
28.05.2012, 11:00
Beitrag
#39
|
|
Threadersteller Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.367 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: F-Secure Firewall: GlassWire Free |
Festzuhalten bleibt leider das sich diese Ransomsoftware(varianten)zu einer richtigen Plage entwickelt haben und immer raffinierter werden
-------------------- |
|
|
28.05.2012, 11:55
Beitrag
#40
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Sie scheinen auch immer raffinierter, und angepasster was die Sprache bzw. Schrift, sowie die Entschlüsselung zu werden. ... Es gibt dafür Baukästen, von günstig bis teuer - auch abhängig davon was man zusätzlich noch an Malware mitbringen möchte. Über GeoIP wird dann das infizierte System lokalisiert und die länderspezifische Anzeige des Sperrbildschirms geladen, so dass der Nutzer seinen passenden Ransom erhält. Bsp. 1 Bsp. 2 Ok, hat jetzt aber alles nichts mehr mit dem ursprünglichen FakeAV zu tun. -------------------- Don't believe the hype!
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 21.09.2024, 17:26 |