Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

3 Seiten V  < 1 2 3  
Reply to this topicStart new topic
> Verschlüsselungs-Trojaner Variante
Virusscanner
Beitrag 20.12.2015, 17:01
Beitrag #41



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.031
Mitglied seit: 04.10.2006
Wohnort: Planet Erde, vorwiegend im Netz.
Mitglieds-Nr.: 5.404

Betriebssystem:
Win 7 x64-U/8.1 x64-E
Virenscanner:
GData/EAM
Firewall:
Online Armor/D-Link



ZITAT(J4U @ 19.12.2015, 15:23) *
Kaum zu glauben, dass immer noch jemand auf solche Mails herein fällt.


Das von mir verlinkte Forum spricht für sich. Es scheint, als gäbe es solche "Jemande" zuhauf. Und gerade in Kleinstbetrieben kann es schnell passieren, dass man eine Mail öffnet, nur weil die angehängte Datei sich brav Faktura schimpft. Getreu dem Motto "Wenn man tausend Mal vorher unbeschadet eine Warnung weggeklickt hat, wird auch beim tausend und ersten Mal doch nichts passieren.".

Der Beitrag wurde von Virusscanner bearbeitet: 20.12.2015, 17:02


--------------------
Go to the top of the page
 
+Quote Post
Virusscanner
Beitrag 27.12.2015, 12:52
Beitrag #42



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.031
Mitglied seit: 04.10.2006
Wohnort: Planet Erde, vorwiegend im Netz.
Mitglieds-Nr.: 5.404

Betriebssystem:
Win 7 x64-U/8.1 x64-E
Virenscanner:
GData/EAM
Firewall:
Online Armor/D-Link



Ich will euch noch wissen lassen, dass die Daten meines Bekannten mit der Hilfe des Forum-Mitglieds BloodDolly kostenlos entschlüsselt wurden. Für den Fall, dass in eurem Bekanntenkreis jemand zum Opfer wird, tretet mit ihm auf BleepingComputer in Kontakt.


--------------------
Go to the top of the page
 
+Quote Post
Solution-Design
Beitrag 27.12.2015, 15:30
Beitrag #43


Threadersteller

Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 11.168
Mitglied seit: 28.11.2004
Mitglieds-Nr.: 1.621

Betriebssystem:
Windows 10 pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Sandboxie | cFos



Hat dir dein Bekannter zufällig verraten, wie er die Malware auf den PC bekommen hat?

Edit: Frage deshalb, weil ich es mir nur schwer vorstellen kann...

- Outlook-Vorschau, per "Bearbeitung aktivieren"
- Email-Anhang öffnen
- Email-Anhang entzippen
- Word-Datei öffnen
- Makros aktivieren

Der Beitrag wurde von Solution-Design bearbeitet: 27.12.2015, 15:52


--------------------
Yours sincerely

Uwe Kraatz
Go to the top of the page
 
+Quote Post
Virusscanner
Beitrag 27.12.2015, 21:06
Beitrag #44



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.031
Mitglied seit: 04.10.2006
Wohnort: Planet Erde, vorwiegend im Netz.
Mitglieds-Nr.: 5.404

Betriebssystem:
Win 7 x64-U/8.1 x64-E
Virenscanner:
GData/EAM
Firewall:
Online Armor/D-Link



ZITAT(Solution-Design @ 27.12.2015, 15:30) *
Hat dir dein Bekannter zufällig verraten, wie er die Malware auf den PC bekommen hat?

Edit: Frage deshalb, weil ich es mir nur schwer vorstellen kann...

- Outlook-Vorschau, per "Bearbeitung aktivieren"
- Email-Anhang öffnen
- Email-Anhang entzippen
- Word-Datei öffnen
- Makros aktivieren


Er hat die Malware auf einem Mac bekommen und "nicht öffnen können". dann auf den PC weitergeleitet und den Anhang angeklickt, da war's schon geschehen. Avast hat keine Reaktion gezeigt. Die Mail ging ursprünglich an verschiedene Empfänger und er kannte die anderen Empfänger.

Du musst dir das nicht vorstellen können. Lies dich im Forum durch und du wirst sehen, dass auch versiertere PC-User den TeslaCrypt eingefangen haben. Hat in seinem Fall mit Word nichts zu tun, war eine .js Datei.


--------------------
Go to the top of the page
 
+Quote Post
Solution-Design
Beitrag 27.12.2015, 22:43
Beitrag #45


Threadersteller

Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 11.168
Mitglied seit: 28.11.2004
Mitglieds-Nr.: 1.621

Betriebssystem:
Windows 10 pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Sandboxie | cFos



Ich kann es mir immer noch nicht vorstellen. Mit einer js-Datei alleine machst du gar nichts. In der VM habe ich mir aus meinem Spamfilter eine *.doc heruntergeladen, welche aber nach Entpacken und Ausführen und zig Warnmeldungen seitens Office, dazu noch die UAC aufgerufen hat.

Sorry, irgendwie habe ich das Gefühl, das es sich kaum um einen versierten/erfahrenen Benutzer handeln kann. Zig Warnmeldungen wegklicken will schon was heißen.


--------------------
Yours sincerely

Uwe Kraatz
Go to the top of the page
 
+Quote Post
Virusscanner
Beitrag 27.12.2015, 23:46
Beitrag #46



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.031
Mitglied seit: 04.10.2006
Wohnort: Planet Erde, vorwiegend im Netz.
Mitglieds-Nr.: 5.404

Betriebssystem:
Win 7 x64-U/8.1 x64-E
Virenscanner:
GData/EAM
Firewall:
Online Armor/D-Link



Du interpretierst da was, was nicht war. Keine Warnmeldungen. Von .doc war nicht die Rede. Von Word auch nicht. Es wurde weiter vorn im Thread erwähnt. Es ist eine .js Datei.

Ich habe nie gesagt, dass es ein in Bezug auf Malware sonderlich versierter User ist, aber da waren keine Warnmeldungen. Er wäre so ehrlich, und würde dies unverschämt zugeben.

Also, willst du nochmals mit .doc und Word kommen?

ZITAT
The group behind TeslaCrypt focused on individual users at first, but in this campaign the targets are mainly companies in Northern Europe.
Analyses of the TeslaCrypt saw that the ransomware uses the Angler exploit kit as a distribution vector. By using Angler’s sophisticated techniques to avoid antivirus detection, TeslaCrypt can achieve a high infection rate for the targeted computers.
TeslaCrypt comes a .js file which retrieves TeslaCrypt from several compromised web pages.
When the Javascript (.js) file is ran, the malicious code connects to different URLs to download the main ransomware component.


Weder Firewall noch AV haben irgend einen Logeintrag. Also hat das Teil als Trojaner seinen Dienst, wie von den Programmierern vorgesehen, verrichtet.

Der Beitrag wurde von Virusscanner bearbeitet: 27.12.2015, 23:57


--------------------
Go to the top of the page
 
+Quote Post
scu
Beitrag 29.12.2015, 13:15
Beitrag #47



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.188
Mitglied seit: 07.08.2007
Mitglieds-Nr.: 6.352
Virenscanner:
G Data



ZITAT(Solution-Design @ 27.12.2015, 22:43) *
Mit einer js-Datei alleine machst du gar nichts.

Wie kommst du zu dieser Annahme? Die .js Dateien die gerade im Umlauf sind laden nach Ausführung eine .exe herunter und starten diese.
Auch wenn ich mich da wiederhole, es handelt sich dort nicht um JavaScript Dateien die im Browser geöffnet werden, sondern um JScript und die wird direkt vom Betriebssystem geöffnet.
Das ist genauso gefährlich wie eine .exe direkt zu öffnen.
Go to the top of the page
 
+Quote Post
Solution-Design
Beitrag 31.12.2015, 17:00
Beitrag #48


Threadersteller

Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 11.168
Mitglied seit: 28.11.2004
Mitglieds-Nr.: 1.621

Betriebssystem:
Windows 10 pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Sandboxie | cFos



ZITAT(scu @ 29.12.2015, 13:15) *
Wie kommst du zu dieser Annahme? Die .js Dateien die gerade im Umlauf sind laden nach Ausführung eine .exe herunter und starten diese.
Auch wenn ich mich da wiederhole, es handelt sich dort nicht um JavaScript Dateien die im Browser geöffnet werden, sondern um JScript und die wird direkt vom Betriebssystem geöffnet.
Das ist genauso gefährlich wie eine .exe direkt zu öffnen.


Ja, ist wie eine *.bat zu starten...darauf komme? Keine Ahnung; um deine Frage zu beantworten. Vielleicht lag es daran, dass ich solche Kleinigkeiten von jeher per registry unterbinde. Zumindest auf allen PCs, welche mir unter die Finger kommen. biggrin.gif Wird Zeit, das wish bald beerdigt wird. Unter Powershell gibt es diese Sorgen nicht.

Habe gerade die Reg im privaten Tool-Verzeichnis herausgesucht. Denke mal, mit diesen Einträgen als Standard gesetzt, wären gewisse Nur-Benutzer etwas vorsichtiger. Angehängte Datei  Windows_Script_Host_Sig_Check.zip ( 703Byte ) Anzahl der Downloads: 14


--------------------
Yours sincerely

Uwe Kraatz
Go to the top of the page
 
+Quote Post
GerhardKO
Beitrag 06.01.2016, 01:29
Beitrag #49



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 748
Mitglied seit: 17.09.2012
Wohnort: Bodensee
Mitglieds-Nr.: 9.425

Betriebssystem:
Windows 10 (x64)
Virenscanner:
G Data AV
Firewall:
G Data Firewall



Umgeht jeden Virenscanner: Trojaner bedroht Windows, OS X und Linux


http://www.chip.de/news/Umgeht-jeden-Viren...x_87796897.html
Go to the top of the page
 
+Quote Post
scu
Beitrag 06.01.2016, 10:18
Beitrag #50



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.188
Mitglied seit: 07.08.2007
Mitglieds-Nr.: 6.352
Virenscanner:
G Data



ZITAT(GerhardKO @ 06.01.2016, 01:29) *
Umgeht jeden Virenscanner: Trojaner bedroht Windows, OS X und Linux


http://www.chip.de/news/Umgeht-jeden-Viren...x_87796897.html

CHIP mal wieder auf ganz hohem Niveau...
Fast jede neue Malware hat am ersten Tag eine geringe Erkennungsrate. Deshalb gibt es ja Behavior Blocker und ähnliche Schutzmodule.

https://www.virustotal.com/de/file/01d3becf...2944a/analysis/
https://www.virustotal.com/de/file/9b9bfaeb...4b010/analysis/

Edit:
Der Artikel von Heise ist wesentlich sachlicher und besser:
http://www.heise.de/security/meldung/Erste...er-3060409.html

Wer technische Details möchte und vor der englischen Sprachen nicht zurückschreckt kann hier mehr nachlesen:
http://blog.emsisoft.com/2016/01/01/meet-r...ipt-ransomware/


Der Beitrag wurde von scu bearbeitet: 06.01.2016, 10:22
Go to the top of the page
 
+Quote Post
Clinton
Beitrag 06.01.2016, 16:25
Beitrag #51



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 477
Mitglied seit: 13.07.2004
Wohnort: Niederrhein
Mitglieds-Nr.: 1.208

Betriebssystem:
W7x64 / Linux Mint
Virenscanner:
EAM & Sandboxie
Firewall:
Router / Win FW



Den Blog kann man auf Deutsch umstellen. thumbup.gif

http://blog.emsisoft.com/2016/01/01/meet-r...ipt-ransomware/
Go to the top of the page
 
+Quote Post

3 Seiten V  < 1 2 3
Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 10.12.2018, 10:47
Impressum