Thema: Trojaner 2.0 nutzen Web 2.0

[SiLæncer]

Das Bundeskriminalamt (BKA) ermittelt gegen Cyberkriminelle, die mit einer Software bis zu 11.000 Computersysteme in über 90 Staaten infiziert haben sollen. Mehr als die Hälfte der betroffenen Systeme habe sich in Deutschland befunden, sagte ein BKA-Sprecher am Dienstag in Wiesbaden. Es gebe Hinweise auf Täter in Deutschland. Die Ermittlungen der Generalstaatsanwaltschaft Frankfurt dauerten noch an, Details könnten daher nicht bekanntgegeben werden.

Botnetz aus Zombie-Rechnern zerschlagen

Experten sei es gelungen, das sogenannte Botnetz zu identifizieren und zu zerschlagen, erklärte der Sprecher. Dabei handelte es sich laut BKA um einen Zusammenschluss einer Vielzahl von Computern, die mit einer Schadsoftware infiziert wurden. E-Mail-Anhänge oder Downloads würden dazu in der Regel benutzt, sagte der Sprecher. Die Täter könnten auf diesem Weg auf die Computer zugreifen und Datendiebstahl begehen.

In Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI), dem Fraunhofer-Institut (FKIE) sowie zwei deutschen Antivirenherstellern wurde die Benachrichtigung der vom Botnetz betroffenen Computerinhaber über ihre Provider veranlasst. Weitere Informationen über den Umgang mit solchen Fällen und Hilfen für die Erstattung von Anzeigen gibt es beim Anti-Botnet Beratungszentrum sowie den Seiten des Bundeskriminalamtes und des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Quelle: www.onlinekosten.de/

[SiLæncer]

Das FBI hat seine Liste der meistgesuchten Cyber-Verbrecher aktualisiert. Ein Großteil das ausgeschriebenen Kopfgelds geht auf die Ergreifung des angeblichen Entwicklers des Zeus-Trojaners zurück.



Evgeniy Mikhailovich Bogachev, der mutmaßliche Drahtzieher hinter Zeus, einem der prominentesten Trojaner-Baukästen, gehört nun offiziell zu den meistgesuchten Cyber-Kriminellen. Das FBI hat ihn in die entsprechende Liste aufgenommen und ein Kopfgeld von drei Millionen US-Dollar ausgesetzt.

Mit dem Kopfgeld führt Bogachev die Liste mit Abstand an. Insgesamt beläuft sich die Höhe des Kopfgelds für die Ergreifung aller vom FBI gesuchten Cyber-Verbrecher auf 4,2 Millionen US-Dollar. Dem FBI zufolge wurde Bogachev zuletzt in Anapa in Russland gesehen und soll sich aktuell auf seinem Boot irgendwo im Schwarzen Meer befinden.

Der Schwerpunkt von Zeus liegt im Bereich des Online-Bankings-Betrugs. Der Trojaner treibt schon seit 2007 sein Unwesen und ist auch heute noch weltweit aktiv.

Quelle : www.heise.de

[SiLæncer]

Von einem Botnetz aus Linux-Rechnern werden derzeit täglich rund zwanzig Webseiten mit DDoS-Attacken überzogen, wobei teilweise bis zu 150 Gbps an Verkehr erzeugt werden.

Das Xor.DDoS getaufte Botnetz, das von Akamais Security Intelligence Response Team (SIRT) erforscht wurde, benutzt den Trojaner XOR DDoS um Linux-Rechner in das Botnetz einzubinden. XOR DDoS zählt dabei zur Kategorie der ELF-Malware, der Name XOR rührt von der intensiven Nutzung der XOR-Verschlüsselung sowohl in der Malware als auch beim Netzwerkverkehr mit den Command and Control Servern (C&C). Die Angriffe auf Webseiten betreffen zu 90 Prozent den asiatischen Raum, wo auch die C&C-Server lokalisiert wurden. Dabei sind hauptsächlich Gaming-Seiten das Angriffsziel, gefolgt von Seiten aus dem Bildungssektor.

XOR DDoS dringt über SSH per Brute-Force-Attacken gegen schwache Passwörter in Linux-Rechner ein. Einmal eingeloggt, wird mit Rootprivilegien ein Script gestartet, dass eine infektiöse Binärdatei herunterlädt und ausführt. Nichts weist jedoch darauf hin, dass XOR DDoS Schwachstellen in Linux oder den Distributionen selbst ausnutzt. Das Botnetz wird bereits seit rund einem Jahr zusammengezurrt und hat jetzt eine Größe erreicht, um sehr potente Attacken gegen Webseiten dirigieren zu können.

»XOR DDoS ist ein Beispiel für das Umschwenken der Angreifer auf das Kompromittieren von Linux-Rechnern anstelle der früher fast ausschließlich per DDoS-Malware rekrutierten Windows-Maschinen«, so Stuart Scholly, Vize-Präsident von Akamais Abteilung für Unternehmenssicherheit. Eine Möglichkeit zum Schutz vor solchen Malware-Angriffen ist das Blockieren des Root-Zugangs per SSH und das Ausweichen auf das Pubkey-Verfahren als alleinigen Zugang aus der Ferne.

Quelle : www.pro-linux.de

[SiLæncer]

Cisco hat das Explit Kit Angler in freier Wildbahn studiert und einen Gutteil der Hosts offline nehmen lassen. Wie sich zeigt, haben die Täter ein professionelles System hochgezogen und scheffeln damit richtig Geld.

Talos, eine Abteilung von Cisco, konnte das Angler Exploit Kit im Juli bei der Arbeit beobachten. Anschließend wurden zahlreiche Angler-Server offline genommen. Das dürfte die Einnahmen der Mafiabande um einige Millionen reduzieren, denn Angler ist erschreckend profitabel. Damit Webhoster Angler-Server in ihrem Rechenzentren aufspüren können, hat Talos passende Snort-Regeln veröffentlicht.

Auf einer Presseveranstaltung in der Cisco-Zentrale in Kalifornien gab der Konzern weitere Informationen zu Angler preis. Fast 75 Prozent des Angler-Traffics hatten demnach im Juli ihren Ursprung bei zwei Webhostern: Limestone Networks und Hetzner. Die kriminellen Hacker buchen die Server in der Regel mit gestohlenen Kreditkartendaten, so dass der Webhoster am Ende gar keinen Umsatz macht.

Kooperativer Hoster

Beim texanischen Cloud-Hoster Limestone Networks, der mit Talos zusammenarbeitete, fanden die Security-Forscher rund 150 Angler-Server. Die meisten davon waren Proxys, die einen einfachen, unverdächtigen nginx-Webserver laufen hatten. Sie hielten keine Malware vor und zeigten bei normalen HTTP-Aufrufen eine Platzhalter-Seite. Damit blieben sie unverdächtig.

Nur wenn beim Aufruf spezielle Referral-Parameter mitgeliefert wurden, kam manchmal Bewegung in die Sache. Denn dann holte sich der Proxy-Server eventuell von einem Zentralserver Malware und versuchte, damit den Browser zu attackieren. So bleibt der eigentliche Malware-Lieferant unauffällig: Er hat relativ geringen Traffic und tritt mit keinem Opfer direkt in Kontakt.

Der Zentralserver informiert außerdem einen dritten Server, der sich dann vom Proxy-Server statistische Daten abholt. So wird verifiziert, dass der Proxy unbeeinträchtigt arbeitet. Die Logfiles werden schließlich an einen vierten Server geschickt. Angler ist also ein hoch entwickeltes, arbeitsteiliges System und funktioniert ähnlich wie das Exploit-Kit, das c't kürzlich en Detail analysiert und vorgestellt hat: Einbrecher zu vermieten - Ein Blick ins Innenleben des RIG-Exploit-Kits

Rasante Eintagsfliegen

Die Proxys haben eine kurze Lebensdauer von durchschnittlich einem Tag. Einer den Talos konkret untersuchte, war 13 Stunden online. Dabei wurde er von etwa 90.000 IP-Adressen kontaktiert, 60.000 davon in einer einzigen Stunde. An rund ein Zehntel, also zirka 9.000, wurden tatsächlich Exploits ausgeliefert. Bei früheren Untersuchungen hatte Talos festgestellt, das 40 Prozent der ausgelieferten Exploits Erfolg haben. Das ergäbe in den 13 Stunden also ungefähr infizierte 3.600 Opfer.

Im Juli nutzte Angler ausschließlich Schwachstellen in Adobe Flash, Internet Explorer und, zu einem geringen Grad, Microsoft Silverlight aus. Java wurde interessanter Weise nicht angegriffen. Während sich in den Logdaten sogar der historische Browser Netscape 4.0 fand, hatte es Angler vor allem auf Internet Explorer 11 unter Windows 7 sowie Windows 8.1 abgesehen.

62 Prozent der Exploits sind Ransomware, also Erpressungs-Trojaner die Dateien auf dem Zielsystem verschlüsseln. Wer seine Daten zurück haben möchte, muss zahlen, in der Regel über Krypto-Währungen. Laut Symantec zahlen knapp 3 Prozent der Ransomware-Opfer tatsächlich und sind dann im Schnitt 300 US-Dollar ärmer. Bei den in den 13 Stunden geschätzten 3.600 Opfern, hochgerechnet auf die 147 Proxys bei Limestone, ergäbe das mehr als 31.000 US-Dollar (rund 28.000 Euro) an einem einzigen Tag. Talos hat einen Bericht mit interaktivem Schätzungsmodell online gestellt.

Das Millionen-Geschäft

Alleine die Ransomware dürfte der Angler-Bande also jährlich einen hohen zweistelligen Millionenbetrag einbringen, schätzen die Experten von Talos. "Das sind Profis, keine Frage", kommentierte Jason Brevnik von Ciscos Security Business Group, "Ich stelle mir vor, dass sie in einem Office Business Park arbeiten und Happy Hours haben."

Zu weiterer Schadsoftware, die der Angler-Kit ausliefert, gehören Downloader für weitere Malware, Programme für Click-Betrug, Keylogger, Trojaner und dergleichen mehr. Wahrscheinlich besorgen sich die Kriminellen auf diesem Weg auch Kreditkartendaten ihrer Opfer. Bei Hetzner und Limestone Networks fand Talos aber ausschließlich Hinweise auf Ransomware. Für die übrigen Straftaten wurden kleinere Servergruppen bei anderen Hostern eingesetzt.

Massenseiten und Todesanzeigen

Doch wie kommen die Opfer überhaupt in Kontakt mit den Angler-Servern? Meistens arbeiten die Täter mit iFrames oder Werbeschaltungen. Talos fand die bösartige Werbung auf großen Nachrichten-, Immobilien- und Popkultur-Webseiten.

Außerdem wird eine Vielzahl kleiner Webseiten als Umleitungsquelle missbraucht. Darunter sind sogar einzelne Todesanzeigen, die keineswegs Prominente sondern irgendwelche "Normalpersonen" betreffen. Das lässt die Vermutung zu, dass sich die Kriminellen bei älteren Nutzern mehr Erfolg versprechen.

Insgesamt beobachtete Talos im Juli mehr als 15.000 Seiten, die User zu einem Angler-Proxy umleiteten. 99,8 Prozent wurden weniger als zehn Mal verwendet. Das macht es praktisch unmöglich, die kompromittierten Seiten zu finden und zu säubern. User müssen ihre Systeme schon selbst laufend updaten.

Quelle : www.heise.de

[SiLæncer]

Einem Bericht von Dr.Web zur Folge sorgt ein Verschlüsselungstrojaner unter Linux für Ärger. Der Schädling verschlüsselt Dateien und fordert von dem Inhaber ein Lösegeld. Grund zur Panik gibt es aber nicht, denn die Funktionsweise ist sehr begrenzt.

Dr. Web hat einen Hinweis für Linux-Nutzer ausgegeben und vor einem Schädling gewarnt, der unter dem freien Betriebssystem die Anwender zu erpressen versucht. »Linux.Encoder.1«, so der Name, ist laut Aussage der Sicherheitsfirma ein Verschlüsselungstrojaner, dessen Funktionsweise an »CryptoLocker« unter Windows erinnert. Der Schädling lädt nach dem Start fehlende Komponenten aus dem Internet und startet sein Treiben, indem er zunächst Dateien in Home-Verzeichnissen verschlüsselt, gefolgt von Dateien innerhalb von »/root«, »/var« und »/etc«. In jedem Verzeichnis mit verschlüsselten Dateien hinterlegt der Trojaner außerdem einen Hinweis mit der Forderung der Erpresser.

Wie sich der Schädling verbreitet, gab Dr. Web nicht bekannt. Aus der Beschreibung geht hervor, dass er allerdings dediziert heruntergeladen und als »root« gestartet werden muss. Damit dürfte allerdings auch das Gefährdungspotenzial massiv relativiert werden. Denn Software, die nach einem Start als »root« Schaden anrichten kann, ist unter Linux nicht unbedingt selten – sie dient oftmals sogar friedlichen Zwecken. Zudem dürfte sich die Zahl der Anwender, die eine solche Software installieren, in Grenzen halten. Die meisten Anwender werden es kaum nötig haben, denn die meisten Distributionen beinhalten die meisten Werkzeuge.

Linux.Encoder.1 führt allerdings erneut vor Augen, dass auch unter Linux unvorsichtige Anwender nicht vor Gefahren gefeilt sind und die grundlegenden Sicherheitskonzepte der Computertechnologie auch unter freien Betriebssystemen ihren Bestand haben. Dazu gehört nun mal, Software nicht aus dubiosen Fremdquellen herunterzuladen – und erst recht nicht als »root« auszuführen.

Quelle : http://www.pro-linux.de

[SiLæncer]

Das Angler Exploit-Kit soll Hand in Hand mit der Malware Pony arbeiten. Diese ist auf der Suche nach Log-in-Daten von Webservern, um das Exploit-Kit zu installieren.

Aktuell sollen unbekannte Angreifer die Malware Pony nutzen, um Log-in-Daten von CMS-Systemen und Webservern abzuziehen. Die erbeuteten Daten missbrauchen sie dann dazu, um Schadcode in die Webseiten zu injizieren. Der leitet Besucher weiter und schlussendlich kommt das Angler Exploit-Kit zum Einsatz, warnen die Sicherheitsforscher von Heimdal Security.

Das Exploit-Kit scanne infizierte Systeme auf Sicherheitslücken und installiert, wenn möglich, die Ransomware CryptoWall. Anschließend codiert der Verschlüsselungstrojaner die Festplatten und fordert ein Lösegeld ein.

Vor allem Europa betroffen

Eine Auswahl der betroffenen Webseiten nennt Heimdal Security in ihrem Bericht. Dabei sprechen sie von einer großflächigen Kampagne, deren Ursprung in der Ukraine zu suchen ist. Aktuell seien vor allem Webseiten aus Dänemark betroffen.

Heimdal Security zufolge sollen Antiviren-Anwendungen derzeit nur bedingt auf den Malware-Cocktail anspringen.

Quelle : www.heise.de

[SiLæncer]

Ransomware ist der absolute Renner in der Crimeware-Szene. Seit einigen Tagen gibt es vermehrt Hinweise auf Infektionen durch eine neue Version des Verschlüsselungstrojaners TeslaCrypt, der Dateien verschlüsselt und mit der Endung .vvv versieht.

Erpressungs-Trojaner sind vergleichsweise einfach zu bauen und werfen offenbar viel Gewinn ab. Anders ist die rasant wachsende Zahl der Versionen dieser Schadsoftware kaum zu erklären. Seit einigen Tagen macht Windows-Nutzern eine neue Version von TeslaCrypt zu schaffen.

Der Verschlüsselungstrojaner gelangt vorrangig als ZIP-Datei getarnter Mail-Anhang mit JavaScript-Inhalt auf die Rechner der Opfer, berichtet beispielsweise die Schweizer Melde- und Analysestelle MELANI. TeslaCrypt verschlüsselt im Hintergrund Dokumente und Bilder des Anwenders und ergänzt sie um die Endung .vvv.

Beim Neustart wird ein Lösegeld in Form von Bitcoins gefordert, um wieder Zugriff auf die Dateien zu erhalten. Antivirensoftware kann die neue TeslaCrypt-Variante zwar entfernen, die verschlüsselten Dateien aber momentan nicht wieder herstellen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Sicherheitsforscher warnen vor der Ransomware Ransom32, die sich als JavaScript-Applikation auf Windows-Computer schleicht. Auch Linux und OS X sind potenziell gefährdet. Kriminelle können sich eine individuelle Version des Schädlings generieren lassen.

Der Verschlüsselungstrojaner Ransom32 ist der erste Schädling seiner Art, der als JavaScript-Applikation daherkommt, warnen Kryptologen von BleepingComputer und Emsisoft. Aktuell seien nur Windows-Computer bedroht.

Ransom32 soll auf dem NW.js-Framework aufbauen, über das Entwickler Desktop-Applikationen, auf JavaScript-Basis, mit Cross-Plattform-Ausrichtung erstellen können. Somit könnten Angreifer die Ransomware mit wenigen Handgriffen auch mit Linux und OS X kompatibel machen, erläuterten die Sicherheitsforscher.

Die mit dem NW.js-Framework erstellten Desktop-Applikationen sollen wesentlich tiefer in das Betriebssystem eingreifen können, als eine JavaScript-Anwendung, die in einer Sandbox abgeschottet in einem Webbrowser läuft.

Viele Viren-Scanner schlagen derzeit keinen Alarm

Da es sich bei NW.js um ein legitimes Framework handelt, soll aktuell kaum ein Viren-Scanner anschlagen. Denn ein Großteil der Scanner stufen die Signaturen der mit dem Framework erzeugten Anwendungen nicht als bösartig ein.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Statt eines Online-Banking-Trojaners installiert der Dridex-Bot aktuell den Virenscanner Avira auf den Rechnern seiner Opfer.

Das Botnet Dridex verteil derzeit das Virenschutzprogramm Avira Free statt der üblichen Ausspäh-Software, wie Avira in seinem Blog berichtet. Die Hintergründe sind derzeit noch unklar.

Eigentlich ist Dridex darauf spezialisiert, Online-Banking zu manipulieren und Tastatureingaben mitzuschneiden. Der dazugehörige Bot wird über Makro-Viren verteilt. Kurioserweise wird über das Botnet jedoch aktuell die Gratis-Version von Avira installiert. Wer hinter der Aktion steckt, darüber kann man nur spekulieren. Avira vermutet, dass es sich um einen White-Hat-Hacker handeln könnte, der die Kontrolle über das Dridex-Netwerk übernommen hat und nun versucht, die Besitzer verseuchter Rechner über die Avira-Installation zu schützen.

Dridex hat nach Einschätzung des FBI allein in den USA einen finanziellen Schaden in Höhe von mindestens 10 Millionen US-Dollar angerichtet. Die Betreiber hatten es offenbar nicht auf Peanuts abgesehen: Die Täter überwiesen von den Konten Ihrer Opfer mitunter Millionenbeträge – etwa 2.158.600 US-Dollar vom Konto einer amerikanischen Ölfirma auf ein Konto in Russland.

Das FBI konnte im August vergangenen Jahres einen der Botnet-Administratoren dingfest machen, woraufhin das Malware-Netzwerk stillgelegt wurde. Im Oktober nahm es allerdings schon wieder den Betrieb auf.

Quelle : www.heise.de

[SiLæncer]

Seit gestern gehen Leser-Hinweise auf verschlüsselte Dateien mit der Endung .mp3 in der Redaktion ein. Die scheint eine neue Variante des Verschlüsselungs-Trojaners TeslaCrypt zu erzeugen.

Der Trojaner befällt nicht etwa Audiodateien, sondern versieht verschlüsselte Dateien nur mit der Dateiendung; aus Tagebuch.doc wird so Tagebuch.doc.mp3. Leser berichten, dass das alle Dateien betrifft, für welche ein Benutzer Schreibrechte besitzt, also sowohl Dateien in seinem Benutzerprofil als auch solche, die auf einer Freigabe im Netz liegen. Wie auch bei den Vorgängern fordern die Erpresser Lösegeld für den Zugang zu den verschlüsselten Dateien: "All of your files were protected by a strong encryption".

Häufig kommt der Schädling per Mail auf den Rechner, das kann sich aber jederzeit ändern. Manche Viren-Scanner springen auf die infizierende Datei bereits an und melden etwas wie "Win32.TeslaCrypt3". Das deutet darauf hin, dass es sich um eine modifizierte Version von TeslaCrypt3 handelt, die bislang Dateien mit den Endungen .xxx, .ttt, oder .micro produzierte.

Wie bei den anderen TeslaCrypt-3-Dateien gibt es bislang keine Möglichkeit, die gekaperten Daten zu entschlüsseln. Der kürzlich veröffentlichte TeslaDecoder funktioniert lediglich mit Dateien mit der Endung .aaa, .abc, .ccc, .ecc, .exx, .vvv, .xyz oder .zzz wie sie TeslaCrypt 2 und seine Vorgänger erzeugt haben. Mit dem TeslaDecoder gelang es heise Security erst kürzlich, die Dateien eines TeslaCrypt-Opfers wiederherzustellen.

Quelle : www.heise.de

[SiLæncer]

Die neue Ransomware Locky findet hierzulande offenbar massenhaft Opfer, darunter auch ein Fraunhofer-Institut. Inzwischen haben die Täter ihrem Schädling sogar Deutsch beigebracht.

Der Erpressungs-Trojaner Locky verbreitet sich insbesondere in Deutschland rasend schnell: Über 5000 Neuinfektionen pro Stunde zählt der Sicherheitsforscher Kevin Beaumont. Erst mit etwas Abstand folgen die Niederlande und die USA in der Liste der am stärksten betroffenen Länder. Es gelang Beaumont, sich in den Datenverkehr der Ransomware einzuklinken, indem er eine der Domains registrierte, unter welcher Locky seinen Command-and-Control-Server zu kontaktieren versucht.

Locky spricht Deutsch

Unterdessen haben die Locky-Entwickler ihrem Schädling auch die deutsche Sprache beigebracht. Wer sich hierzulande infiziert, dem zeigt der Krypto-Trojaner nun einen deutschsprachigen Erpresserbrief. Der Windows-Schädling ändert nach dem Verschlüsseln der Dateien inzwischen auch das Desktop-Hintergrundbild, um seine Forderung deutlich zu machen.

Fraunhofer-Institut infiziert

Zu den Opfern zählt hierzulande laut dpa-Informationen auch ein Fraunhofer-Institut in Bayreuth. Dort hat Locky am Mittwochnachmittag die Dateien eines zentralen Servers verschlüsselt und unbrauchbar gemacht. Von dem Ausfall waren ungefähr 60 PC-Arbeitsplätze betroffen. Eine IT-Expertin des Instituts vermutet, dass der Schädling über einen der Arbeitsplätze ins Netzwerk gelangt ist.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Gegen den Verschlüsselungs-Trojaner Locky ist noch kein Kraut gewachsen. Umso wichtiger ist eine hinreichende Vorsorge, damit bei einer Infektion keine Dateien unrettbar verloren gehen. Deswegen sollten Computernutzer einiges beachten.

Seit Anfang der Woche verbreitet sich der Erpressungs-Trojaner Locky rasend schnell, vor allem in Deutschland. Der Schädling verschlüsselt nicht nur Dateien auf dem infizierten Rechner, sondern auch alles, was er über das Netzwerk erreicht und macht auch vor Cloud-Speichern nicht halt. Gegenwärtig gibt es offenbar keine Möglichkeit, die verschlüsselten Daten zu retten, ohne dass man das geforderte Lösegeld an die Entwickler zahlt. Deswegen heißt es, Vorsorge betreiben, damit ein Angriff durch Locky & Co. keine allzu schlimmen Folgen.

Vorsorge gegen Krypto-Trojaner Locky

    Legen Sie regelmäßig Backups Ihrer wichtigen Dateien an. Der Backup-Datenträger darf nicht dauerhaft mit dem Rechner verbunden sein, da er sonst ebenfalls verschlüsselt wird.
    Halten Sie Ihre System (insbesondere Betriebssystem, Office, Browser und Plug-ins) auf dem aktuellen und somit sichersten Stand.
    Stellen Sie sicher, dass Ihr System von einem Virenscanner geschützt wird, der auf aktuelle Signaturen zurückgreift. Ab Windows 8 ist das Schutzprogramm Defender vorinstalliert.
    Konfigurieren Sie Microsoft Office so, dass Makro-Code gar nicht oder erst nach einer Rückfrage ausgeführt wird (siehe Bilderstrecke).
    Lassen Sie Makro-Code nur bei Dokumenten aus vertrauenswürdigen Quellen zu – und auch nur dann, wenn es unbedingt notwendig ist.
    Öffnen Sie keine Dateianhänge von Mails, an deren Vertrauenswürdigkeit auch nur der geringste Zweifel besteht. Nehmen Sie sich insbesondere vor Rechnungs-Mails in Acht, die Sie nicht zuordnen können.
    Starten Sie keine ausführbaren Dateien, an deren Vertrauenswürdigkeit Sie zweifeln.

Datenrettung nach der Infektion

Ist Locky bereits aktiv, dann kann man nur noch versuchen, zu retten, was noch zu retten ist. Ertappt man den Schädling auf frischer Tat, sollte man Windows umgehend herunterfahren oder notfalls den Stecker ziehen, um die Verschlüsselung zu stoppen. Anschließend startet man den Rechner mit einer Antiviren-DVD wie Desinfec't und versucht den Schädling zu eliminieren.

Windows legt automatisch Schattenkopien diverser Dateien an, aus denen man die bereits verschlüsselten Dateien mit etwas Glück wiederherstellen kann. Sie können versuchen, die Schattenkopien von einem sauberen System mit Tools wie ShadowExplorer zu retten. Allzu große Hoffnungen sollte man sich allerdings nicht machen, da Locky sämtliche Schattenkopien routinemäßig löscht. Allerdings sind heise Security einige Fälle bekannt, in denen dieser perfide Mechanismus nicht ausgelöst wurde. Ferner können Sie versuchen, die gelöschten Originale mit Forensik-Tools wie Recuva, Autopsy oder photorec zu rekonstruieren.

Hilft das alles nichts, sollten Sie die verschlüsselten Dateien unbedingt aufheben. Oftmals wird nach einiger Zeit ein Weg bekannt, die Verschlüsselung der Erpressungs-Trojaner zu knacken – wie etwa im Fall von TeslaCrypt 2.

Quelle : www.heise.de

[SiLæncer]

Nachdem der Verschlüsselungs-Trojaner zunächst vor allem über Office-Dateien verbreitet wurde, verschicken die Täter jetzt Skripte. Dadurch ist ein Ludwigsluster Wursthersteller unfreiwillig zur Anlaufstelle der Locky-Opfer geworden.

Der auf Windows-Rechner zielende Verschlüsselungs-Trojaner Locky wird inzwischen auch über Skript-Dateien verbreitet, die täuschend echt aussehenden Rechungs-Mails anhängen. Zuvor nutzten die Täter vor allem Office-Dateien mit Makro-Code und Exploit-Kits, um den Schädling unter die Leute zu bringen. Durch den neuen Verbreitungsweg waren die Online-Ganoven den Virenscannern wieder einen Schritt voraus. Ein Ludwigsluster Wursthersteller hat sich unterdessen unfreiwillig zur zentralen Anlaufstelle der Locky-Opfer entwickelt.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Auch wer seine Mails sorgfältig filtert, läuft Gefahr, sich den Erpressungs-Trojaner TeslaCrypt einzufangen. Auf scheinbar harmlosen Web-Seiten lauern Exploits, die deren Besucher infizieren.

Bislang sah es so aus, als würde TeslaCrypt vor allem via E-Mail verteilt. Versehentlich geöffnete Word-Dateien mit bösartigen Makros waren ein übliches Infektionsszenario. So konzentrierten sich viele zu ihrem Schutz auf den Mail-Eingang. Das könnte fatale Folgen haben; denn mittlerweile kann man sich den Erpressungs-Trojaner auch beim Surfen einfangen.

Der Schädling lauert dabei auf scheinbar harmlosen Seiten und nutzt Sicherheitslücken in Windows beziehungsweise der installierten Software aus, um aktiv zu werden. Kurze Zeit später erscheint dann die Nachricht, dass die Dateien verschlüsselt wurden und nur gegen Zahlung von Bitcoins wieder zu entschlüsseln sind. Die Opfer können auf Dokumente, PDFs, Bilder und anderen Daten nicht mehr zugreifen, denn TeslaCrypt hat daraus verschlüsselte Dateien etwa mit der Endung .mp3 gemacht.

Auf den Spuren der Täter

Experten einer Spezialeinheit Cybercrime des LKA Niedersachsen sind bei ihren Ermittlungen in mehreren, voneinander unabhängigen Fällen auf infizierte Joomla-Server gestoßen, die TeslaCrypt verteilten. Das seltsame daran: Es stellte sich heraus, dass die Joomla-Installationen auf dem aktuellen Stand waren und keine offenkundigen Sicherheitslücken aufwiesen, über die die Kriminellen eindringen konnten.

Des Rätsels Lösung: Der letzte große Joomla-Sicherheits-Patch vom 14. Dezember vorigen Jahres stopfte ein Loch, das bereits seit einigen Tagen ausgenutzt wurde, bevor man sich schützen konnte. Noch dazu musste das Joomla-Team ein weiteres Update nachlegen. In dem 0day-Fenster wurden viele Systeme kompromittiert. Eine dabei eingebaute Hintertür wurde durch das Einspielen des Udpates nicht geschlossen; über sie können die Einbrecher dann später noch Schad-Code in das scheinbar sichere System einschleusen. Aller Wahrscheinlichkeit nach handelt es sich bei dem Joomla-Servern mit TeslaCrypt um solche Fälle.

In den bekannten Fällen lag der Schad-Code in den Dateien

/administrator/includes/defines.php
/includes/defines.php

und enthielt neben offensichtlich verschwurbeltem PHP-Code auch Funktionsaufrufe wie decrypt_url. Admins von Joomla-Servern tun gut daran, ihre Systeme auf Anzeichen solcher Infektionen zu überprüfen. Darüber hinaus ist natürlich davon auszugehen, dass das Problem keineswegs auf Joomla begrenzt ist; vielmehr attackieren die Angreifer auch Wordpress, Drupal und andere CMS. Generell muss man damit rechnen, dass die Kriminellen jeden gangbaren Weg nutzen, ihren für sie so lukrativen Unrat zu verteilen.

Quelle : www.heise.de

[SiLæncer]

Der gefährliche Erpressungs-Trojaner wird seit kurzem über Mails verbreitet, die vorgeben, dass der Empfänger ein Fax erhalten hat. Die Virenscanner können mit der aktuellen Locky-Fassung noch nicht viel anfangen.

Nach einer kurzen Pause verbreiten Online-Ganoven den Verschlüsselungs-Trojaner Locky nun mit einer weiteren neuen Masche: Sie verschicken Mails, die vorgeben, dass der Empfänger ein Fax erhalten hat. heise Security liegen verschiedene Versionen der aktuellen Locky-Kampagne vor. Eine Mail stammt vermeintlich von dem VoIP-Provider sipgate. Die Erpresser haben als Vorlage offenbar eine legitime Benachrichtigungs-Mail des Anbieters im HTML-Format missbraucht. Ihr Betreff lautet "Neues Fax von 034205-99***".

Die in unserer Mail vollständig angegebene Faxnummer gehört offenbar zu einer Baufirma aus Leipzig. Der Empfänger wird mit dem Teil seiner Mail-Adresse angesprochen, der sich vor dem @ befindet. In der Mail wird der Empfänger aufgefordert, den Anhang zu öffnen: "Sie haben ein neues Fax in Ihrer Ereignisliste! Um das Fax zu lesen, bitte den Anhang öffnen". Abgesehen davon, dass die eingebetteten Bilder zum Zeitpunkt unserer Analyse nicht nachgeladen werden konnten, ist sie täuschend echt. Dass die Mail gar nicht von einem sipgate-Server verschickt wurde, erfährt man erst durch eine Auswertung des Headers. Sipgate warnt auf seiner Homepage inzwischen vor den Virenmails.

Virenpost vom Scanner

Eine weitere Mail ist deutlich einfacher aufgebaut. Ihr Betreff lautet "Scanned image", in der Mail heißt es "Image data in PDF format has been attached to this email". Die Mail ist simpel, aber vermutlich effektiv: Einige Multifunktionsgeräte und Kopierer mit Mail-Funktion verschicken durchaus ähnlich formulierte Nachrichten. Bei der Absenderadresse wird in diesem Fall die Domain der Mail-Adresse genutzt, an welche die Mail geschickt wurde, also etwa southlands501@heise.de. Als Absendername ist "admin" angegeben.

Im Anhang der Mails befindet sich ein ZIP-Archiv, das eine Skript-Datei mit der Endung .js enthält. Wer das Skript ausführt, fängt sich binnen weniger Sekunden den Verschlüsselungs-Trojaner Locky ein, der auch umgehend damit beginnt, alle möglichen Dateien zu verschlüsseln. Bei einer Analyse mit dem Virenscan-Dienst VirusTotal erkannten nur 3 von 55 Virenscannern das Locky-Binary. Bei dem Dienst kommen allerdings nicht alle Schutzfunktionen der Antivirenprogramme zum Einsatz. Es ist zum Beispiel möglich, dass ein Virenscanner, der bei VirusTotal durchgefallen ist, den Schädling auf einem echten System über die Verhaltsüberwachung identifizieren und stoppen kann.

Wer eine solche Mail erhält, sollte sie am besten sofort löschen. Öffnen Sie keinesfalls den Anhang. Wie Sie Ihr System vor Locky schützen und was nach einer Infektion noch zu retten ist, haben wir in folgendem Artikel zusammengefasst:

    Krypto-Trojaner Locky: Was tun gegen den Windows-Schädling

Quelle : www.heise.de