Neue Locky-Variante mit .aesir-Endung aufgetaucht

Neue Locky-Variante mit .aesir-Endung aufgetaucht

Eine neue Variante des Verschlüsselungstrojaners Locky ist laut den Experten von Bleepingcomputer.com unterwegs und verschlüsselt die betroffenen Benutzerdateien mit der Endung .aesir

Verschlüsselte Dateien mit .aesir-Erweiterung (Bild: bleepingcomputer.com)

Verschlüsselte Dateien mit .aesir-Erweiterung (Bild: bleepingcomputer.com)

Die neue Variante von Locky greift auf ein bewährtes Verfahren zurück - wird der Schadcode ausgeführt, so verschlüsselt der Trojaner die Dateien, auf die der Benutzer Zugriff hat und zeigt eine Aufforderung zur Lösegeldzahlung an. Da es für diese Variante kein Entschlüsselungstool gibt, ist die Gefahr erneut als sehr hoch anzusehen.

Laut Meldungen von Bleepingcomputer.com kommt die neue Variante hauptsächlich als gefälschte Mails von Providern daher und informiert den Benutzer darüber, dass über den eigenen PC illegal Spam-Mails versendet wurden. Im Anhang befindet sich eine Zip-Datei mit einer ausführbaren Javascript-Datei, welche die Infektion  auslöst.

Betroffene Benutzer sollten unter keinen Umstellen den Anhang öffnen, auch wenn die Mail täuschend echt aussehen sollten. Im Zweifelsfall können Sie uns gerne kontaktieren, wir analysieren die Mails für Sie und lassen Sie wissen, ob es sich hier um legitime Nachrichten ihres Providers handelt oder nicht.

Parallel wird die neue Variante auch über gekaperte Accounts im Facebook-Chat an die eigenen Kontakte versendet. Bei dieser Infektionsvariante wird eine SVG versendet, die einen Verweis auf verseuchte Webseiten enthalten. Besucht man die Webseite, infiziert man sich über diesen Weg.

Weitere Informationen gibt es bei Bleepingcomputer.com

Ransom32 – Javascript Ransomware als SaaS

Ransom32 – Javascript Ransomware als SaaS

Das Jahr fängt an und hat direkt eine sehr ernstzunehmende Bedrohung mit im Gepäck: Ransom32, eine Javascript Ransomware.

Ransom32 Ransomware: Erpresserbildschirm

Ransom32 Ransomware: Erpresserbildschirm

Ransomware ist nichts Neues, Schadhafter Code, der Benutzerdaten unnutzbar macht und den Anwender erpresst, möchte dieser seine Daten wieder verwenden wollen - wie dies im Detail geschieht und ob die Daten wieder freigegeben werden, das unterscheidet sich von Fall zu Fall.

Ransom32

Im Falle von Ransom32 werden Daten verschlüsstelt (dies schliesst auch verbundene Backuplaufwerke/Netzlaufwerke ein) und dem Benutzer eine Aufforderung zur Zahlung per Bitcoin gestellt. Damit der Benutzer überprüfen kann, dass seine Daten bei Zahlung tatsächlich wiederherstellbar sind, bietet Ransom32 eine Testfunktion an und bietet die Möglichkeit eine einzelene Datei wiederherzustellen, ebenfalls wird dem Benutzer schön erklärt, wie er an Bitcoins kommt, damit er die Zahlung tätigen kann. Nette Hilfen, für einen bösen Schaden, denn Ransom32 verschlüsselt alles was er finden kann, sofern es eine der folgenden Endungen besitzt:

*.jpg, *.jpeg, *.raw, *.tif, *.gif, *.png, *.bmp, *.3dm, *.max, *.accdb, *.db, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*, *.*spv*, *.*grle*, *.*mlx*, *.*sv5*, *.*game*, *.*slot*, *.dwg, *.dxf, *.c, *.cpp, *.cs, *.h, *.php, *.asp, *.rb, *.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb, *.inx, *.idml, *.pmd, *.xqx, *.xqx, *.ai, *.eps, *.ps, *.svg, *.swf, *.fla, *.as3, *.as, *.txt, *.doc, *.dot, *.docx, *.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm, *.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm, *.sldx, *.sldm, *.wav, *.mp3, *.aif, *.iff, *.m3u, *.m4u, *.mid, *.mpa, *.wma, *.ra, *.avi, *.mov, *.mp4, *.3gp, *.mpeg, *.3g2, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.m3u8, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.ses, *.dat

und sich nicht in einem der folgenden Verzeichnisse befindet:

  • :\windows\
  • :\winnt\
  • programdata\
  • boot\
  • temp\
  • tmp\
  • $recycle.bin\

Problematik

Ransom32 baut auf dem Java Framework NW.js auf und nutzt somit erstmal ein Framework, welches von Sicherheitssoftware als nicht gefährlich eingestuft wird. Durch die Nutzung von NW.js wird Ransom32, zumindest in der Theorie, zu einem Multi-Plattform-Problem, auch wenn er bisher nur für Windows im Umlauf ist, so besteht doch die Möglichkeit, dass er für Linux und MacOS entsprechend angepasst wird und ausführbar ist. NW.js bietet ähnlich tiefe Zugriffe ins Betriebssystem, wie es zum Beispiel C++ tut.

Software as a Service

Problematisch ist die Gestaltung des Trojaners, denn er kommt als quasi "Software as a Service" und kann vom "Anwender" angepasst werden, so lässt sich die Bitcoin-Adresse frei setzen, das Verhalten der Warnmeldung und viele weitere Faktoren, bevor der Trojaner auf sein Opfer losgelassen wird, der sich auf dem infizierten System fortan als Chrome Browser ausgiebt und über einen angepassten Tor-Browser den Zugang zu seinem Webservice herstellt und über diesen die Verschlüsselungsparameter und die notwendigen Keys austauscht.

Erkennung

Nachdem die AV-Hersteller lange gebraucht haben, erkennen die Meisten nun Ransom32 und bieten auf den Systemen einen ausreichenden Schutz. Stellen Sie sicher, dass Sie eine passende Lösung installiert haben und diese auf dem aktuellen Stand ist. Welche Hersteller Ransom32 bereits erkennen, können Sie auf Virustotal.com testen, dort werden alle 24 Stunden 55 unterschiedliche Virenscanner getestet.

Sophos UTM/SG und die Bash-Sicherheitslücke Shellshock

sophoslogo

Sophos vermeldet, dass die von ihnen vertriebenen Produkte und insbesondere die durch die TriSec GmbH genutzten Gerätereihen UTM und SG (vormals Astaro), nicht durch die Shellshock Sicherheitslücke betroffen sind.

Durch einen Fehler in der Bash, die beinahe jede genutzte Instanz der letzten Jahre betrifft, kann es möglich sein, Code auf dem betroffenen System auszuführen. Siehe dazu CVE-2014-6271 und CVE-2014-7169)

Sophos wird alle Kunden nochmals gesondert benachrichtigen und mitteilen, dass keines der Produkte durch die Sicherheitslücke betroffen ist.

Eine Übersicht über alle Sophosprodukte, die Bash nutzen findet man: HIER

Windows XP nach dem Supportende durch Microsoft weiternutzen?

Der Support für Windows XP wird am 8.4.2014, nach nunmehr 12 Jahren, durch Microsoft eingestellt.

Microsoft Windows XP Supportende

Windows XP ist auch weiterhin in vielen Haushalten und Unternehmen noch aktiv im Einsatz und wird sehr wahrscheinlich nach dem 8. April zu einem beachtlichen Sicherheitsproblem. Wir gehen davon aus, dass Angreifer bereits die fertigen Kits, Würmer und Trojaner in der Schublade haben, aber auf das Supportende warten, denn ab diesem Tag gibt es durch Microsoft keinerlei Support mehr, weder kostenlos, noch bezahlt. Es werden ab diesem Zeitpunkt keinerlei Sicherheitsupdates mehr zur Verfügung gestellt, sprich Sicherheitslücken, die ab dem 9. April entdeckt werden, bleiben offen! 

Zwar ist dieses Risiko im Moment nur in der Theorie existent, aber wir gehen davon aus, dass es nur kurze Zeit dauern wird, bis die noch über 20% Windows XP Installationen (Stand Ende September 2013), die Microsoft auf immernoch hohe 13% bis zum Stichtag drücken will, Ziel von massive Angriffen werden. Bedenkt man dass sich Microsoft offizieller Zahlen bedient und Windows XP eines der beliebtesten Betriebssysteme des Schwarzmarktes war, dürfte die Zahl der Installationen sicher immernoch bei rund 20% liegen - für Angreifer ist dies eine Goldgrube, denn ihre Schadsoftware fällt im Idealfall nicht mal auf, da die meisten Hersteller von Anti-Viren Software den Support für XP-Installationen bereits eingestellt haben oder zum Microsoft-Stichtag ebenfalls einstellen.

Sollten Sie im Unternehmensumfeld XP-Installationen betreiben, so ist es allerhöchste Zeit aktiv zu werden und die Systeme zu migrieren oder stillzulegen, um nicht grob fahrlässig Opfer eines Angriffes zu werden, bei dem ihn niemand mehr helfen kann, weil es keine Patches für entdeckte Lücken geben wird!

Microsoft stellt betroffenen Anwendern und Administratoren eine Informationesseite zur Verfügung, auf der man die möglichen Optionen sowohl für Windows XP, als auch für Office 2003, welches zum gleichen Zeitpunkt eingestellt wird, nachlesen kann.

Gerade im privaten Umfeld lohnt sich bei einem Rechner, der noch mit Windows XP läuft, ein Blick über den Tellerrand. Auf der tendenziell älteren Hardware könnte eine geeignete Linux-Distribution mit schlankem Window-Manager zu einem zweiten Leben als Surf-PC verhelfen. Eine Übersicht über beliebte Distributionen findet man auf Distrowatch.com.

WICHTIG!!! – Virenwarnung: Downadup (Conficker) Wurm [UPDATE]

Was tun um eine Infektion zu verhindern:

  • Versichern Sie sich dass die letzten Windows Patches eingespielt sind (insbesondere Patch MS08-067 muss vorhanden sein)
  • Stellen Sie sicher dass ihr Unternehmen die aktuellste Version ihrer Virensoftware nutzt
  • Überprüfen Sie, ob diese AV-Software die aktuellsten Updates bezieht
  • Deaktivieren Sie autorun und autoplay Option für USB Sticks
  • Weisen Sie Domänennutzer darauf hin sichere Passwörter zu nutzen
  • Legen Sie einen besonderen Wert auf die Sicherheit des Administratoren Passworts
  • Alle Netwerkfreigaben sollten ebenfalls über Sicherungen verfügen
  • Passwörter sollten mindestens 10 Stellen, sowie Groß- und Kleinschreibung, wie auch Sonderzeichen enthalten

Was tun bei einer Infektion?:

  • Schauen Sie auf den Webseiten ihres Anti Viren Herstellers nach geeigneten Removal Tools
  • Die Entfernung des Wurms ist sehr komplex und kann Sie zwingen Teile ihres Netzwerkes vorübergehend abzuschalten
  • Schränken Sie USB Stick Zugriffe ein und deaktivieren Sie alle, nicht zwingend benötigten Dienste auf ihrer Firewall

Die wichtigsten Schritte nochmal in der Übersicht:

  1. Sie müssen alle befallenen PCs in ihrem Netzwerk säubern um eine erneute Infektion zu vermeiden!
  2. Säubern sie zuerst die Server, dann die Workstations.
  3. Installieren sie den Microsoft Patch manuell (von einem sauberen PC downloaden und dann lokal installieren)
  4. Updaten sie ihre AntiViren Software ebenfalls manuell.
  5. Führen sie einen Vollscan ihres Systems aus und stellen sie sicher dass der PCs wieder sauber ist. (Alle Dateitypen in den Scan einschliessen!)
MENU

Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Nutzung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. mehr Informationen

Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Nutzung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter.

Weitere Informationen

Schliessen