Topic: Warnung: 2016, das Jahr der Cryptoviren - locky and co - oder Ransomsoftware - page 2. (Read 6754 times)

Vielen Dank für die Info

Viele Schadsoftware hat Mechanismen, die erkennen wenn sie in simulierter Umgebung starten. Ob das Sandbox oder VM ist kann oftmals nicht erkannt werden. Aber die Schadsoftware versucht sich dann zu verstecken oder wird nicht ausgeführt. Oder sogar genau das erwartete gemacht.

Wenn da zb von einem Video die Rede ist und ein Video in der Sandbox angezeigt wird, heist das nicht, das in the Wild nicht doch noch zusätzliche etwas nachgeladen wird. Ganz so sicher wir man sich das vorstellt ist die Sandbox dann nicht.

Zusätzlich ja, aber Stealer die zb die Wallet abgreifen, haben trotzdem leserechte!

MfG

Das kam leider in den letzten Jahren häufiger vor, siehe Playstation Network...
Die Emailadressen bzw verteilerlisten kann man im darkweb kaufen. Für einen kleinen Teil eines BTC kann man hier tausende gültige Emailadressen kaufen. An diese Adressen schickt man z.B. Locky und einer ist immer dabei der den link dann anklickt und seinen Rechner infiziert...

Ebay wurde vor einiger Zeit gehackt und viele Accountdaten gingen flöten. Email, Konto, Namen. Vermutlich wird gerade diese Liste zugespamt.

also ich bekomm mails auf einen erfunden namen den ich NUR bei ebay verwedet hatte (war ein zweit fake acc)

Jo, stimme ich dir zu.

Wenn man sich die Viren der letzten 20 Jahre anschaut merkt man wie der Anteil an automatischen Infektionen abgenommen hat und wie immer mehr versucht werden muss, den User dazu zu bringen eine Aktion zu machen. Die letzten 2-3 Jahre sind praktisch alle großen Virenwellen auf Userinteraktion angewiesen gewesen.

Also kann man es dadurch auch ganz gut erkennen, wenn man seinen Blick dafür schärft.

Was es an Netzwerkinternen und Drive-by Vektoren gibt, wird von normalen Kriminellen nicht genutzt. Einfach zu teuer und man kann den Bug legal für fast das selbe verkaufen, wie man illegal abzocken könnte. Das nutzten dann andere und ist auch ein völlig anderes Thema. Das wird auch von Virenscannern meist nicht erkannt, weils da entsprechend Vereinbarungen gibt.

USA wird sich sicher keinen Exploid den sie teuer erworben haben, einfach so via Virenscanner lahmlegen lassen. Die haben da schon ihre Möglichkeiten, wie wir heute wissen.

Danke dir

Wie lang das genau für ein GB dauert kann ich nicht sagen, bei einem Kunden wurde der gesamte Desktop (tja...das war bei ihm eher ein Temp-Verzeichnis bzw Ablage...) ca 1,5-1,7GB (im Backup) war in ca 5Minuten verschlüsselt.

Chefin hat schon recht, wie schnell der genau ist kann man nicht sagen. Drehen Platten, also herkömmliche HDDs sind deutlich langsamer als SSDs. SSDs werden merklich schneller verschlüsselt, das liegt aber halt auch daran, dass SSDs einen deutlich größeren Datendurchsatz haben als HDDs.

@chefin
Natürlich sollte man sich nicht nur auf tools/Antivirensoftware verlassen. Aber diese bieten eine guten Grundschutz. Das von mir verlinkte Tool schützt NUR gegen Ransomware und nicht gegen z.B. "herkömmliche" trojaner.

Ist der Nutzer natürlich immer aufmerksam sinkt die Gefahr einer Infizierung deutlich.

Abhilfe schafft ebenfalls noch, per Richtlinie das starten/ausführen von Exe,zip, sonstige Dateien, zu unterbinden. Klar, das lässt sich auch wieder umgehen, aber bis jetzt funktionieren alle mir bekannten Ransomware in den Temp-Verzeichnissen bzw werden dort herunter geladen.

AES ist schnell. Der Key ist AES, er liegt aber mit RSA verschlüsselt auf deiner Platte. Und den Privatekey zu diesem RSA muss man kaufen.

Damit dürfte die Platte der begrenzende Faktor sein. Eine SSD könnte vieleicht schneller liefern als der PC verschlüsseln. Mechanische Festplatten aber wohl eher nicht. Damit dürfte ein Limit so bei 100-150MB/sec liegen. Vieleicht auch etwas mehr. Genaue Analyse der Software bekommt man wohl eher nicht. zB wieviel Kerne sie nutzt, wie stark sie parallelisiert usw.

Auch geht sie nicht pauschal auf alle Dateien los, sondern auf bestimmte Datenformate. Also muss sie auch erstmal die typischen Ablageorte abklappern, wo sie sicher einiges findet. Mit etwas glück liegt dort eher belangloses und die wichtigen Orte kommen erst später dran, wenn sie gefunden wurden. Das gibt einem eine gewisse Chance. Aber wie die das genau aufteilen..keinen Plan. Möglich wäre auch, das sie zuerstmal alle Verzeichnisse durchackern um die Orte mit dem höchsten Schadenspotential zu finden. Das dürfte recht schnell gehen. Und dann gezielt dort zuschlagen, wo möglichst viele Datendateien liegen.

Extrem interessant und sehr gut recherchiert, vielen Dank! Ist denn bekannt, wie lange die Verschlüsselung von zB 1 GB dauert? Ich schätze das ist abhängig von der im PC verbauten CPU?

Malwarebytes ist zu einseitig. Es wird hauptsächlich über Heuristik erkannt. Das machen aber Virenscanner auch.

Heuristik hat aber Nachteile, wenn man die Umgebung nicht kennt. Manche Dinge sind kaum zwischen Gut und Böse zu klassifizieren. Man benötigt also einen weiteren Virenscanner. Und der hat seinerseits auch Heuristik. Das man Verschlüsselung über Heuristik gut erkennen kann, wissen inzwischen alle und zumindest 2 Virenscanner mit denen ich zu tun habe lassen sich von keinen Verschlüsselungstrojaner mehr hinters Licht führen.

Allerdings wüsste ich auch schon, wie ich das wiederum austrickse. Momentan wird das erkannt, weil man die Verschlüsselung als solches erkennt. Und die Dateiendung auf eine bestimmte Endung geändert wird. Verschlüssel es, indem man es zusätzlich komprimiert und in ein .ZIP steckt. Und schon funktioniert die Heuristik nicht mehr. Oder sie lässt dich keine ZIP-Ordner mit Passwort mehr anlegen (die ja nichts anders sind wie verschlüsselte und komprimierte Dateien).

Du hast also für einige Tage Schutz, weist aber nicht wann die Hacker nachlegen. Und wie das so ist, man fühlt sich sicher und geht stärkeres Risiko ein. Bisher war kein Drive-by Infect dabei und der ist auch sehr schwer zu bekomme. Es ist nicht so, das jeder einfach in TOR schnell mal danach sucht und es downloaded. Sowas kostet richtig gut Geld. Musst du erstmal verdienen. Hacker sind ja keine reichen Menschen, die aus Langeweile sowas tun. Also fehlt zu Anfang das geld solche Exploids zu kaufen. Und später, wenn das Geld fliest, braucht man das doch garnicht. Es reicht doch, wenn immer was reinkommt. Erst wenn die Quelle am versiegen ist, wird man sich solche Exploids kaufen wollen. Ob die dann aber ihr Geld noch reinspielen? Ist ja auch so, das Virenscanner permanent nachlegen und so auch beim Drive-by nur noch wenige Infiziert werden.

Ich halte solchen Aktionismus mit schnell irgendwelche tools installieren nicht unbedingt für gut. Man fühlt sich sicher, ohne es zu sein. Gegen einen geschärften Geist hat Schadsoftware kaum eine Chance. Aber wenn man permanent alles irgendwelchen tools übergibt, wird man unvorsichtig und leichtsinnig.

Zu Malwarebytes kann ich noch sagen, dass es zumindest aktuell den Locky unterbindet. Habe es in einer VM getestet, und sobald man den Virus öffnet und die Verschlüsselung beginnt terminiert Malwarebytes den Prozess und die Verschlüsselung kommt nicht weit. Da die Software "free" ist, würde ich sie jedem empfehlen.

Unerwünschte E-Mails mit Gewinnen etc. - Dinge die einfach zu gut klingen, um wahr zu sein -  sind bekannterweise ein echter Klassiker der Betrüger. Ein Bekannter von mir, ist vergangene Woche leider auf diese eigentlich altbekannte Masche reingefallen. Hauptgewinn, Anhang... Locky   Würde ein Vertreter an seiner Tür stehen und ihm die Welt auf den Silbertablett servieren, wäre er doch sicherlich auch skeptisch. Warum dann nicht bei E-Mails? So ausgeklügelt viele Betrugsversuche per E-Mail auch sind, die meisten kann man sicherlich mit gesundem Menschenverstand vermeiden!

Die verschlüsselten Dateien des aktuellen Locky-Trojaners können im Prinzip nur entschlüsselt werden, wenn die Server der Betreiber bereits
beschlagnahmt wurden. Mit den richtigen Sicherheitseinstellungen und einem gesundem Menschenverstand sollte man jedoch ohne Angst im Internet surfen können. Meinen Bekannten empfehle ich eigentlich immer den Einsatz von NoScript (Stichwort: Drive-by Viren), Sandboxie, Defender und Virustotal. Dazu ein eingeschränktes Benutzerkonto. Damit surfe ich seit Jahren Virenfrei .

Das bereits angesprochene Malwarebytes Anti-Ransomware https://blog.malwarebytes.org/news/2016/01/introducing-the-malwarebytes-anti-ransomware-beta/ machte in ersten Tests einen sehr guten Eindruck! Vielleicht ein kleiner "Hoffnungsschimmer" im Kampf gegen Ransomware.

Das war ein "Experte" im Fernsehn gestern abend, der so einige Programme vorgestellt hat die die ersten Lockys entschlüsseln konnten.
Irgend wie war das
- Laden sie eine Datei herunter
- Geben sie dem Programm eine der verschlüsselten Dateien, es rechnet einen Key aus
- Den Key auf unserer Webseite eintragen
- Seite rechnen lassen (kostenlos), erzeugt eine Datei
- Anderes Programm runterladen, Datei einfügen, starten
- Alles wieder da, soweit möglich.

Er hat gesagt, das es nur bei "alten" Lockys hilft, seit ein paar Tagen nicht mehr, da ja ein Schädling aus dem Netz nachgeladen wird und der wohl besser verschlüsselt, weil nicht alle PCs ein festes Salt haben.
Der Fehler war, das ein recht einfaches Verfahren genutzt wurde mit einem großen salt, und das war immer gleich, so musste nur der einfache Schlüssel des eigentlichen Systems erraten werden und der war auf dem Server abgelegt (Rainbowtables?). War natürlich Nachrichtenmäßig einfach erklärt, damit jeder Depp mitkommt.
Der aktuelle Locky hat wohl tatsächlich ein zufälliges Salt und einen zufälligen Key, und mindestens einen sogar pro Systemstart. Mit ein bissel Pech sind die Files mehrfach gelockyt und man darf trotz Lösegeld verzichten, da natürlich nur der gerade laufende Locky den Key auf den Server lädt.

Kannst du mir bitte die Quelle nennen, in der du das gefunden hast? Das wäre sehr sehr hilfreich!

Es kann sein, dass hier nicht SHA sondern eine andere Verschlüsselung zum Einsatz kommt, mein Anliegen war es in erster Linie darauf aufmerksam zu machen. Nach dem ganzen Cryptsy Zeug muss keiner seine BTC auch noch verlieren, weil das Backup/Wallet verschlüsselt ist

Locky hat auch teilweise mit hardgecodeten Keys gearbeitet, war von daher in Sekunden brutebar.
Aber da alle 5 Minuten neue Lockies auftauchen mag das mttlerweile anders sein, und Konsens ist das Locky mittlerweile zu ist.
Durch den Onlineupdate ist da vorerst auch nix zu wollen.

Kleine Anmerkung zum ersten Post:


Soweit ich weiß wird mit PGP 2048 bit und AES 128 bit verschlüsselt. SHA(1,2,3) ist ohnehin nicht zur Verschlüsselung geeignet.

Auch wieder wahr.

Wir müssen wieder zum Einschreiben oder Fax zurück.
Aber da wird auch gespamt.

@hodlcoins:

Arbeite mal in der Auftragsannahme einer Firma oder ähnlicher Abteilung wo du mit Kunden zu tun hast. Du glaubst garnicht, was einem da alles zugemutet wird. Wir hatten sogar schon selbstentpackende (.exe) Archive mit PDF-Inhalt, deren Endeung auf .ZIP geändert waren. In der Mail steht dann auf .exe ändern und entpacken bitte. Natürlich haben wir das abgelehnt und den Kunden angerufen Telnummer war in der Mail.

Der war nicht angetan, das wir seine Mail nicht annehmen wollten. Er muss ZIP machen, weil deren Firewall keine Exe raus und rein lässt. Und er hatte schon den Fall das jemand kein ZIP entpacken konnte (oder wollte wie auch immer) also macht er es jetzt als Exe, damit JEDER es entpacken kann. Linux kennt er natürlich aber wird nur auf Servern und in Unis verwendet.

Das ist zwar eines der krasseren Beispiele, aber du hast unmengen an Dienstleister, die blödsinnige Verfahrensweisen haben das du nur den Kopf schütteln kannst. Einige Firmen pflastern ihre Mails so zu das unser Spamfilter immer drauf anspringt und wir Mühe haben sie zu whitelisten. Die wechseln auch noch dauernd ihre Absende-Domain, lt Sachbearbeiter je nachdem an welchem PC er gerade sitzt. Da versucht man erst garnicht ihn aufzuklären, wie er das einstellen kann. Den dann kommt, das er dann ja nicht mehr sehen können, für welches Projekt das ist. Herr...schmeiss....

Und in diesem Gewussel willst du noch seperat zur Mail irgendeinen extra Informationsaustausch haben. Wir haben 2000 Kunden, wenn statistisch nur alle 3 Jahre einem der Kunden seine Passphrase flöten geht und wir eine neue benötigen, kommt das 2x arbeitstäglich vor. Und ich bin mir sicher, das du einige Kunden hast, die mehrmals im Jahr aufgrund von Mitarbeiter wechsel diese Information ändern müssen. Das ist absolut Unbrauchbar für Auftragsbearbeitung. Weil bei 2000 Kunden diese Kunden eben nicht täglich bestellen, somit also hoher Anteil an Kunden die bei jeder Bestellung inzwischen auch diese Information für die 2FA geändert haben. Wenn ich aber in 50-70% der Fälle anrufen muss, kann man es auch gleich wieder faxen, das geht schneller als Reden.

Und dazu kommt, das man auch Spam erstmal nachtelefonieren muss. Erst wenn man hinterher telefoniert weis man ob es wirklich eine echte Mail oder ein Virus ist weil keine 2FA. Dann mach ich mir den Spaß und sende an die Bestellmail unmengen an Mails mit Telefonnummern wild durch die Bank. Ältere Menschen, weil dann dauert es länger bis man kapiert das man verarscht wurde. Behörden, weil du dann mindestens 5 Leuten die Story sagen musst bis du merkst, das da wohl spam reingekommen ist, Firmendurchwahl in Produktion wo es so laut ist, das du ewig brauchst rauszufinden das etwas nicht stimmt.

Wie gesagt, öffne die Möglichkeit Scheisse zu bauen und du findest Menschen die sich den Spaß erlauben es zu machen.

2FA für Mailanhänge:
Der Absender muss ein individuelles Kennwort vom Empfänger anfordern, mit dem ein evtl. Anhang verschlüsselt wird.
Da das für jede emailadresse individuell ist und sich unvorhergesehen ändern kann, ist es für Virenschreiber unrentabel.
Andere Anhänge werden kommentarlos gelöscht.
Mails nur noch als nur-Text, HTML/Richtext ebenfalls direkt in die Tonne, so wie es sich gehört.

Mühsam, aber effektiv. Wenn nur ich und Herr Müller wissen wie wir Mails verschlüsseln (und es reicht 123456 als Passwort) kann eine Mail nur von ihm persönlich sein, nicht nur "von seinem Rechner".
Man darf nur nicht den Fehler machen, der Maschine das PW anzuvertrauen, also kein "Tresor" oder PGP oder so.
Daher reicht auch ein einfaches Passwort, damit man es eben via Mail oder Telefon verteilen kann.

99,99% aller Mails die ich bekomme haben Richtext oder HTML nur für Logos, bunte Messehinweise, "Unterschriften". Keiner meiner legitimen Kontakte bräuchte das, man macht das weil's alle machen, und weil's geht. Einen echten Grund gibts nicht, genau wie für die Vertragsbedingungen unter Mails, völlig nutzlos, macht aber jeder.

@Zytrex:
Ja, eine Sandbox hilft, auch wenn sie seitens Kaspersky nicht empfohlen wird, da viele Programme die Sandbox erkennen und entweder umgehen oder das erwartete tun, damit kein Verdacht erregt wird.
Ich frage mich nur, warum du zweifelhafte Dateien überhaupt öffnen musst.
Kenn ich nicht: lösche ich. Hatte ich noch nie: lösche ich. Sieht komisch aus: lösche ich.
Und wenn mir wirklich einer sowas schicken muss, ruf ich an. Musste ich aber noch nie.

Ganz ehrlich, ich frage mich, warum Gehirn 1.0 nicht benutzt wird. Jeder Mensch hat eins, die wenigsten nutzen es.
Bislang ist mir selbst schon mehrmals diverser Scheiß ins Netz gegangen, da ich leider im info@-Verteiler bin.
Warum bin ich der einzige der 40 Kollegen, der sich Gedanken macht, ob Paypal wirklich so scheiße schreibt?
Ob wir echt ein Hotel in Slowakien nicht bezahlt haben, obwohl keiner unserer Mitarbeiter Außendienst schiebt?
Ob die Treiber ncht wohl auf dem aktuellen Stand sind, da ja alles einwandfrei funktioniert?
Ob mich Mahnungen oder Rechnungen wirklich was angehen? Ich habe Kollegen in der Produktion, die haben "Rechnungen" angeklickt. Warum zum Teufel? Du sitzt an einer Fräse. Was geht dich eine Rechung an? Willst du die bezahlen?

Ein einiziges Mal in den letzten 15 Jahren hat tatsächlich einer unserer Lieferanten einen virus auf der Maschine gehabt, der eine "Rechnung" via DOC mit Outlook und damit absolut echt mit Signatur und Anrede geschickt hat, und ich war der einzige der gemerkt hat, das Rechnungen normal als PDF kommen und das DOC leer ist und nach Makros fragt. Dabei hab ich mit Rechnungen nichts zu tun und lösche die eh ungesehen. Zum Glück hat uns Kasper in diesem Moment den Arsch gerettet.
Privat habe ich seit Jahren keinen Antivir, da es mir mehr Probleme macht als nützt, außer dem von MS ins Win7 eingebauten.
Ich surfe auch auf zweifelhaften Seiten, Adblock, NoScript und eine Fritze mit Kinderfilter sind alle meine Bollwerke, und ich nehm fast nur den IE von Win7.
Noch nie auch nur den Hauch einer Infektion gehabt. Könnte daran liegen, das ich nicht so doof bin allen scheiß anzuklicken. Und ja, ab und an lasse ich eine RescueDisk drüberfahren, bislang verschenkte Zeit.