Autor Thema: Trojaner 2.0 nutzen Web 2.0  (Gelesen 10561 mal)

0 Mitglieder und 2 Gäste betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Sicherheitsforscher warnen vor einer neuen Version der Ransomware TeslaCrypt, die Computer infiziert und Daten chiffriert. Für Opfer ist es nun noch schwerer herauszufinden, was mit ihren Dateien passiert ist.

Der Erpressungs-Trojaner TeslaCrypt ist in Version 4.0 angekommen und aktuell im Umlauf, warnt die IT-Seite und Informationsquelle für Ransomware-Opfer Bleepingcomputer.com. Auch die Sicherheitsforscher von Heimdal Security bestätigen die neue Version. Eine tiefgehende Analyse steht noch aus.

Schwerer zu identifizieren

Einige Fakten sind aber schon bekannt: TeslaCrypt 4.0 soll jetzt auch Dateien die größer als vier GByte sind korrekt verschlüsseln können; die Vorgänger haben derartige Dateien zerstört. Als erster Erpressungs-Trojaner hängt TeslaCrypt 4.0 keine Namenszusätze mehr an verschlüsselte Dateien. Das macht es für Opfer schwerer zu verstehen, was mit ihren Dateien passiert ist. In der Vergangenheit konnte man eine Infektion durch einen Erpressungs-Trojaner über die weitere Endung, etwa "Urlaub.jpg.vvv", auf den ersten Blick erkennen.

Darüber hinaus soll der Trojaner mehr Informationen (DigitalProductID, MachineGuid und SystemBiosDate) über den infizierten Computer auslesen können, um daraus den individuellen Schlüssel zu erzeugen. Dieser verbleibt außer Reichweite der Opfer auf den Command-and-Control-Servern der Kriminellen.

Heimdal Security zufolge soll TeslaCrypt 4.0 derzeit größtenteils via Drive-by-Downloads über das Angler Exploit Kit verteilt werden.

Kein Entschlüsselungs-Tool

Opfer von TeslaCrypt 2.0 hatten Glück im Unglück, denn aufgrund eines Fauxpas der Gauner lies sich der Schlüssel mit dem kostenlosen Tool TeslaDecoder rekonstruieren. TeslaCrypt 3.0 bügelte diesen Fehler aus; die Version tauchte Anfang dieses Jahres erstmals auf. Das Tool hilft auch bei einer Infektion mit der aktuellen TeslaCrypt-Version nicht weiter.

Dem Thema Erpressungs-Trojaner: Schutz und Erste Hilfe widmet sich auch die aktuelle Ausgabe 7/2016 des c't magazins, die ab sofort am Kiosk erhältlich ist. Insgesamt vier Artikel erklären nicht nur die Ursachen der aktuellen Trojaner-Flut, sondern auch, wie Nutzer sich und ihre Daten richtig schützen. Ein eigener Artikel untersucht und berät, was man noch tun kann, wenn die eigenen Daten bereits verschlüsselt wurden.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Die neu gesichtete Ransomware Surprise soll Windows-Computer nicht per Drive-by-Download oder E-Mail-Anhang infizieren, sondern über die Fernwartungssoftware TeamViewer. Dafür missbrauchen die Kriminellen offensichtlich gekaperte Accounts.

Opfer des Verschlüsselungs-Trojaners Surprise diskutieren im Forum von Bleepingcomputer.com unter anderem über den Infektionsweg und gehen davon aus, dass der Schädling via Team-Viewer auf ihre Computer geschoben wurde. Über die Fernwartungssoftware kann man Dateien an Kontakte schicken. Das machen sich die Erpresser im Fall von Surprise anscheinend zunutze und infizieren so Windows-Computer.

Keine Sicherheitslücke

Um das zu erreichen, missbrauchen die Kriminellen aber keine Sicherheitslücke, versicherte ein Sprecher von TeamViewer gegenüber heise Security. Vielmehr kapern sie Accounts und verteilen Surprise dann an mit dem Konto verknüpfte Computer. TeamViewer empfiehlt allen Nutzern, die Zwei-Faktor-Authentifizierung zu nutzen, um ihre Accounts zusätzlich abzusichern.

Wie die Angreifer an die Log-in-Daten kommen, ist unklar. TeamViewer schließt aufgrund der gegen Brute-Force-Angriffe abgesicherten Infrastruktur direkte Attacken aus. Auch ein Man-in-the-Middle-Angriff sei aufgrund der Ende-zu-Ende-Verschlüsselung unwahrscheinlich.

Der Hersteller geht davon aus, dass Gauner Account-Daten aus einer unbekannten Quelle kopiert haben und auf gut Glück versuchen, ob die Daten auch einem TeamViewer-Account zugehörig sind. Auf der Webseite haveibeenpwned.com kann man prüfen, ob eigene Account-Daten kompromittiert wurden.

Kruder Infektionsweg

Ist das der Fall, müssen für eine erfolgreiche Infektion aber noch mehrere Voraussetzungen erfüllt sein: Zum einen muss der Computer eingeschaltet sein. Des weiteren fällt es einem potentiellen Opfer natürlich auf, wenn plötzlich eine Fernwartungs-Session startet. Letztlich muss der Angreifer für einen gewissen Zeitraum die Kontrolle über den zu infizieren Computer übernehmen, um den Erpressungs-Trojaner herüberzuschieben und zu installieren.

Verschlüsselte Dateien versieht die Ransomware mit der Namenserweiterung .surprise. Aktuell gibt es kein Tool, mit dem man die Daten ohne das Lösegeld zu zahlen entschlüsseln kann.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Erpressungs-Trojaner Petya riegelt den gesamten Rechner ab
« Antwort #122 am: 24 März, 2016, 13:04 »
Eine neue Ransomware hat es aktuell auf deutschsprachige Windows-Nutzer abgesehen. Petya wird über Dropbox verteilt und manipuliert die Festplatte, wodurch das Betriebssystem nicht mehr ausgeführt werden kann.



Der Erpressungs-Trojaner Petya schlägt seit einigen Stunden auch in Deutschland zu und geht dabei einen ungewöhnlichen Weg: Statt nur bestimmte Datei-Typen zu verschlüsseln, manipuliert er den Master-Boot-Record (MBR) der Festplatte, wodurch der gesamte Rechner blockiert wird. Die installierten Betriebssysteme werden nicht mehr ausgeführt.

Petya klemmt Betriebssystem ab

Nach der Manipulation erzeugt der Schädling einen Bluescreen, um den Rechner zu einem Neustart zu zwingen. Statt mit dem Windows-Logo wird das Opfer dann mit einem Totenschädel in ASCII-Art begrüßt. Die Erpresser behaupten, sämtliche Festplatten verschlüsselt zu haben und fordern das Opfer auf, Lösegeld auf einer Seite im Tor-Netz zu bezahlen.

Petya hat es derzeit auf Windows-Nutzer abgesehen. Um die MBR-Manipulation durchführen zu können, fordert die Ransomware erhöhte Rechte an, was in der Windows-Standardkonfiguration zu einer Abfrage der Benutzerkontensteuerung (UAC) führt. Offenbar damit sich das Opfer in spe nicht darüber wundert, enthält das Symbol der Trojaner-Datei das UAC-Logo (Schutzschild).

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Die neu entdeckte Ransomware PowerWare bemächtigt sich der Windows PowerShell, um Computer zu infizieren und Daten zu verschlüsseln.

Der Verschlüsselungs-Trojaner PowerWare infiziert Computer nicht etwa über Schadcode in Form einer .exe-Datei, sondern missbraucht die Windows PowerShell, um die Daten eines Opfers als Geisel zu nehmen. Davor warnen die Sicherheitsforscher von Carbon Black, nachdem eine nicht näher beschriebene Gesundheitsorganisation Opfer der Ransomware wurde.

Um die Infektion einzuleiten, setzen die Erpresser auf eine bekannte Methode: Der Ausgangspunkt ist eine gefälschte E-Mail, die im Anhang eine vermeintliche Rechnung in Form einer manipulierten Word-Datei mitbringt.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Nach einem Einbruch in ein Netz verschaffen sich die Erpresser hinter Samsa zunächst Zugriff auf so viele Systeme wie möglich. Erst dann kommt die Verschlüsselung zum Einsatz – und die Opfer bekommen gesalzene Lösegeld-Forderungen.



Das offenbar lukrative Geschäft mit der Lösegelderpressung nach Datenverschlüsselung hat eine neue Spielart: Nach einem Einbruch in ein Netz erkunden die Macher von Samsa zunächst die Infrastruktur und verbreitern ihre Operationsbasis. Erst danach starten sie dann manuell den Verschlüsselungsvorgang mit den vorgefundenen Daten auf allen kompromittierten Systemen. Palo Alto, Microsoft, Cisco Talos, und Intel Security berichten je nach Gusto über Samsa, Samsam, Samas oder Mokoponi und meinen das gleiche; auch das FBI warnt vor der neuen Erpresser-Masche.

Herkömmliche Erpressungs-Trojaner fängt man sich üblicherweise über Mails mit Dateianhängen oder Drive-by-Downloads ein; sie verrichten ihr Werk vollautomatisch und verschlüsseln alle wichtigen Daten, die sie erreichen können. Bei Samsa-Infektionen gehen die Angreifer anders vor. Sie brechen gezielt in verwundbare Netze ein – die dafür eingesetzten Methoden variieren. Ein beliebtes Angriffsziel sind laut Ciscos Bericht zu SamSam Lücken in verwundbaren JBoss-Installationen, die sie mit dem Open-Source-Tool JexBoss aufspüren und ausnutzen

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Ein kostenloses Tool soll das zum Entschlüsseln nötige Passwort innerhalb weniger Sekunden generieren können, verspricht der Macher des Werkzeugs. Erste Erfolgsberichte von Petya-Opfern liegen bereits vor.

Die Verschlüsselung des Schädlings Petya ist geknackt. Das behauptet ein Unbekannter mit dem Pesudonym leostone auf Twitter. Mit seinem auf Github veröffentlichten kostenlosen Tool hack-petya soll sich das zum Entschlüsseln nötige Passwort in sekundenschnelle generieren lassen. Alternativ können Opfer den Prozess auch auf einer von leostone aufgesetzten Webseite anstoßen.

Ein Leser von heise Security hat das erfolgreich ausprobiert und eigenen Angaben zufolge wieder Zugriff auf seine Daten. Zudem bestätigen die Ransomware-Experten von Bleepingcomputer die geknackte Verschlüsselung.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Erpressungs-Trojaner RAA kommt mit Passwort-Dieb im Huckepack daher
« Antwort #126 am: 20 Juni, 2016, 17:30 »
Der Computer-Schädling RAA soll nicht nur Daten als Geisel nehmen und ein Lösegeld verlangen, sondern auch einen Trojaner mitbringen, der Passwörter abgreift.

Die Sicherheitsforscher mit den Pseudonymen JAMESWT_MHT und benkow_ haben den Verschlüsselungs-Trojaner RAA entdeckt und herausgefunden, dass der Schädling zusätzlich einen Trojaner zum Stehlen von Passwörtern auf infizierte Rechner installiert. Davor warnen die Ransomware-Experten von Bleepingcomputer.com.

RAA soll zudem der erste Erpressungs-Trojaner sein, der komplett auf JavaScript basiert. Dabei tarnt sich der Schädling als Word-Datei, die die unbekannten Angreifer per Mail-Anhang verbreiten, berichten die Kryptologen. Öffnet man die Datei, taucht auf den ersten Blick nur ein Word-Dokument auf dem Bildschirm auf, welches beschädigt aussieht.

Doch im Hintergrund beginnt bereits das Zerstörungswerk und RAA verschlüsselt Daten mithilfe der CryptoJS-Bibliothek. Chiffrierte Dateien weisen die Namenserweiterung .locked auf. Zusätzlich löscht der Schädling noch die Schattenkopien von Windows. Anschließend haben Opfer keine Möglichkeit mehr, unverschlüsselte Versionen von Dateien wiederherzustellen. Damit Opfer wieder Zugriff auf ihre Daten erhalten, fordern die Kriminellen ein Lösegeld von 0.39 Bitcoin (rund 260 Euro) ein.

Passwort-Dieb mit an Bord

Nutzerdaten als Geisel zu nehmen reicht den Kriminellen aber nicht aus: Der Erpressungs-Trojaner bringt den Sicherheitsforschern zufolge noch die Malware Pony mit, die Passwörter abgreifen kann. Der zweite Schädling soll sich als Base64-String in der JavaScript-Datei verstecken. Wird diese ausgeführt, findet eine Konvertierung in eine ausführbare Datei statt, die sich anschließend im Auto-Start von Windows einnistet, erläutern die Kryptologen.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
AVG und Trend Micro haben ihre kostenlosen Tools aktualisiert, mit denen Opfer von diversen Verschlüsselungs-Trojanern unter Umständen wieder Zugriff auf ihre Daten bekommen können.

Wer sich die Ransomware Bart eingefangen hat, kann seine als Geisel genommen Daten unter gewissen Voraussetzungen ab sofort mit dem gratis Tool Bart decryptor von AVG entschlüsseln. Somit bietet AVG nun mehrere Tools an, die insgesamt sieben Erpressungs-Trojaner bekämpfen. Auch Trend Micro hat seinen kostenlosen Ransomware File Decryptor aktualisiert, der es nun mit zehn Verschlüsselungs-Trojanern aufnimmt.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Die neueste Masche bei Erpressungstrojanern scheinen Referrer zu sein. Beim Trojaner Popcorn Time kann man sich angeblich frei kaufen, in dem man andere Nutzer infiziert.

Sicherheitsforscher haben einen neuen Erpressungstrojaner namens Popcorn Time entdeckt, der ein Referral-System hat. Anstatt ihre Daten frei zu kaufen, können Opfer zwei weitere Anwender infizieren, um ihre Daten zurück zu bekommen. Das jedenfalls versprechen die Drahtzieher – ob sie dieses Versprechen auch wirklich halten steht auf einem anderen Blatt. Infizierte Rechner zeigen eine Erpressungsmeldung an, die eine Bitcoin-Adresse und eine Forderung nach umgerechnet 740 Euro enthält, sowie eine personalisierte URL mit Schadcode für das Referral-System.

Momentan scheinen diese Links nicht zu funktionieren, so dass Opfer wenigstens nicht in Versuchung geführt werden, andere zu infizieren und sich so unter Umständen strafbar zu machen. Laut den Ransomware-Experten von Bleeping Computer verschlüsselt der Schädling auf Windows-Systemen eine große Anzahl von Dokumenten und Dateien in verschiedenen persönlichen Ordnern. Außerdem scheint sich der Schadcode noch in der Entwicklung zu befinden. Die Forscher fanden Hinweise, dass die Drahtzieher in Zukunft eine Funktion einbauen wollen, welche die verschlüsselten Daten löscht, wenn das Opfer mehrmals einen falschen Entschlüsselungscode eingibt. Momentan droht die Malware, dass die Daten nach sieben Tagen unwiederbringlich verloren sind.

Die Drahtzieher hinter der Malware sind nach eigenen Angaben IT-Studenten aus Syrien, die mit dem Lösegeld ihre Grundversorgung in dem vom Krieg zerstörten Land sichern wollen. Wie glaubhaft das ist, sei dahingestellt. Der Name des Erpressungstrojaner scheint übrigens nichts mit dem Streaming-Dienst gleichen Namens zu tun, der vor allem dafür bekannt ist, urheberrechtsverletzende Inhalte anzubieten.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189183
  • Ohne Input kein Output
    • DVB-Cube
Erpressungstrojaner GandCrab 4 lauert hinter Software-Cracks
« Antwort #129 am: 30 August, 2018, 11:23 »
Bei der Verbreitung der Ransomware GandCrab 4 setzen die Hintermänner nicht auf die gängige Verbreitung über gefälschte Mails mit Dateianhang.

Der Verschlüsselungstrojaner GandCrab ist in der Version 4.4 aufgetaucht und setzt auf eine alternative Form der Verbreitung. Der Trojaner infiziert Windows-Computer nicht wie bislang von dieser Schädlingsart gewohnt über präparierte Word-Dokumente, die als Rechnung getarnt an Betrüger-Mails hängen. GandCrab 4 verbirgt sich schon seit einiger Zeit hinter Software-Cracks, wie Sicherheitsforscher von Sensors Techforum nun in einem Blog-Eintrag schildern.

Mit Cracks kann man den Kopierschutz von kostenpflichtiger Software umgehen und diese so illegal nutzen. Wer sich einen mit der Ransomware präparierten Crack auf den Computer holt und ausführt, infiziert seinen eigenen Computer.

Fake-Seiten mit gefährlichen Cracks

Für die Verbreitung sollen die Drahtzieher Wordpress-Webseiten aufsetzen, die mit Cracks für Software wie SysTools PST Merge locken. Auf diese Seiten gelangen potenzielle Opfer meist über eine Internetsuche nach einem Crack. Wer darauf reinfällt und die Datei ausführt, startet die Verschlüsselungsroutine mit dem Salsa20-Algorithmus. Den Schlüssel für die Dateien wollen die Kriminellen erst gegen eine Lösegeldzahlung rausrücken. Ein kostenloses Entschlüsselungstool gibt es derzeit nicht.

Neben lokalen Dateien soll sich GandCrab 4 auch über Netzwerkfreigaben hermachen. Um die Verschlüsselung zu starten, muss die aktuelle Version keinen Kontakt mit den Command-and-Control-Servern der Angreifer aufnehmen. Somit sind auch Computer die offline sind nicht vor einer Infektion geschützt.

Das Cracks Malware beinhalten ist nicht neu. In der Vergangenheit haben sich über diesen Weg etwa Bankingtrojaner oder Keylogger verbreitet. GandCrab 4 ist die erste dokumentierte Ransomware, die diese Methode nutzt.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )