-
Aus den Malware-Analyselaboren von Panda Software kommen neue böse Nachrichten: so genannte Ransomware verschlüsselt Daten und fordert vom Besitzer Lösegeld. Diese speziellen Schadprogramme haben im zweiten Quartal dieses Jahres einen radikalen Anstieg von 30 Prozent erlebt, heißt es aus den PandaLabs.
Der Begriff Ransomware setzt sich aus den Worten Ransom (Lösegeld) und Malware zusammen und bezeichnet Programme, die von Kriminellen entwickelt werden, um auf einem fremden System einzudringen und private Daten zu verschlüsseln. Der eigentliche Nutzer der Daten wird so daran gehindert, auf seine eigenen Dokumente zugreifen zu können. Ein Versuch, die betroffenen Dateien zu öffnen, zeigt eine Benachrichtigung über die "Entführung" und fordert zur Zahlung eines Lösegelds auf, damit die Daten entschlüsselt werden.
"Geld her, sonst Daten tot"
Manche dieser Schadprogramme zeigen sich dabei besonders raffiniert, wie die Sicherheits-Experten berichten. So hielt Ransom.A, das am 28. April erstmals auftauchte, nicht nur die abgelegten Daten unter Beschlag. Der Nutzer erhielt außerdem die Drohung, dass alle 30 Minuten eine zufällig gewählte Datei unwiderruflich gelöscht werde. Das erhöhte den Druck, die geforderten 10,99 US-Dollar schnell zu überweisen.
Die Zahlung erfolgte über einen anonymisierten Geldtransfer der Western Union. Sobald das Geld beim Erpresser einging, erhielten die Betroffenen einen Code, der den Trojaner deaktivierte und die Daten wieder verfügbar machte. Die Höhe des Lösegelds ist in diesem Fall jedoch verhältnismäßig gering. In anderen Fällen sollten Opfer bis zu 300 US-Dollar für die Datenfreigabe löhnen.
Kaufzwang mal anders
Ein weiterer Ransomware-Vertreter, der im Mai erstmals auftauchte, ist Archiveus.A. Dieses Schadprogramm verschlüsselte den Inhalt des Windows-Ordners "My Documents" und löschte daraufhin die Original-Daten. Doch sollte in diesem Fall kein Lösegeld gezahlt werden. Stattdessen erhielt der betroffene Nutzer zunächst eine Reihe einschlägiger Nachrichten, wie: "Du wirst nie das Passwort erraten können" oder "Die Polizei kann Dir nicht weiterhelfen". Darauf hin hieß es: "Wir wollen nicht Dein Geld. Wir wollen mit Dir Geschäfte machen". Der Nutzer sollte anhand präziser Anweisungen über einen Onlineshop diverse Produkte kaufen, um seine Daten zurück zu erhalten.
Um sich vor Ransomware schützen zu können, gibt Panda Software direkt ein paar Tipps mit auf den Weg: So solle eine permanent aktualisierte Antiviren-Lösung installiert werden. Beim Herunterladen von Dateien aus Peer-to-Peer-Netzwerken oder Öffnen von Mails unbekannter Absender sei besondere Vorsicht geboten. Zu guter Letzt hilft es auch, von wichtigen Dateien Kopien anzufertigen und regelmäßig System-Scans durchzuführen.
Quelle : www.onlinekosten.de
-
In meinem Ordner "Eigene Dateien" nebst Unterordnern liegt ganz bewusst seit langer Zeit nur wertloser Daten-Müll.
Also viel Spass damit ;D
-
Da gibts nur eins: NIEMALS mit Rechnern auf denen wichtige Daten liegen online gehen.............
*that will kill scavengers* ;)
-
Betrügerische Antivirusprogramme melden nicht nur Schädlinge, die es gar nicht gibt. Einige verschlüsseln sogar Dateien den Benutzers, für deren Herausgabe Betroffene dann eine Art Lösegeld zahlen sollen.
Online-Kriminelle machen mit betrügerischen Sicherheitsprogrammen hohe Gewinne. So genannte "Scareware" wird als Neben- oder sogar Haupteffekt von Malware eingeschleust. Sie melden auf dem PC vorgeblich entdeckt Schädlinge, die es gar nicht gibt. Benutzer sollen eine teure Vollversion erwerben, um die vermeintlichen Schädlinge wieder los zu werden. In einigen Fällen werden sogar Dokumente aus dem Ordner "Eigene Dateien" primitiv verschlüsselt, um ein Lösegeld zu erpressen.
(http://images.pcwelt.de/images/pcwelt/bdb/1974864/800x.jpg)
Wie Brian Krebs von der Washington Post berichtet, melden neuere Varianten der Scareware-Familie "Antivirus2009" nicht nur fiktive Viren, sondern auch defekte Dateien im Ordner "Eigene Dateien". Die Meldungen führen zu einer Website, auf der das Programm "FileFix Pro" erhältlich ist. Es soll 50 US-Dollar kosten und die Dateien reparieren können. Tatsächlich sind die betroffenen Dateien primitiv verschlüsselt und können mit einem geeigneten Programm wieder hergestellt werden - FileFix Pro macht nichts anderes.
Die gute Nachricht ist, dass es auch bereits kostenlose Abhilfe für die Opfer dieser Scareware gibt. Das Sicherheitsunternehmen FireEye hat die Funktionsweise von FileFix Pro analysiert und ein Programm geschrieben, das die Dateien entschlüsseln soll. Derzeit ist es als Perl-Script erhältlich und kann über eine Web-Schnittstelle genutzt werden. Dabei müssen die betroffenen Dateien auf den Server von FireEye hoch geladen werden, die Seite ist SSL-verschlüsselt.
(http://images.pcwelt.de/images/pcwelt/bdb/1974861/800x.jpg)
Wer hingegen Perl installiert hat (bei den meisten Unix- und Linux-Installationen ist Perl vorhanden), kann sich selbst daran versuchen. Das Perl-Script ist als Open Source erhältlich. Alex Lanstein, Forschungsleiter bei FireEye, hat im Blog des Unternehmens bereits angekündigt, man werde in Kürze auch ein Programm bereit stellen, das sich Jedermann herunter laden könne, um seine Dateien wieder her zu stellen.
Die Masche Dateien zu verschlüsseln, um ein Lösegeld für ein Entschlüsselungsprogramm zu erpressen, ist vor allem durch den so genannten Erpresservirus "Gpcode" bekannt geworden. Dessen Programmierer hat die verwendete Verschlüsselungsstärke schrittweise weiter erhöht. Einige Antivirushersteller bezeichnen solche Schädlinge als "Ransomware" (ransom: englisch für Lösegeld).
Quelle : www.pcwelt.de
-
Vundo, ein Hersteller nachgemachter Antivirenprogramme (Scareware), sattelt einem Bericht des Malware-Spezialisten FireEye auf eine neue Masche um. Statt Anwender mit Falschmeldungen über vermeintliche Infektionen des PCs zu erschrecken und somit zum Kauf eines weitgehend funktionslosen Scanners zu motivieren, verschlüsseln neue Betrugsprogramme (Ransomware) Anwender-Dateien (.pdf, .doc, jpg und andere) auf dem PC und melden dann kaputte Dateien.
Anschließend fordern sie über Systemmeldungen den Anwender dazu auf, die Vollversion des Reparatur-Tools FileFix Pro 2009 für 50 Euro zu erstehen. Anders als bei Scareware, die in der Regel nur ein Problem vorgaukelt, bleiben dem Anwender wenig Alternativen, denn die Dateien sind wirklich verschlüsselt – wenn auch nur mit einem simplen Algorithmus. Wie die Ransomware auf den Rechner gelangt, schreibt FireEye nicht, vermutlich benötigt sie aber ein wenig Mithilfe des Anwenders.
FireEye hat den Algorithmus untersucht: Offenbar besteht der Schlüssel nur aus vier Zeichen und ist am Ende der verschlüsselten Datei gespeichert. FireEye stellt ein Entschlüsselungstool in Perl zur Verfügung. Der Fall erinnert an den Verschlüsselungstrojaner GPCode, der Mitte des letzten Jahres auftauchte und Dateien mit RSA und einem 4096-Bit langem Schlüssel verschlüsselte.
Die Autoren forderten Opfer zur Zahlung von 300 US-Dollar auf, um die Datei wiederherzustellen. Allerdings ließen sich die Daten kostenschonend auch ohne Schlüssel wieder rekonstruieren, da GPcode die verschlüsselte Version eines Dokuments in eine neue Datei schrieb und anschließend das Original löschte. Da Windows aber nur die Referenz im Dateisystem löscht, ließen sich die Dateien erfolgreich rekonstruieren.
Siehe dazu auch:
* Scharlatane und Hochstapler - Zweifelhafte Antiviren-Produkte, Artikel auf heise Security
* Neues Kaspersky-Tool für GPcode-Trojaner-Betroffene, Meldung auf heise Security
* Verschlüsselungstrojaner GPcode ein Schnippchen schlagen, Meldung auf heise Security
* Kaspersky bittet um Mithilfe zum Knacken eines RSA-Schlüssels, Meldung auf heise Security
* Trojaner verschlüsselt Daten mit RSA-4096 - oder doch nicht?, Meldung auf heise Security
Quelle : http://www.heise.de/newsticker/Scareware-wird-zu-Ransomware--/meldung/135327
-
Betrügerische Sicherheitsprogramme imitieren oft existierende, legitime Produkte. Derzeit wird Scareware aus der FakeAV-Familie unter dem Deckmantel von Microsofts Tool zum Entfernen bösartiger Software verbreitet.
Die Scareware-Familie Win32/FakeAV wird zum Teil unter Fantasienamen verbreitet, zum Teil imitieren die Programmierer auch bestehende Sicherheitsprodukte. Zurzeit werden auf einigen Websites Varianten von FakeAV verbreitet, die sich als Microsofts "Tool zum Entfernen bösartiger Software" ausgeben. Sie zeigen nicht nur vorgetäuschte Virenfunde an sondern machen auch noch Werbung für ein dubioses Office-Update.
(http://images.pcwelt.de/images/pcwelt/bdb/2024692/800x.jpg)
Der Software-Hersteller CA (Computer Associates), Hersteller von CA Antivirus, warnt in seinem Security Advisor Research Blog vor diesen FakeAV-Varianten. Wird das Programm gestartet, das etwa über Web-Seiten mit vorgetäuschten Online-Scans verbreitet wird, zeigt es im System-Tray ein grünes Schild und eine erste Warnmeldung an.
Nach einem vorgeblichen Scan der Festplatte präsentiert es im Gewand von Microsofts Anti-Malware-Tool die vermeintlichen Schädlingsfunde. Die Schaltfläche "Finish" (Beenden) öffnet ein Werbefenster für einen Online-Shop, der vorgeblich bekannte Antivirusprodukte von Symantec/Norton und McAfee anbietet. Wer hingegen auf "Cancel" (Abbrechen) klickt, erhält eine neue Warnmeldung im System-Tray, die ihn zum Kauf von Antivirusprodukten auffordert.
Diese FakeAV-Variante zeigt auch eine Warnmeldung an, wenn bestimmte P2P-Programme gestartet werden. Dazu gehören Bearshare, Forstwire, Limewire, Shareaza und andere. Diese Meldung enthält einen Schreibfehler ("application can damadge your computer") und verkündet, das Programm werde gelöscht.
Weitere Schreibfehler finden sich in einer Imitation des Windows Sicherheitscenters und dessen Meldung im System-Tray. Hier heißt es " Antivisrus software not found". Nach dieser Meldung öffnet sich eine Nachahmung des Sicherheitscenters. Diese zeigt an, dass "Virus Protection" deaktiviert sei - die Schaltfläche "Recommendations" (Empfehlungen) führt zu einer inzwischen nicht mehr erreichbaren Website, die wiederum vorgebliche Antivirusprodukte zum Kauf anbot.
(http://images.pcwelt.de/images/pcwelt/bdb/2024693/800x.jpg)
Doch damit nicht genug. Das Scareware-Programm zeigt beim Öffnen von Microsoft Word auch eine Meldung an, die ein angebliches Update für Microsoft Office anpreist. Ein Klick auf "OK" öffnet eine andere Seite auf der gleichen Website, auf der man das vermeintliche Update erwerben soll.
Solange diese Scareware nur englische Meldungen auf der Palette hat, ist es für deutschsprachige Benutzer relativ einfach, die Fälschungen zu entlarven. Microsofts echtes "Tool zum Entfernen bösartiger Software" zeigt natürlich seine Meldungen in deutscher Sprache an - und dies in aller Regel ohne Tippfehler.
Quelle : www.pcwelt.de (http://www.pcwelt.de)
-
FakeAV.B ist keine Scareware mehr, sondern echte Malware, die Dateien des Benutzers verschlüsselt. Eine sogenannte "kostenpflichtige Vollversion" bietet eine Entschlüsselung an.
TrendMicro warnt vor einer neuen Variante der falschen Antiviren-Software FakeAV. Bei der ursprünglichen Version handelte es sich um eine sogenannte Scareware, die beim Besuch von Websites des "Herstellers" eine Software herunterlädt, die dem Benutzer vorgaukelt, sein Rechner sei mit Malware verseucht. Anschließend wird man aufgefordert, die "Vollversion" zu kaufen, um die Schädlinge zu entfernen.
(http://www.zdnet.de/i/news/200903/0705/fakeav.jpg)
Während man bei der alten Variante die Meldungen einfach ignorieren kann, richtet die neue Ausprägung "FakeAV.B" echten Schaden auf dem Rechner des Benutzers an. Zunächst installiert sich unbemerkt ein Programm, das vor jeder Ausführung einer EXE-Datei die Meldung ausgibt, die Datei sei infiziert und könne nicht ausgeführt werden. Abhilfe schaffe die Antiviren-Software "System Security". Der dazugehörige Link führt jedoch direkt zur FakeAV.B-Website.
In einem zweiten Schritt gaukelt FakeAV.B einen Scan der Festplatte vor. Dabei verschlüsselt die Malware zahlreiche Dateien, so dass sie nicht mehr verwendet werden können. Nur durch den "Kauf" der "Vollversion" lassen sich die Daten wieder entschlüsseln.
Quelle : http://www.zdnet.de (http://www.zdnet.de)
-
Betrüger nutzen eine gefälschte Version des Open Source Virenscanners ClamAV, um damit ihre eigene Scareware unters Volk zu bringen.
Beim monatlichen Patch Day aktualisiert Microsoft regelmäßig auch sein "Windows-Tool zum Entfernen bösartiger Software". Seit dem 11. August stellt der Hersteller die Version 2.13 bereit, die nun auch betrügerische Schutzprogramme aus der Familie "Win32/FakeRean" erkennen und entfernen soll. Diese so genannte Scareware zeigt vorgebliche Malware-Funde an und benutzt dazu eine spezielle Version von ClamWin mit präparierten Signaturen.
Hamish O'Dea berichtet im Blog des Microsoft Malware Protection Center über diese Schädlingsfamilie. Sie unterscheidet sich oberflächlich erstmal nicht von anderen Scareware-Programmen. Sie wird derzeit unter Namen wie "Home Antivirus 2010" oder "PC Antispyware 2010" angeboten. Die Arbeitsweise des Programms ist jedoch durchaus bemerkenswert, da die Programmierer unnötig erscheinenden Aufwand betreiben, um absichtlich falsche Warnmeldungen über vorgeblich auf dem Rechner gefundene Malware zu produzieren.
Während die meisten Scareware-Programme einfach sinnfreie Festplattenzugriffe produzieren, um einen Viren-Scan vorzutäuschen, bringt FakeRean dazu den Open Source Virenscanner ClamWin mit. Dessen Virensignaturen sind allerdings so manipuliert, dass sie nur den Datenmüll erkennen, den die Scareware zu diesem Zweck auf der Festplatte anlegt.
Mit anderen Worten: PC Antispyware 2010 legt zunächst eine Reihe von harmlosen Dateien an, die weder ausführbar sind noch verwertbare Daten enthalten. Sie sind jedoch so aufgebaut, dass der mit passenden Signaturen ausgerüstete Virenscanner darin vermeintliche Schädlinge entdeckt.
Diese falschen Befunde benutzt das Programm, um dem Benutzer vorzugaukeln, sein Rechner sei infiziert. Er wird dann genötigt eine Vollversion des Programms zu kaufen, die auch nicht mehr echte Schädlinge erkennen kann. Dafür gibt der Betrogene jedoch bis zu 50 US-Dollar aus und noch dazu seine Kreditkartendaten in die Hände von Online-Kriminellen.
Quelle : www.tecchannel.de (http://www.tecchannel.de)
-
Zwielichte Hersteller versuchen Anwender mit Anti-Virensoftware zu ködern, die nichts bewirkt oder sogar noch Viren selbst mitbringt. Aktuell ködern sie Nutzer mit Suchergebnisse zu Microsoft Security Essentials und dem Tsunami auf Samoa.
Das Tsunami-Unglück in Samoa und die Veröffentlichung von Microsofts kostenlosem Sicherheitstool, den Security Essentials, haben auf den ersten Blick wenig gemeinsam. Doch beide Ereignisse werden derzeit massive von Anbieter von Rogue Anti-Viren-Programmen ausgenutzt, melden Sicherheitsanbieter wie F-Secure oder Websense. Über manipulierte Webseiten wollen sie Nutzer abfangen, die über Suchmaschinen wie Google nach Informationen zu diesen Themen suchen. Klickt ein Nutzer auf eine entsprechende Website, erhält er eine Warnung, dass sein PC infiziert sei und er ein spezielles Programm zur Entfernung benötige.
Bei Rogue-Antivirus-Programmen, auch Scareware genannt, handelt es sich um Tools, die vorgeben, eine Anti-Malware-Lösung zu sein. Im besten Fall sind diese Programme jedoch völlig nutzlos, meist enthalten die Tools selbst einen oder mehrere Viren. Angeboten werden die Tools etwa über Werbebanner, die angebliche Sicherheitslücken auf dem Rechner gefunden haben. Die Tools stehen oft kostenlos für einen Testlauf zur Verfügung. Die gefundenen „Probleme“ können dann aber nur mit der Vollversion entfernt werden, die Preise liegen etwa gleichauf mit echten Anti-Malware-Programmen.
Die Rogue-Anti-Malware-Tools basieren mittlerweile auf fertigen Toolkits, die sich relativ einfach anpassen und verändern lassen. Im Gespräch mit mehreren Anti-Viren-Herstellern, etwa Symantec und Kaspersky, zeigte sich, warum diese Tools mittlerweile so populär seien. Anbieter solcher Tools können relativ schnell und ungefährlich Geld einnehmen, denn grundsätzlich sind diese Tools nicht illegal – einige sind tatsächlich ungefährlich und verwirren die Nutzer lediglich. Zusätzlich gibt es mittlerweile komplette Affiliate-Programme, über die mehrere Verkäufer an den Tools mitverdienen können. Dass diese Programme allerdings oftmals halbseiden sind, zeigt beispielsweise, dass auch der Wurm Conficker in verschiedenen Versionen entsprechende Tools zu installieren versucht.
Quelle : www.tecchannel.de
-
Nach einem Bericht (PDF (http://www.antiphishing.org/reports/apwg_report_h1_2009.pdf)) der Anti-Phishing Working Group (APWG) ist die Anzahl der Vorfälle stark gestiegen, in denen mit Hilfe sogenannter Rogue Anti-Malware (auch Scareware genannt) Phishing-Attacken landen sollen. Allein im ersten Halbjahr 2009 verzeichnete die APWG mehr als 485.000 Vorfälle. Tendenz stark steigend: Im Januar waren es noch gut 22.000, im Juni schon über 152.000. Rund vier Fünftel der Phishing-Attacken richten sich nach dem APWG-Bericht gegen Webseiten, die Zahlungs- und Finanzdienste anbieten
Scareware täuscht Anwendern eine Infektion des PC vor, etwa in Werbebannern auf Webseiten wie jüngst auf der Website der New York Times. Die Werbebanner führen zu Webseiten, die zweifelhafte Antispyware- und Antivirenprodukte anpreisen. Die Software weist in der Regel jedoch keine Funktion auf, sondern meldet nach der Installation lediglich eine erfolgreiche Desinfektion des PC – unabhängig davon, ob er nun wirklich befallen ist oder nicht. Wie man Scareware erkennt, sich davor schützt und sie beseitigt, erklärt der Artikel Scharlatane und Hochstapler auf heise Security (http://www.heise.de/security/artikel/Zweifelhafte-Antiviren-Produkte-270094.html).
Quelle : www.heise.de
-
Online-Betrüger verbreiten falsche Sicherheits-Software auch über soziale Netzwerke wie Skype. Die Kriminellen benutzen den Skype-Chat dazu, um den Chat-Partner zu überzeugen, dass auf dem Rechner eine schädliches Malware-Programm installiert sei und nur eine bestimmte Software hilft.
Wer im Skype-Chat unvermutet eine Nachricht von einem Benutzer wie "Online Notification" erhält, der nicht in den eigenen Kontakten gespeichert ist, sollte vorsichtig sein. Online-Kriminelle versuchen auf diese Weise betrügerische Antivirusprogramme, auch als "Scareware" bezeichnet, unters Volk zu bringen. Sie senden eine Warnmeldung über vorgeblich auf dem Rechner des Empfängers gefundene Malware, die einen Web-Link enthält.
Im Skype-Chat erscheint der Benutzername als "Online Notification", dahinter stecken Namen wie "online.notification.america9" und ähnliche Variationen. Der Text der Nachricht beginnt mit "URGENT SYSTEM SCAN NOTIFICATION ! PLEASE READ CAREFULLY !!", gefolgt von einer Web-Adresse. Diese führt zu einer Website, die eine gefälschte Warnseite anzeigt und eine modifizierte Kopie des Sicherheitscenters von Windows XP darstellt.
Die von Trend Micro gemeldete Website ist inzwischen nicht mehr erreichbar, zweifellos gibt es jedoch weitere dieser Art. Die Verbreitung von Scareware ist derzeit offenbar die Haupteinnahmequelle von Online-Kriminellen. Die betrügerischen Schutzprogramme, deren Namen teils denen legitimer Software stark ähneln, melden vorgebliche Schädlingsbefunde und nötigen den Benutzer zum Kauf einer ebenso teuren wie nutzlosen Vollversion.
Quelle : www.tecchannel.de
-
Online-Kriminelle, die mittels betrügerischer Schutzprogramme horrende Summen einheimsen, imitieren ungeniert das Erscheinungsbild legitimer Antivirusprogramme. Jüngstes Beispiel ist die McAfee-Imitation MaCatte.
Die grafische Oberfläche bekannter Antivirus-Software ist für viele Anwender ein vertrauter Anblick. So ist es eigentlich nicht verwunderlich, wenn Betrüger ihren als "Scareware" bezeichneten, bestenfalls nutzlosen Programmen ein Erscheinungsbild verpassen, das stark an die bekannten Marken aus der Antivirusbranche erinnert. Auch das Sicherheitscenter von Windows wird gerne mal nachgeahmt, aktuell wird eine McAfee-Imitation namens "MaCatte" verbreitet.
Nicht nur die Programmoberfläche, auch die Website, über die das betrügerische Imitat verbreitet wird, ähnelt der von McAfee zum Verwechseln, berichtet Girish Pillai im McAfee Avert Blog. MaCatte zeigt nicht nur vorgeblich gefundene Schädlinge mit ständig nervenden Pop-ups an, es manipuliert auch die im Browser eingestellte Startseite so, dass stets die MaCatte-Website geladen wird. Außerdem blockiert die Scareware installierte, legitime Antivirusprogramme. Es gibt erst Ruhe, wenn man für den Wucherpreis von 99 US-Dollar die ansonsten ebenso nutzlose Vollversion des Betrugsprogramms gekauft hat.
Die Frage drängt sich auf, warum sich die Betrüger überhaupt die Mühe machen sich neue Produktnamen auszudenken, die so ähnlich klingen wie die der Originale. Doch es hat auch bereits Fälle gegeben, in denen etwa ein Imitat von PC Tools Spyware Doctor unter dem gleichen Namen und nahezu identischem Erscheinungsbild verbreitet wurde. Ähnliches ist dem weniger bekannten dänischen Virusfighter passiert.
Immer wenn Sie im Web auch eine Seite stoßen, die unaufgefordert einen (scheinbaren) Virenscan Ihres Rechners durchführt, sollten Sie davon ausgehen, dass Sie auf einer Seite von Betrügern gelandet sind. Diese wollen nur Ihr Geld und Ihre Kreditkartendaten, liefern jedoch keinerlei Gegenwert.
Quelle : www.pcwelt.de
-
Betrügerische Antivirusprogramme werden immer aggressiver. Ein Vertreter dieser Schädlingsgattung leitet neben der Anzeige falscher Virenmeldungen auch Aufrufe von Microsoft-Seiten auf Web-Server der Online-Kriminellen um.
Besonders bei der Suche nach Neuigkeiten über Prominente in Suchmaschinen werden Internet-Nutzer oft auf speziell präparierte Web-Seiten umgeleitet, die so genannte "Scareware" verbreiten. Vorgetäuschte Warnmeldungen vor einem vorgeblich verseuchten Rechner sollen betrügerische Antivirusprogramme unters Volk bringen. So etwa "Antivirus System PRO", das zudem den Versuch abfängt Web-Seiten von Microsoft aufzurufen.
Wie Mike Wood im Blog des Antivirusherstellers Sophos berichtet, werden betrügerische Antivirusprogramme ("Fake-AV") immer aggressiver. Geraten Internet-Nutzer auf eine Web-Seite, die solche Scareware verbreitet, werden sie mit verwirrenden Ja/Nein-Dialogen zum Download der Schadprogramme genötigt. Ist der Schädling einmal installiert, nervt er mit falschen Virenbefunden, damit das Opfer die teure Vollversion des Programms kauft.
Zudem installiert "Antivirus System PRO" ein lokalen Proxy-Dienst auf dem TCP-Port 5555 und leitet alle Aufrufe von Microsoft-Seiten auf einen Web-Server der Online-Kriminellen um. Im Browser erscheint die Web-Adresse von Microsoft, denn der Proxy hängt zwischen Browser und Web, sodass er die volle Kontrolle über die angezeigten Web-Seiten hat. Der Schädling könnte auch beliebige andere Web-Seiten auf diese Weise umleiten, etwa die von Online-Diensten, Antivirusherstellern oder Banken. Das unterstreicht einmal mehr, dass man auf einem kompromittierten Rechner nichts mehr als vertrauenswürdig ansehen kann.
Quelle : www.tecchannel.de
-
Erpresserische Windows-Trojaner sind grundsätzlich nicht neu. Computer Associates hat nun aber eine Variante beobachtet, die den Internetzugang auf einem Windows-PC blockiert, bis der Anwender einen Aktivierungscode eingegeben hat. Diesen erhält er, nachdem er eine SMS mit einer bestimmten Zahl an eine kostenpflichtige Premiumnummer schickt, die mit hohen Gebühren verrechnet wird. Angaben zur Summe macht CA jedoch nicht.
Der Win32/RansomSMS.AH getaufte Schädling gelangt offenbar als vorgebliches Downloadtool "uFast Download Manager" auf den Rechner und beschuldigt dann den Anwender nach dem Start auf russisch, die Lizenzbedigungen verletzt zu haben. CA stellt aber ein Tool zum Download zur Verfügung, mit dem sich betroffene Anwender den erforderlichen Code selbst generieren können sollen.
Vorherige Versionen sogenannter Ransomware (Erpressungsschädlinge) sperrten in der Vergangenheit unter anderem schon Anwender aus ihrem Windows-System aus oder verschlüsselten Dateien mit einem vermeintlich unknackbaren Algorithmus.
Quelle : www.heise.de
-
Statt mit infizierten Dateien versucht aktuelle Scareware den Anwender mit angeblich kaputten Dateien zu erschrecken. Die Vorarbeit leistet ein Trojaner namens W32/DatCrypt, der unter anderem Office-, Bild und MP3-Dateien verschlüsselt. Beim Versuch, diese zu öffnen, moniert Windows die Dateien als korrupt.
Anders als bisherige Verschlüsselungstrojaner wie GPCoder, die zum Entschlüsseln eine bestimmte Summe beim Opfer einfordern (Ransomware), gehen die hinter dieser Attacke steckenden Betrüger aber weniger plump vor: Sie bieten dem Opfer den Download des Programm Data Doctor 2010 an, das die Dateien reparieren soll. Allerdings meldet der heruntergeladene Data Doctor, er könne in der Testversion nur eine einzige Datei reparieren; um alle zu reparieren, bedürfe es der Vollversion für rund 90 Euro.
(http://www.heise.de/imgs/18/4/7/2/6/7/3/dd.jpg-ab17200df9096046.jpeg)
Glücklicherweise hält der Antivirenhersteller Sunbelt ein kostenloses Tool zum Download (http://sunbelt-software.com/support/dd2010_decrypter.rar) bereit, mit dem sich die Daten auch ohne Data Doctor reparieren lassen. Das Tool entschlüsselt die mit einem simplen Algorithmus verschlüsselten Dateien einfach wieder. Einen ähnlichen Fall meldete schon Anfang 2009 der Malware-Spezialiste FireEye. Damals hieß das vorgebliche Reparatur-Tool FileFix Pro 2009 und sollte 50 Euro kosten.
Unterdessen warnt Eset vor dem Wurm Zimuse, der auf infizierten Systemen den Master Boot Record überschreibt. Bitdefender warnt ebenfalls vor Zimuse, behauptet jedoch, er "zerstöre Festplatten mit schädlichem Code". Dies tut er allerdings nach einhelliger Meinung nicht sofort nach der Infektion des PCs, sondern je nach Variante nach 40 oder 20 Tagen. Anschließend lässt sich das System nicht mehr booten. In der Regel genügt es aber, mit einer Reparatur-CD den MBR neu zu schreiben, damit eine normale Windows-Installation wieder startet.
Zimuse verbreitet sich über infizierte USB-Sticks und als frei herunterladbares Tool für IQ-Tests im Internet. Eset glaubt, dass sich der Schädling ursprünglich gezielt gegen die Mitglieder eines slowenischen Motorradclubs richtete. Anfänglich seien auch die meisten Meldungen seiner Verbreitung aus Slowenien gekommen. Mittlerweile sollen aber die meisten Berichte aus den USA stammen – erst dann gefolgt von Slowenien, Thailand, Spanien, Italien und Tschechien. Eset hält zwar ein Tool zum Entfernen des Schädling bereit, allerdings dürfte dies nur so lange nützlich sein, wie der Zeitraum bis zum Überschreiben des MBRs nicht verstrichen ist.
Quelle : www.heise.de
-
Die Programmierer betrügerischer Schutzprogramme haben eine täuschend echte AntiVir-Nachahmung inklusive Regenschirm-Logo erstellt und bieten sie auf speziell präparierten Web-Seiten an.
Die meisten PC-Anwender werden wohl, wenn sie ein Logo mit einem stilisierten roten Regenschirm sehen, an den deutschen Antivirushersteller Avira und dessen AntiVir-Produkte denken. Das wollen Online-Kriminelle für sich nutzen und haben eine Nachahmung erstellt, die nicht nur viel teurer sondern auch komplett nutzlos ist.
Die Fälschung trägt den Namen "Security Antivirus Suite" oder auch "Antivirus Security Suite" und wird dem Slogan "20 Years of Total Protection" beworben. Die Betrüger wollen damit den Eindruck eines renommierten Antivirusherstellers noch verstärken, den das bekannte Logo hervor rufen soll.Doch im Gegensatz zur echten Avira-Website, deren Domain-Registrierung bereits seit mehreren Jahren besteht und die korrekte Adresse des Unternehmenssitzes enthält, ist die Website der Fälscher noch kein Jahr alt und über einen anonymisierenden Proxy-Dienst registriert.
Die Vertreiber so genannter Scareware missbrauchen schon lange das Erscheinungsbild legitimer Programme, um ihren Machwerken einen seriösen Anstrich zu verleihen. Sie optimieren ihre eher kurzlebigen Websites, um bei der Web-Suche nach den Originalprodukten an prominenter Stelle in den Trefferlisten zu erscheinen. Auch Mac-Nutzer sind gefährdet und geraten mittlerweile ins Visier der betrügerischen Banden.
Sie verlangen Preise, die oft über denen der echten Antivirusprogramme liegen, bieten jedoch keinerlei Schutzfunktion. Vielmehr nerven die Fälschungen mit vorgetäuschten Warnmeldungen über vorgebliche Schädlingsfunde. Solche Programm sind im günstigsten Fall nutzlos. Zudem landen die beim Online-Kauf eingegebenen Kreditkartendaten in den Händen von Kriminellen, die damit einen schwunghaften Handel betreiben.
Quelle : www.tecchannel.de
-
Online-Kriminelle missbrauchen den Namen des kostenlosen Microsoft-Tools als Tarnung für ein betrügerisches Antivirusprogramm namens Security Essentials 2010.
Nach der Beerdigung seiner Antivirus-Software Onecare hat Microsoft im letzten Jahr das Gratis-Tool Microsoft Security Essentials (MSE) heraus gebracht. Online-Kriminelle benutzen diesen Namen nun für ein betrügerisches Schutzprogramm, so genannte Scareware, wie erst kürzlich das Logo von Avira AntiVir.
(http://images.tecchannel.de/images/tecchannel/bdb/391194/366x250.jpg)
Im Blog der PandaLabs des spanischen Antivirusherstellers Panda Security berichtet ein Malware-Forscher namens Olaiz über das Scareware-Programm Security Essentials 2010. Im Gegensatz zu Microsofts Original ist es nicht nur unfähig irgendeinen echten Schädling zu entdecken, es nötigt den Benutzer auch zum Erwerb einer ebenso nutzlosen, aber knapp 50 US-Dollar teuren Vollversion.
Außerdem manipuliert Security Essentials 2010 die Windows-Registry. Es verhindert, dass Benutzer das Hintergrundbild für den Windows Desktop ändern können. Es deaktiviert den Zugriff auf den Taskmanager und somit auf die Liste der laufenden Programme und Prozesse.
Scareware täuscht einen Scan der Festplatte vor und meldet dann etliche vorgeblich gefundene Schädlinge. Zuweilen werden dazu harmlose Dummy-Dateien angelegt, die dann von dem betrügerischen Programm als angebliche Malware gemeldet werden. Scareware macht oft durch ständige Pop-ups auf sich aufmerksam, um den Benutzer zur Kauf der teuren Vollversion zu nötigen.
Um Verwechslungsgefahr zu vermeiden: das Sicherheitsunternehmen Webroot bietet eine legitime Software mit dem Namen "Webroot Internet Security Essentials" (WISE) an.
Quelle : www.tecchannel.de
-
Der Nocebo-Effekt beschreibt die gegenteilige Wirkung des Placebo-Effekts: Obwohl die Pille keinen Wirkstoff enthält, reagiert der Patient mit einer Gesundheitsverschlechterung. Ähnlich stuft Google in seiner kommenden Studie "The Nocebo Effect on the Web: An Analysis of Fake Anti-Virus Distribution" die Wirkung sogenannter Scareware ein: Tut zwar nichts, führt aber trotzdem zu einer Verschlechterung des Zustands des PCs (oder des Anwenders). Google will die Studie erstmals auf der Usenix-Konferenz "Workshop on Large-Scale Exploits and Emergent Threats" Ende April präsentieren.
Laut Google hat Scareware mittlerweile 15 Prozent Anteil am gesamten im Web registrierten Malware-Volumen – und der Anteil steige immer weiter. Scareware gaukelt dem Anwender eine Infektion mit Trojanern und Viren vor. Um die vermeintlichen Virenfunde zu beseitigen, versuchen die Programme dem Anwender den Kauf einer Vollversion aufzudrängen. Dabei nerven sie mit häufigen Warnmeldungen im laufenden Betrieb.
Für seine Analyse hat Google nach eigenen Angaben 240 Millionen, im Rahmen seiner "Malware Detection"-Infrastruktur als verdächtige eingestufte Webseiten genauer untersucht. Elf Millionen Domains sollen dabei in die Verbreitung von Scareware in den vergangenen 13 Monaten involviert gewesen sein. Bei der Hälfte aller über Werbebanner verteilten Malware soll es sich um die betrügerischen Software gehandelt haben. Nach Angaben von Google entspricht das einer Verfünffachung gegenüber dem Vorjahr.
Zuletzt hatte Scareware größere Medienpräsenz, als infizierte Werbebanner auf Handelsblatt.de und zeit.de über Browser-Lücken Scareware installierten. Dabei versteckten Kriminelle in Werbebannern ein spezielles JavaScript, die in einem Iframe weiteren Code nachluden, der seinerseits wieder auf eine andere Seite zeigte, wo dann letztlich das Exploit-Toolkit Neosploit verschiedene Lücken in den Plug-ins für QuickTime, Java und den Adobe Reader durchprobierte.
Allerdings muss Scareware nicht zwangsläufig in den Rechner eindringen, es genügt oftmals, einen Virenscan auf einer Webseite vorzutäuschen, um Anwender zum Download und Installation einer vermeintlichen Schutzsoftware zu bewegen. Weil Anwender oftmals in Panik geraten, ist die Abwehr von Scareware auch so schwierig. Google empfiehlt Anwendern, im Zweifel nur Software eines bekannten Antivirenherstellers zu installieren.
Quelle : www.heise.de
-
Anbieter von Scareware bieten für ihre Nervprogramme inzwischen echten Live-Support, wie Nicolas Brulez von Kaspersky festgestellt (http://www.securelist.com/en/blog/249/Technical_Support_theyre_not_always_the_good_guys) hat. Wer etwa den vermeintlichen Virenscanner "Security Master AV" installiert und den "Online Support" anklickt, hat im Chat die Gelegenheit, seine Fragen direkt an den Scareware-Hersteller zu richten. Debora Brown, Kendra Grace oder David Lee nehmen sich alle Zeit der Welt, um das Opfer in flüssigem Englisch von der trügerischen Seriosität der Software zu überzeugen und das überflüssige Vollprodukt an den Mann zu bringen. Alternativ kann man auch anrufen oder eine Mail an das Team schreiben.
Als besonderes Schmankerl hält der "Support" eine auf einen Tag limitierte Testversion des Vollprodukts bereit, welche die nicht existierenden Schädlinge zuverlässig vom System verbannt. Die imaginären Viren werden zuvor von der Testversion diagnostiziert. Auch ein Uninstaller für den „Security Master“ wurde Brulez angeboten. Dieser löschte die Scareware jedoch nur teilweise.
Die Herkunft der hilfsbereiten Scareware-Verteiler schreibt Nicolas Brulez Russland oder der Ukraine zu. Wie man die Scareware erkennt und welche Gefahren von ihr ausgesehen, erklärt der Artikel Scharlatane und Hochstapler auf heise Security. Erst kürzlich hat das FBI drei Männer angeklagt, die Internet-Nutzern in mehr als 60 Ländern rund 100 Millionen US-Dollar mit Scareware abgeknöpft haben sollen.
Quelle : www.heise.de
-
Sogenannte Scareware - gefälschte Sicherheitssoftware - ist seit Jahren auf dem Vormarsch. Nun haben sich Cyberkriminelle einen neuen Trick einfallen lassen, um derartige Software unter die User zu bringen: gefälschte Browser-Warnmeldungen, die den Benutzern suggerieren sollen, dass ihr System mit Malware verseucht ist.
Die zu diesem Zweck entwickelte Software - Spitzname Zeven - läuft als Script auf kompromittierten Websites. Sie generiert eine Warnmeldung, die den Benutzern anzeigen, dass ihr Rechner mit Malware infiziert ist. Das soll sie dazu bewegen, eine gefälschte Sicherheitssoftware namens Win7 AV zu installieren. Die Warnmeldung sieht dabei den vom jeweiligen Browser generierten täuschend ähnlich. Welchen Browser die Besucher verwenden, wird zuvor über eine Abfrage des User Agent ausgelesen.
Dadurch, dass die Warnmeldungen den von Chrome, Firefox oder dem Internet Explorer generierten täuschend ähnlich sehen, sollen sie in den Augen des Benutzers an Glaubwürdigkeit gewinnen. So sieht auch die Website, auf der Win 7 AV angepriesen wird, der des Microsoft-Malware-Schutzes Microsoft Security Essentials täuschend ähnlich. Cyberkriminelle verlassen sich oft darauf, legitime Websites und Produkte zu imitieren, um sich der Vertrauen der Nutzer zu erschleichen.
In einem Blogpost (http://blogs.technet.com/b/mmpc/archive/2010/09/01/rogue-msil-zeven-wants-a-piece-of-the-microsoft-security-essentials-pie.aspx) von Microsoft finden sich weitere Details sowie Screenshots zum Thema.
Quelle: www.gulli.com
-
Eine neue Variante betrügerischer Antivirusprogramme bedient sich einmal mehr der kostenlosen Schutz-Software Microsoft Security Essentials als Vorlage. Sie installiert ein zweites Scareware-Programm, für das eine teure Lizenz erworben werden soll.
Die Programmierer betrügerischer Antivirusprogramme, auch als Scareware bekannt, missbrauchen gerne Namen und Erscheinungsbild bekannter legitimer Schutz-Software, um ihre Opfer zu täuschen. Der Antivirushersteller AVG hat kürzlich eine neue, als "Fake MSE" bezeichnete Variante entdeckt. Sie ahmt Microsoft Security Essentials (MSE) nach.
Wie Jason Zhou und Peter Gramantik im AVG Blog (http://viruslab.blog.avg.com/) berichten, geht die neue Scareware-Version etwas raffinierter vor als ihre Vorläufer. Einmal auf den PC gelangt, täuscht sie zunächst einen Schädlingsbefund vor, den sie vorgeblich entfernt. Dann gibt sie vor eine kritische Sicherheitslücke im Dateisystem gefunden zu haben.
Um diese Lücke zu beseitigen, empfiehlt Fake MSE die Installation eines zweiten Programms namens "Windows Express Settings", das es auch gleich parat hat. Nach dessen Installation wird ein Neustart von Windows verlangt. Anschließend findet der Benutzer nicht mehr den gewohnten Windows-Desktop vor sondern die Oberfläche des neuen Scareware-Programms.
(http://images.tecchannel.de/images/tecchannel/bdb/2210211/890x.jpg)
Scareware: Windows Express Settings
Dieses beginnt sogleich mit einer vorgetäuschten Überprüfung des Rechners. Nach Abschluss dieses Vorgangs präsentiert es eine Liste von Schädlingen verschiedener Art, die es vorgibt gefunden zu haben. Um diese fiktiven Befunde zu beseitigen, nötigt Windows Express Settings den Benutzer zum Kauf einer Lizenz für die Vollversion.
Diese ist ebenso nutzlos wie teuer - 79,90 US-Dollar werden verlangt, die mit der Kreditkarte zu bezahlen sind. Auf diesem Wege würden den Tätern auch noch die Kreditkartendaten des Opfers in die Hände fallen. Damit können die Täter das Konto plündern oder die Daten weiter verkaufen.
Quelle : www.tecchannel.de
-
(http://www.heise.de/imgs/18/6/5/4/3/2/5/5620bd131a552dbc.png)
Die Masche ist offenbar lukrativ: Nach der Infektion eines Rechners sperren Lösegeld-Trojaner den Zugriff für den Anwender und fordern zur Zahlung einer Freischaltgebühr auf. Ein aktuelles Exemplar variiert das Thema und sperrt vorgeblich die Windows-Lizenz. Die ließe sich jedoch über einen angeblich kostenlosen Anruf bei einer Service-Nummer wieder freischalten.
Die Nachricht kommt nicht von Microsoft, die Sperre ist ein Trick, und die Anrufe sind natürlich nicht kostenlos – im Gegenteil: Sie gehen an teure, internationale Rufnummern etwa in Madagaskar. Wie der AV-Spezialist F-Secure dokumentiert hat, werden die Anrufer mehrere Minuten in einer Warteschleife hingehalten, damit auch wirklich hohe Gebühren auflaufen. Durch die Mithilfe eines Operators können die Betrüger das Gespräch nämlich in ein billigeres Land umleiten und dabei einen Teil der Gebühren für den Anruf zur ursprünglich gewählten Nummer selbst einstreichen.
Bei den Testanrufen von F-Secure erhielten die Opfer am Ende immer den gleichen Freischaltcode 1351236. Ob der dann das System wirklich wieder freigibt, ist zwar ungewiss; sie auszuprobieren, kann aber nicht schaden. Funktioniert das nicht, kommt man höchstwahrscheinlich wie auch bei den ähnlich gestrickten Vorgängern über eine Boot-CD zumindest an seine Daten und kann dann das System neu installieren.
Das gestaltet sich deutlich schwieriger, wenn man sich einen der GPcode-Schädlinge eingefangen hat, die – wie Anrufe bei der c't-Hotline zeigen – ebenfalls wieder vermehrt die Runde machen. Dieser Schädling verschlüsselt nämlich die Dateien der Anwender. Das dabei eingesetzte Verfahren entspricht dem Stand der Technik. So erzeugt GPcode auf jedem infizierten System einen zufällig erstellten AES-Schlüssel mit 256-Bit, mit dem er unter anderem alle Doc-, RTF-, Excel- und PDF-Dateien verschlüsselt.
Den AES-Schlüssel verschlüsselt er wiederum mit dem öffentlichen RSA-Schlüssel der Betrüger und hinterlegt nur die verschlüsselte Version auf dem befallenen System. Er lässt sich somit nur mit deren geheimen Schlüssel wiederherstellen. Die eingesetzten Verschlüsselungsverfahren lassen sich quasi nicht knacken, und auch Reverse Engeneering des Schädlings hilft nicht weiter. Wie Nicolas Brulez von Kaspersky in seiner GPCode-Analyse feststellt, bleibt damit nur die Hoffnung auf ein möglichst aktuelles Backup. Wer sich auf das Vabanque-Spiel der Erpresser einlässt und zahlt, riskiert damit, dass das Geld weg ist und die Daten trotzdem nicht freikommen.
Quelle : www.heise.de
-
In einem internationalen Schlag gegen Online-Kriminelle hat das Bundeskriminalamt (BKA) mehrere Objekte in Deutschland durchsucht. In zwei Wohnobjekten und einem Firmengebäude im Rhein-Main-Gebiet sowie in Rechenzentren unterschiedlicher Provider in Bayern, Hessen, Nordrhein-Westfalen und Sachsen seien Beweismittel wie Festplatten sichergestellt worden, teilte das BKA in Wiesbaden mit. Hintergrund ist ein Ermittlungsverfahren der US-Bundespolizei FBI wegen gewerbsmäßiger Verbreitung von Schadsoftware. Laut BKA waren elf Staaten in die Aktion eingebunden. Die Durchsuchungen fanden bereits am Dienstagmorgen statt.
(http://www.tagesschau.de/multimedia/bilder/laptop102_v-mittel16x9.jpg)
Den international agierenden Online-Kriminellen wird vorgeworfen, mit Hilfe von Netzen aus gekaperten Computern ("Botnets") Schadsoftware verbreitet zu haben. Diese "Scareware" spielte Internetnutzern vor, dass ihr Computer mit einem oder mehreren Schadprogrammen infiziert sei. Zur vermeintlichen Bereinigung des Systems werde dem Nutzer der Kauf einer Lizenz für eine angebliche "Sicherheits-" oder "Antivirensoftware" mittels Kreditkarte angeboten. Die Preise für diese Software variierten zwischen etwa 40 und 80 US-Dollar. Das Programm ist aber bestenfalls nutzlos, oder sogar selbst ein Computerschädling. Zudem kommen die Kriminellen auf diese Weise an Kreditkarteninformationen.
"Conficker"-Bande ebenfalls das Handwerk gelegt?
Ebenfalls mit Unterstützung deutscher Ermittler hat der ukrainische Geheimdienst nach eigenen Angaben einer internationalen Bande das Handwerk gelegt, die mit Hilfe eines Computerwurms umgerechnet 50 Millionen Euro erbeutet haben soll. Die Angreifer hätten mit dem Wurm Conficker die Kontrolle über Computer übernommen und Konten bei Banken verschiedener Länder geplündert, teilte die Behörde nach Medienberichten in der Hauptstadt Kiew mit. Mit der Beute hätten sie sich unter anderem Luxusgüter und Immobilien gekauft. Conficker hatte sich vor allem 2009 stark verbreitet und Millionen Rechner erfasst.
Quelle: www.ard.de
-
Eine Abwandlung des so genannten BKA-Schädlings sperrt Anwender vom Zugriff auf ihrem PC aus und verlangt im Namen von Microsoft eine Reaktivierungsgebühr für Windows in Höhe von 100 Euro. Für den Fall der Weigerung wird mit Löschung aller Daten gedroht.
Wer eine raubkopierte Windows-Version einsetzt oder seine legitime Windows-Kopie noch nicht aktiviert hat, könnte einem Schädling auf den Leim gehen, der versucht seine Opfer zu erpressen. Ein Trojanisches Pferd sperrt den Zugriff auf den Rechner und fordert auf Deutsch ein Lösegeld von 100 Euro, vorgeblich zu zahlen an Microsoft.
Eine großflächige Meldung auf dem Bildschirm eines infizierten Rechners zeigt ein Windows-Logo und behauptet: "Die Echtheit Ihrer Windows-Kopie wurde automatisch überprüft und nicht bestätigt." Ferner wird eine fünfstellige "Identifikationsnummer" angezeigt und die Zahlung von 100 Euro per Paysafecard oder Ukash-Card binnen 48 Stunden verlangt. Den PIN-Code der Bezahlkarte soll das Opfer zusammen mit der Identifikationsnummer auf eine Web-Seite eingeben. Diese soll vortäuschen eine Microsoft-Seite zu sein.
(http://images.tecchannel.de/images/tecchannel/bdb/2300832/890x.jpg)
Die Meldungen drohen dem potenziellen Opfer mit der Löschung aller Daten einschließlich seiner Windows-Kopie, falls er nicht zahlen sollte. Außerdem wird mit einer Anzeige bei der Staatsanwaltschaft gedroht. Der dabei heran gezogene Paragraf 126 Abs. 3 UrhG (Gesetz über Urheberrecht) bezieht sich jedoch nicht auf raubkopierte Software sondern auf Tonträger, wie der Bochumer Antivirusanbieter G Data in seinem englischen Blog süffisant anmerkt (http://blog.gdatasoftware.com/).
Um den blockierten Zugriff auf den Rechner wieder herzustellen, empfiehlt G Data das Starten des Rechners von einer Antivirus-Boot-CD. Dann sollten alle Dateien namens "msvcs.exe" gelöscht oder zumindest umbenannt werden. Die damit verwaist zurück bleibenden Registry-Einträge können nach dem Neustart, nun wieder unter Windows, entfernt werden.
Luis Corrons vom spanischen Antivirushersteller Panda Security bietet im Blog der PandaLabs als Alternative zum Bezahlen der vorgeblichen Reaktivierungsgebühr den Aktivierungsschlüssel gratis an (http://pandalabs.pandasecurity.com/), den man an sich nach der Zahlung per Mail oder SMS von den Erpressern bekommen soll. Nach seinen Angaben entfernt der Schädling dann die angelegten Registry-Einträge und auch sich selbst. G Data hat dies mittlerweile in einem neueren Blog-Eintrag bestätigt.
Eine anschließende gründliche Untersuchung mit aktueller Antivirus-Software wird damit jedoch keinesfalls überflüssig. Schließlich muss der als Ransomware zu klassifizierende Schädling ja irgendwie auf den PC gelangt sein, möglicherweise durch andere Malware. Der Fall erinnert stark an den so genannten "BKA-Trojaner" aus dem März.
Quelle : www.tecchannel.de
-
Mit zunehmendem Aufwand versuchen Kriminelle, sogenannte Ransomware ("ransom" heißt "Lösegeld") auf verschiedene Länder anzupassen und ihr damit einen glaubwürdigen Anstrich zu verleihen. Seit Anfang des Jahres kursiert etwa der sogenannte BKA-Trojaner. Er sperrt den Rechner des Opfers und behauptet, illegale Inhalte wie Raubkopien oder Kinderpornografie auf dem Rechner gefunden zu haben. Nur nach Zahlung einer bestimmten Summe werde die Sperre wieder aufgehoben – was allerdings in der Regel nicht passiert.
(http://www.heise.de/imgs/18/7/4/9/3/9/0/63f8f18c0c059b6f.png)
Derartig angepasste Trojaner gibt es auch in anderen Ländern, wie das Microsoft Malware Protection Center meldet. Dabei werden von Land zu Land unterschiedliche Behörden vorgeschoben: Während es bei deutschen Nutzern angeblich die Bundespolizei ist, die 50 bis 250 Euro fordert, will in Großbritannien die Metropolitan Police 75 Pfund sehen. In der Schweiz verlangt angeblich das "Federal Department of Justice and Police" 100 Schweizer Franken für die Entsperrung des Rechners.
Auch Varianten, die sorgfältig auf Spanien und die Niederlande zugeschnitten wurden, haben die Malware-Experten von Microsoft entdeckt. Die Schädlinge teilen sich eine gemeinsame Code-Basis. Laut dem Bericht haben sich die Virenschreiber Mühe gegeben, dass der Schädling leicht auf örtliche Gegebenheiten angepasst werden kann. Die jeweils passende Sprachversion des Schädlings wählen die Kriminellen anhand der per IP-Adresse ermittelten Standorts des Opfers aus.
Die Verteilung der Malware läuft laut Microsoft unter anderem über das Exploit-Kit Black Hole, das den Rechner beim Besuch einer verseuchten Webseite auf bekannte Sicherheitslücken in Adobe Reader, Flash, Java und Windows abklopft. Hat das Exploit-Kit ein Schlupfloch gefunden, infiziert es den Rechner mit der Ransomware.
Im Zeitraum von Juli bis November dieses Jahres hat Microsoft allein eine Variante der Ransomware auf über 25.000 Rechnern deutscher Nutzer entdeckt. Wenn nur jeder zehnte auf den Schwindel hereinfallt und 100 Euro bezahlt, würden die Kriminellen immerhin 250.000 Euro erbeuten. Betroffene sollten auf keinen Fall zahlen und stattdessen eine aktuelle Antiviren-Boot-CD einsetzen.
Quelle : www.heise.de
-
Die Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU) warnt vor einer Schadsoftware. Diese sperrt Rechner und tut so, als wäre dies wegen einer Urheberrechtsverletzung und im Namen der GVU und des BSI geschehen.
Die Gesellschaft zur Verfolgung von Urheberrechtsverletzungen e.V. (GVU) distanziert sich von der missbräuchlichen Nutzung ihres Namens durch eine Schadsoftware. Diese sperrt offenbar einen Rechner mit der Begründung des Schwarzkopierens und verlangt für einen Entsperrcode eine Strafzahlung von 50 Euro.
Die GVU hat von dem Bildschirm eines offenbar verseuchten Rechners ein Foto gemacht. Dort wird vorgegeben, dass auf dem Rechner sogenannte Raubkopien gefunden wurden. Versehen mit den Logos der GVU und des Bundesamts für Sicherheit in der Informationstechnik und diversen mit Paragraphen unterlegten Erklärungen wird der Sachverhalt erklärt. Außerdem wird die eigene IP-Adresse angezeigt.
(http://scr3.golem.de/screenshots/1203/GVU-Schadsoftwarewarnung/thumb620/PC-Meldung.jpg)
Das alles dürfte aufgrund der guten Aufmachung Anwender durchaus erschrecken und viele sich schuldig fühlende zu einer Zahlung der angeblichen Mahngebühr in Höhe von 50 Euro zu bewegen. Das sollte keinesfalls gemacht werden. Bezahlt werden soll mit einer Paysafe-Card und um die Betrügerei zu vereinfachen gibt es Hinweise, wo diese Karten gekauft werden können.
In der Warnung rät die GVU "allen Betroffenen dringend, Anzeige bei der nächsten Polizeidienststelle zu stellen. Nach Anzeigenerstellung empfiehlt die Organisation, die Festplatte auszubauen, an einen funktionsfähigen Rechner mit einem guten Virenschutzprogramm anzuschließen und einen Virenscan durchzuführen."
Quelle : www.golem.de
-
Der Fake ist kinderleicht zu erkennen, obschon recht überzeugend gestaltet.
Es sollte wohl dem Dümmsten klar sein, dass eine tatsächliche Verfolgung durch Behörden und / oder Urheberrechtsprofis NIEMALS für`n schlappen Fuffi abzuwenden wäre.
In der geringen Höhe kommen gerade mal Schwarzfahrer davon, als Ersttäter.
Schön wär's schon... ::)
Jürgen
-
(http://www.heise.de/imgs/18/8/2/2/4/5/1/ransomware_mbr-e85e9d1735f64cea.gif)
Die Antivirenexperten von Trend Micro haben einen Lösegeld-Trojaner entdeckt (http://blog.trendmicro.com/ransomware-takes-mbr-hostage/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Anti-MalwareBlog+%28Trend+Micro+Malware+Blog%29), der den Boot-Vorgang blockiert. Anders als der in Deutschland weit verbreitete BKA-Trojaner nistet er sich dazu im Master Boot Record (MBR) ein. Anschließend führt der Schädling einen Neustart durch und fordert den Nutzer auf, ein Lösegeld in Höhe von 920 Hrywnja (ukrainische Währung, umgerechnet rund 90 Euro) über den Zahlungsdienstleister QIWI an die Erpresser zu zahlen.
Kommt das Opfer der Forderung nach, schicken ihm die Erpresser einen Code, der den Rechner wieder freigibt. Das Geld kann man sich allerdings auch sparen, indem man die Desinfektionsanleitung (http://about-threats.trendmicro.com/Malware.aspx?language=us&name=TROJ_RANSOM.AQB) der Experten befolgt. Im Wesentlichen läuft es darauf hinaus, die Wiederherstellungskonsole von der Windows-Installations-DVD zu starten und den ursprünglichen MBR mit dem Befehl fixmbr wiederherzustellen.
Laut Trend Micro wird der Schädling durch speziell präparierte Webseiten verbreitet oder durch andere Malware auf das System geschleust. Bereits Anfang 2010 wurde ein Schädling entdeckt, der den MBR überschrieben und das Booten des Betriebssystemens dadurch verhindert hat. Dieser hat allerdings kein Lösegeld eingefordert.
Hierzulande sind dutzende Versionen des BKA-Trojaners verbreitetet, die sich allerdings zumeist nicht am MBR zu schaffen machen, sondern sich über Autostart oder spezielle Registry-Einträge ins System einklinken.
Quelle : www.heise.de
-
(http://static.gulli.com/media/2012/05/thumbs/370/GVU-Computer-gesperrt.jpg)
Die Gesellschaft zur Verfolgung von Urheberrechtsverletzungen e.V. (GVU) warnt: Noch immer locken Cyberkriminelle zahlreiche Anwender in die Irre. Die GVU-Trojaner geben vor, sie würden ihre durch die Schadsoftware blockierten PCs nach Zahlung einer bestimmten Geldsumme freigeben. Die Forderung ist mittlerweile von 50 auf 100 Euro angewachsen. In vielen Fällen blieb die Sperre trotz Zahlung aktiv.
Bereits seit März 2012 verbreitet sich eine Schadsoftware, die die betroffenen Computer komplett sperrt. Seit heute fordert der sogenannte "GVU-Trojaner" die Zahlung von 100 Euro. In der Regel dringt der Trojaner beim Surfen über manipulierte Webseiten unbemerkt in die Zielrechner ein. Nachdem die Ukash-Erpresser-Malware das System gesperrt hat, erscheint eine Meldung, nach der angeblich Raubkopien auf dem Rechner gefunden wurden. Als Absender werden die Logos der GVU, sowie des Bundesamts für Sicherheit in der Informationstechnik (BSI) angezeigt. Die vermeintlichen Raubkopierer werden nach der Infektion der Computer zur Kasse gebeten. Gegen Zahlung einer Gebühr via PaysafeCard werde der Rechner entsperrt, wird in der Mitteilung des Trojaners versprochen. Allerdings blieb der PC trotz der Zahlung weiterhin nicht benutzbar. Mittlerweile hat sich die geforderte Summe offenbar verdoppelt.
Im Blog des Anti-Botnet Beratungszentrums wird Schritt für Schritt erklärt (http://blog.botfrei.de/2012/03/anleitung-gvu-trojaner-v2-04-entfernen-windows-xp-vista-7/), wie man den GVU-Trojaner nachhaltig mit Hilfe der Kaspersky Rescue Disk vom System entfernen kann. Der Anbieter für elektronische Zahlungsmittel, PaysafeCard fordert diejenigen Nutzer, die das Lösegeld bereits bezahlt haben auf, so schnell wie möglich Kontakt mit ihrem Team aufzunehmen.
Quelle: www.gulli.com
-
Die Polizei Hannover warnt per Facebook vor der neuesten Variante des Ukash/Paysafe-Trojaners. Mittlerweile ermittle man in rund 35 Verfahren wegen "versuchter Erpressung mittels Trojanern" gegen unbekannte Täter.
Derzeit kurisieren Mails mit der Betreff-Zeile "BKA erdrückende Akte gegen ...", die aber nicht von offizieller Stelle stammen. Das stellte das BKA stellte am Freitagabend in Wiesbaden klar. Die Kriminalpolizei rät zu pragmatischen Vorsichtsmaßnahmen, um kein Opfer zu werden: nie Anhänge zweifelhafter E-Mails öffnen, sondern sofort als Spam markieren oder löschen; einen aktuellen Virenscanner nutzen und Software-Updates einspielen. Befallene Anwender sollen sich auf keinen Fall auf den Erpressungsversuch einlassen, sondern die Polizei kontaktieren.
Offenbar ziehen die Erpressungs-Trojaner immer weitere Kreise. Dabei ist die Masche eigentlich alt: Ältere Varianten behaupteten unter anderem, im Auftrag der GVU oder gar des Bundeskriminalamts zu handeln. Stets wird auf ein schlechtes Gewissen des Anwender spekuliert: Auf dem Rechner sei illegale Software, geklaute Musik oder gar Kinderpornografie gefunden worden. Zugriff auf den PC werde erst nach der Zahlung einer "Strafe" wiederhergestellt, die über ein Payment-System wie Paysafe oder Ukash zu bezahlen sei.
In Wirklichkeit bewirkt eine Bezahlung natürlich nichts; der Rechner bleibt gesperrt. Echte Abhilfe bringen nur beherzte Eingriffe über den abgesicherten Modus oder spezialisierte Säuberungswerkzeuge, die man etwa über das Anti-Botnet Beratungszentrum oder direkt bei diversen AV-Herstellern findet.
Die jüngste Auflage des Ukash/Paysafe-Trojaners zieht die Daumenschrauben fester an als seine Vorgänger. Aktuelle Versionen der Malware geben sich als "Microsoft Windows Lizenzierung" aus: Die Windows-Lizenz sei illegal oder abgelaufen, deshalb seien alle Dateien verschlüsselt worden. Im Folgenden türmen sich die Lügen: Die Festplatte sei "mit PGP-RSA verschlüsselt" worden, Entschlüsselungsversuche auf eigene Faust seien strafbar, man müsse den Computer unbedingt eingeschaltet lassen und weiterer Unsinn.
Stimmen tut nur eines: Der Trojaner verschlüsselt die Dateien auf der Festplatte – allerdings nicht die komplette Platte, sondern dateiweise und nach einer relativ simplen Methode. Für diesen Vorgang braucht der Trojaner jedoch Zeit; damit erklärt sich auch die Aufforderung, den Computer nicht auszuschalten. Angesichts des Verhalten des Trojaners überrascht, dass die Polizei die Fälle nur als Erpressung und nicht zudem auch noch als Computersabotage einstuft.
Bei einigen Versionen des Trojaners lassen sich die Dateien mithilfe eines unverschlüsselten Gegenstücks entschlüsseln. Hier helfen unter anderem Werkzeuge von Avira, Dr. Web und Kaspersky sowie der DeCryptHelper von Trojaner-Board.de. Neuere Revisionen des Trojaners verschlüsseln die Dateien allerdings so, dass sie sich bisher nicht wiederherstellen lassen. Man sollte die betroffenen Dateien dennoch auf keinen Fall löschen, sondern sicher aufbewahren – neue Entschlüsselungswerkzeuge sind angeblich in Arbeit.
Aufmerksame Anwender werden bei der Lektüre des Drohbildschirms sofort über diverse Inkonsistenzen und Schreibfehler stolpern. Auch der Umstand, dass der zu zu zahlende Betrag je nach Zahlungs-Provider entweder 50 oder 100 Euro betragen soll, sollte stutzig machen. Hyperventilierende Trojaneropfer sollten besonnen handeln: Schnell den Rechner ausschalten, die Polizei kontaktieren, den derzeitigen Systemzustand zur Spurensicherung und Wiederherstellung über ein Boot-Medium sichern und dann mit viel Sorgfalt beginnen, den Schaden zu beseitigen. Hier können unter anderem die Foren der Initative botfrei.de sowie die Teilnehmer im Trojaner-Board helfen. Vor einer Neuinstallation des Betriebssystems oder einer vorschnellen Formatierung der Platte ist in jedem Fall abzuraten.
Quelle und Links : http://www.heise.de/newsticker/meldung/Polizei-warnt-per-Facebook-vor-Trojaner-1585054.html
-
Windows 8 ist zwar erst seit Freitag offiziell im Handel erhältlich, doch schon jetzt springen die Malware-Autoren auf den anrollenden Zug auf. Wenige Tage nach dem Launch sind die ersten gefälschten Antivirus-Programme für Windows 8 aufgetaucht.
Wie der japanische Sicherheitsdienstleister Trend Micro unter Berufung auf eigene Nachforschungen berichtet, gibt es eine neue Variante der schon für frühere Windows-Versionen konzipierten Scareware-Programme, die sich als Antivirus-Software tarnen. Das Unternehmen nennt den über zahlreiche gefährliche Websites in Umlauf gebrachten Trojaner FAKEAV.
Der ganze Artikel (http://winfuture.de/news,72795.html)
Quelle : http://winfuture.de
-
Ich schätze einmal, man zielt damit hauptsächlich auf zwei Zielgruppen, nämlich blutige Anfänger, für die das ihr erster PC ist, und relativ schlichte Gemüter, die immer unbedingt den allerneusten Kram haben wollen.
Beiden dürfte oft genug gemeinsam sein, dass sie kaum rechtzeitig von erfahrenen Windows-Nutzern von voreiligem Handeln abgehalten werden.
Und so besteht dann tendenziell eine gewisse Bereitschaft, sofort auf jede Fehlermeldung ihres teuren Spielzeugs zahlungswillig zu reagieren.
Mehr als einmal wurde ich schon zu solchen Opfern gerufen und konnte das System säubern oder ggf. wenigstens alle relevanten Daten retten und das Ding neu aufsetzen.
Allerdings vergeht auch mir irgendwann die Lust, wenn sich das bei einer einzigen Person jahrelang immerzu wiederholt und ich zudem feststellen muss, das sich der Patient trotz aller Warnungen immer wieder auf den gleichen wirklich widerlichen Seiten infiziert.
So einem Spezialisten habe ich vor einigen Monaten jeden künftigen Support aufgekündigt, nachdem sich das jahrelang nicht besserte und noch nicht einmal meine Warnung half, seine Frau oder seine Tochter könnten das irgendwann spitz kriegen. Er hat es vorgezogen, den beiden je ein Apple Notebook zu kaufen, damit er sie nicht mehr an seinen Rechner heran lassen musste.
Solche Scareware-Geschichten waren noch die geringsten Probleme, die ich bei ihm immer wieder erlebt habe, und mehr als einmal hatte er tatsächlich schon bezahlt. Erfolglos, natürlich.
Tja, und nun ist es soweit.
Seine Frau hat's neulich doch mitgekriegt, auch ohne einen Tip von mir.
Ein Kontoauszug gab den Anstoß, und sie wurde seeeehr misstrauisch.
Er nächtigt jetzt erst einmal bei seiner Mutter.
Und seine Frau war dann hier, um vor der Verschrottung des inzwischen wertlosen Rechners die Festplatte gründlich platt machen zu lassen.
Jürgen
-
CryptoLocker scheint der erste Trojaner zu sein, der Bitcoin als Zahlungsmittel akzeptiert. Der Lösegeld-Trojaner, vor dem Sophos schon vor zwei Wochen gewarnt hatte, zeichnet sich ansonsten dadurch aus, dass er Dokumente auf dem Rechner seiner Opfer sehr gut verschlüsselt. So gut, dass es für die Opfer oft keinen Ausweg mehr gibt, wenn die Schadsoftware sich erst einmal eingenistet hat.
Der ganze Artikel (http://www.heise.de/security/meldung/Loesegeld-Trojaner-erpresst-Bitcoins-1984165.html?wt_mc=sm.feed.tw.security)
Quelle : www.heise.de
-
Der Trojaner CryptoLocker scheint ein erfolgreiches Geschäftsmodell zu sein, das die Gauner jetzt optimieren und ausbauen. Seit neuestem bieten sie eine Web-Service im Tor-Netz an, bei dem die Opfer ihre verschlüsselten Dateien hochladen können und im Gegenzug dann den Schlüssel bekommen, der ihre Originaldaten wiederherstellen kann – gegen horrende Gebühren allerdings.
(http://www.heise.de/imgs/18/1/1/2/7/3/1/0/CryptoLocker-service-27d97e71b812677d.png)
Nach dem Befall verschlüsselt CryptoLocker Dateien mit einem RSA-Schlüssel, dessen Gegenstück zum Entschlüsseln auf dem Server der Gauner liegt. Dann zeigt er einen Countdown bis zu dessen Ablauf das Opfer 300 Dollar zahlen muss, um wieder an seine Daten zu kommen. Typischerweise hat man drei Tage Zeit; der Security-Blogger Brian Krebs berichtet jedoch, dass die Gauner die Fristen jetzt verlängern, weil die Leute Probleme haben, sich in die ungewohnten Bezahlvorgänge via MoneyPak oder Bitcoin einzuarbeiten.
Darüber hinaus gibt es mittlerweile auch spezielle Web-Seiten im Tor-Netz, auf denen die Opfer nach Ablauf der Frist oder nachdem sie ihr System bereits von Antiviren-Software reinigen ließen noch "Hilfe" finden. Allerdings berichtet Bleepingcomputer, dass die Gauner dafür dann sogar 10 Bitcoins verlangen – also umgerechnet über 2000 Euro. Als Gegenwert erhält man angeblich den Schlüssel und ein Entschlüsselungsprogramm.
Mittlerweile warnt auch das US-CERT vor dem Erpressungs-Trojaner. Demnach liegen Berichte vor, dass Opfer auch nach einer Bezahlung der geforderten Summe den versprochenen Schlüssel nicht erhalten haben. Man rate dringend davon ab, das Lösegeld zu zahlen. Allerdings ist bislang auch kein anderer Weg bekannt, die einmal verschlüsselten Daten wieder herzustellen. Letztlich bleibt somit nur gute Vorsorge.
Quelle : www.heise.de (http://www.heise.de/security/meldung/Erpressungs-Trojaner-jetzt-mit-Schluesseldienst-Seiten-2041838.html)
-
Die Antivirenfirma TrendMicro hat eine Mutation des Verschlüsselungstrojaners CryptoLocker gesichtet, die sich unter anderem über Wechseldatenträger verbreitet. Die Variante WORM_CRILOCK.A verschlüsselt nicht nur das digitale Hab und Gut des Nutzers, sie legt zudem eine Kopie ihrer selbst auf allen Wechseldatenträgern ab, die sie finden kann. Ihren Zwillingen verpasst die Malware dabei den vielversprechenden Namen setup.exe. Sind weitere ausführbare Dateien auf dem Speichermedium, werden sie durch gleich benannte Kopien der Malware ersetzt.
Während die bisher gesichteten Varianten ihre Command-and-Control-Server (C&C-Server) erreichten, indem sie Domainnamen nach einem fest einprogrammierten Muster generierten, enhältt WORM_CRILOCK.A fest einkodierte Adressen. Die Unterschiede können laut TrendMicro ein Indiz dafür sein, dass die Variante nicht von den ursprünglichen Entwicklern stammt, sondern das Werk von Trittbrettfahren ist. Während bei den bisherigen Varianten zunächst ein Dropper auf dem zu infizierenden System gestartet wurde, der die eigentliche Malware nachgeladen hat, wird die neue Variante vor allem über Tauschbörsen verteilt. Dabei ist sie unter anderem als Aktivierungstool für Photoshop, Microsoft Office 2013 und Windows getarnt.
CryptoLocker sucht auf dem infizierten System nach Dateien mit insgesamt 69 Endungen – Fotos, Dokumente, Präsentationen, Musik; also alles, was dem Besitzer lieb und teuer ist. Die Dateien verschlüsselt die Malware mit einem 1024 Bit langen RSA-Schlüssel. Den zur Entschlüsselung nötigen Private Key lassen sich die Cyber-Erpresser gut bezahlen. Das Lösegeld wird in Bitcoins an eine angezeigte Adresse gezahlt. Wer keine Backups hat, der muss in den sauren Apfel beißen.
Die Virenjäger von Malware Must Die berichten unterdessen vor einem weiteren Trittbrettfahrer, der einen Verschlüsselungstrojaner namens "Prison Locker" oder auch "Power Locker" in einem Untergrundforum zum Kauf anbietet. Die Schadsoftware kostet 100 US-Dollar und soll gegenüber CryptoLocker sogar noch einen drauf setzen, indem sie RSA-Schlüssel mit einer Länger von 2048 Bit benutzt. Die Ransomware soll Admin-Werkzeuge wie Taskmanager, Registrierungseditor und auch msconfig.exe blockieren, um ihrem Opfer die Desinfektion des Rechner zu erschweren. Welche Summe der Schädling erpressen soll, kann der Käufer angeblich frei einstellen.
Quelle : www.heise.de
-
Der Erpressungs-Trojaner Bitcrypt verschlüsselt Dateien des Anwenders und rückt die Daten nur gegen Zahlung von Lösegeld wieder raus. Sicherheitsexperten gelang es jedoch, die Verschlüsselung zu knacken.
Rund 260 Euro sollten die Opfer an die Gauner überweisen, um ihre Daten wieder zu bekommen. Die hatte der Erpressungs-Trojaner Bitcrypt zuvor verschlüsselt; das zugehörige Entschlüsselungsprogramm der Autoren sollte der einzige Weg sein, die Daten wieder zu dechiffrieren.
Der ganze Artikel (http://www.heise.de/security/meldung/Erpressungs-Trojaner-Bitcrypt-geknackt-2121158.html)
Quelle : www.heise.de
-
Die Entwickler des Trojaners Cryptodefense erklären ihren Opfern sogar per Video, wie sie am besten für die Entschlüsselung ihrer Daten bezahlen. Das Lösegeld ist allerdings auch ziemlich hoch.
Die Gauner hinter dem Erpressungstrojaner Cryptodefense haben ein Howto-Video ins Netz gestellt, um Opfern zu erklären, wie diese am besten ihr Lösegeld bezahlen. In dem Video empfehlen die Cyberkriminellen ihren Opfern, das Tor Browser Bundle zu installieren, falls die Webseite mit dem Entschlüsselungsservice für den Trojaner nicht erreichbar ist.
Laut dem Video wollen die Gauner 600 Euro in Bitcoin, um die Dateien zu entschlüsseln. Zahlt man nicht schnell genug, erhöht sich der Preis auf 1200 Euro. Die Webseite der Gauner enthält eine Funktion, mit dem Opfer eine Datei kostenlos entschlüsseln können. Das soll beweisen, dass die teuer erkaufte Entschlüsselungssoftware auch wirklich funktioniert.
Laut Symantec erbeuten die Gauner mit dem Cryptodefense-Trojaner über 34.000 US-Dollar im Monat. Die Verschlüsselung des Trojaners soll, ähnlich wie bei Cryptolocker, robust sein. Der Trojaner verschlüsselt seine Beute mit einem 2048 Bit starkem RSA-Schlüssel und Symantec geht momentan davon aus, dass ein Entschlüsseln ohne den geheimen Schlüssel der Trojaner-Entwickler unmöglich ist.
Trotz des hilfreichen Videos sollten Opfer sich ganz genau überlegen, ob sie Cyberkriminellen wirklich Geld zahlen wollen. Schließlich gibt es keine Garantie dafür, dass die Ganoven ihr Wort halten. Besser ist es, regelmäßig die eigenen Daten zu sichern.
Quelle : www.heise.de
-
Es häufen sich Berichte über infizierte Windows-Systeme, auf denen ein Schadprogramm Dateien verschlüsselt und nur gegen Zahlung eines Lösegelds von 500 Euro wieder freigibt. Die sind via Tor in Bitcoins zu entrichten.
Bei heise Security melden sich in den letzten Tag vermehrt Betroffene, denen ein Schädling Daten verschlüsselt hat, an die sie dann nur gegen Zahlung eines Lösegeld von 500 Euro oder mehr wieder rankommen. Es handelt sich offenbar um Bitcrypt2, einen Nachfolger des Erpressungs-Trojaners Bitcrypt, der damals noch von findigen Forschern geknackt werden konnte.
(http://www.heise.de/imgs/71/1/2/1/4/4/6/3/bcrypt-tor-4a8f57bd0ac62908.png)
Ob das nochmal klappt ist sehr zweifelhaft; das gesamte Auftreten der Erpresser ist so professionell, dass man eine gewisse Lernfähigkeit in Sachen Verschlüsselung durchaus annehmen kann. Das Opfer bemerkt die Infektion häufig erst, wenn er in einem Ordner, in dem sich bis vor kurzem wichtige Daten befanden, eine Datei namens DECRYPT_INSTRUCTION.TXT findet. Die enthält dann in perfektem Deutsch erste Informationen zur Lösegeldübergabe und verweist dazu auf eine spezielle Seite des Anonymisierungs-Netzes Tor. Besonders heimtückisch in Firmenumgebungen: Der Schädling versucht offenbar alle erreichbaren Netzwerk-Laufwerke als der angemeldete Benutzer zu öffnen und die dann verfügbaren Dateien im Netz ebenfalls zu verschlüsseln.
Den Angaben der Gauner zufolge wurden die Daten nach dem RSA-Verfahren mit einem 2048-Bit-Schlüssel chiffriert. Den dazu verwendeten öffentlichen Schlüssel hat sich der Schädling von einem Server der Gauner geholt; der zugehörige geheime Schlüssel, den man zum Entschlüsseln benötigt, verbleibt demnach jedoch dort – zumindest für einen Monat. Dann wird er gelöscht und die Daten sind unwiederbringlich verloren, drohen die Erpresser.
Anfangs kostet das Entschlüsseln 500 bis 600 Euro; die Summe verdoppelt sich jedoch jeweils nach einer Frist von etwa einer Woche. Ob man nach dem Bezahlen tatsächlich wieder Zugang zu seinen Daten bekommt, steht in den Sternen. Die Polizei rät in solchen Fällen jedenfalls stark davon ab, die geforderte Summe zu bezahlen.
Quelle : www.heise.de
-
Daraus ergeben sich (wieder einmal) immer dieselben unvermeidlichen Konsequenzen:
1.) bis X.) DATENSICHERUNG, regelmäßig, bestätigt und geprüft
+1: erstellte Datensicherungen müssen immer sofort vom Rechner und auch vom Netzwerk abgekoppelt werden und bleiben !!!
Im Bedarfsfalle ist jeder Admin immer noch in der Lage, vor Wiederaufsetzen und Zurückspielen extern und offline angefertigte Kopien einer Sicherung anzufertigen, und wirklich nur diese einzusetzen und damit der harten Wirklichkeit auszusetzen. Für solche Kopier-Arbeiten auf einem externen System eignen sich gut Linux-Live-CDs, die ein möglicherweise mitgesicherter Schädling kaum (nachhaltig) angreifen kann.
+2: Später wiederzuverwendende Sicherungsdatenträger sind vorher mindestens frisch zu partitionieren und zu formatieren.
Datenträger mit dem Nutzer nicht zugänglichen Bereichen (wie SD-Karten oder USB-Sticks mit Sicherheitsfunktionen) verbieten sich natürlich.
Wer sich nicht so konsequent verhält, handelt grob fahrlässig!
Jürgen
-
Bliebe noch an zu merken : Keine unbekannten Dateianhänge in Emails öffnen
und immer schön brav alle Updates einspielen. ;)
Für solche Kopier-Arbeiten auf einem externen System eignen sich gut Linux-Live-CDs, die ein möglicherweise mitgesicherter Schädling kaum (nachhaltig) angreifen kann.
Linux eignet sich nicht nur für Kopierarbeiten. Ich behaupte einfach mal das 95% der anfallenden PC - Arbeiten mit einer
modernen Distribution erledigt werden können. ;)
Deswegen empfehle ich immer ein Dualboot - System. (Muss ja nicht groß sein)
Weil z. B. NTFS mounten zwecks Datensicherung klappt problemlos.
Und wenn gar nichts mehr geht dann ein Livesystem.
-
Nun ja, für vielerlei Flickschusterei und Tüdelkram habe ich den RasPi.
Damit habe ich schon z.B. Datenrettung von zermergelten Dateisystemen betrieben, die Windows nicht mehr erkennen wollte.
Beim Lesen geben sich Tuxe ganz offenbar viel entspannter...
Aber grundsätzlich kommt der doch immer mal wieder in's Netz und ist daher nicht als vollkommen immun gegen Schädlinge anzusehen.
Zudem ist er ja ohne CMOS Uhr, bräuchte also zur Verwendung plausibler Zeitstempel entweder eine manuelle Eingabe oder vielleicht eine DCF77-Erweiterung.
Dennoch wäre es denkbar, dass sich heute oder eines Tages irgendwo in den SD-spezifischen Sicherheits-Unterwelten doch ein gefährlicher Schädling verstecken könnte. Ist auch für Linuxe nicht undenkbar...
Würde ich also betriebswichtige Sicherungen zurückspielen sollen, dächte ich grundsätzlich eher an normale und evtl. etwas altbackene PC-Hardware mit Live-CD und ohne Netzwerk.
Jürgen
-
Wenn man diesem Schädling zum Opfer fällt, gibt es wenig Hoffnung für die eigenen Daten. Diese sind mit State-of-the-Art-Verschlüsselung gesichert und der Trojaner kommuniziert nur verschlüsselt über das Tor-Netz mit seinen Kontrollservern.
Erpressungs-Trojaner werden von ihren kriminellen Schöpfern kontinuierlich weiterentwickelt. Die Virenjäger von Kaspersky berichten jetzt über eine neue Variante namens CTB-Locker: Der Trojaner verschlüsselt nicht nur die Daten seiner Opfer wirkungsvoll, er schützt auch jegliche Kommunikation mit den eigenen Command-and-Control-Servern, indem er sie verschlüsselt. Um seine Spuren zu verwischen, werden diese Server über Onion-Adressen im Anonymisierungsnetz Tor versteckt. Das erschwert es den Virenjägern, sie zu finden und auszuschalten.
Der ganze Artikel (http://www.heise.de/security/meldung/Erpressungs-Trojaner-CTB-Locker-verschluesselt-sicher-und-verwischt-Spuren-2277805.html)
Quelle : www.heise.de
-
Cyber-Erpresser haben einen neuen, direkten Weg gefunden, um das digitale Hab und Gut ihrer Opfer als Geisel zu nehmen: Sie nutzen eine Sicherheitslücke in der NAS-Firmware, um den gesamten Netzwerkspeicher zu verschlüsseln.
Cyber-Erpresser greifen aktuell offenbar reihenweise Netzwerkspeicher von Synology an. Die Masche ist dabei die gleiche wie bei der aus Windows-Welt bekannten Ransomware CryptoLocker: Die Angreifer nutzen eine auf den Namen SynoLocker getaufte Malware, um sämtliche Dateien des Nutzers zu verschlüsseln. Wer wieder auf die Dateien zugreifen will, der soll ein Lösegeld in Höhe von 0,6 Bitcoin zahlen – das entspricht derzeit etwa 270 Euro.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Verschluesselungstrojaner-attackiert-Synology-Speichersysteme-2282625.html)
Quelle : www.heise.de
-
Auf der Webseite decryptcryptolocker.com kann man eine vom Erpressungstrojaner CryptoLocker verschlüsselte Datei hochladen und bekommt mit etwas Glück den geheimen Schlüssel, um die eigenen Daten zu retten.
Die Sicherheitsfirmen FireEye und Fox-IT bieten ab sofort zusammen einen Dienst an, der es Opfern des Erpressungs-Trojaners CryptoLocker erlaubt, ihre Daten zu retten. Auf der Webseite können betroffene Nutzer eine von CryptoLocker verschlüsselte Datei hochladen und erhalten einen Schlüssel, mit dem sie ihre Daten befreien können. Nach eigenen Angaben haben die beiden Firmen es durch Untersuchungen des Trojaner-Schadcodes und der Command-and-Control-Server geschafft, an die geheimen Schlüssel zu kommen, mit denen der Trojaner die Daten des Opfers verschlüsselt hat.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Webdienst-befreit-CryptoLocker-Opfer-aus-der-Geiselhaft-2287100.html)
Quelle : www.heise.de
-
Auch Kriminelle kochen nur mit Wasser und stümpern gerade bei der Umsetzung von Krypto-Funktionen häufig. Deshalb konnten Checkpoint-Experten nun den Dircrypt-Trojaner knacken und die von ihm verschlüsselten Daten retten.
Der Erpressungs-Trojaner Dircrypt ist typisch für die seit einiger Zeit boomende Schädlings-Gattung der Erpressungs-Trojaner: Er verschlüsselt die Daten des Anwenders und seine Macher rücken den für die Entschlüsselung benötigten Schlüssel nur gegen Zahlung eines Lösegelds wieder raus. Doch in diesem Fall lassen sich die Daten auch ohne Zahlung rekonstruieren – zumindest weitgehend.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Dircrypt-geknackt-2348579.html)
Quelle : www.heise.de
-
Mit einer Reihe von Werkzeugen will ein Forscher den Opfern von Erpressungs-Trojanern helfen, ihre Daten zu retten und ihre Systeme zu reinigen. Allerdings ist bei der Anwendung Vorsicht geboten.
Ein Sicherheitsforscher hat eine Sammlung von Entschlüsselungs-Werkzeugen für verschiedene Cryptolocker-Trojaner zusammengestellt. Momentan enthält das Ransomware Response Kit Entschlüsselungswerkzeuge für die Windows-Schädlinge CryptoLocker, CoinVault, FBIRansomWare und TeslaCrypt sowie das Ransomware Removal Tool von TrendMicro, welches mehrere Schädlinge entfernen kann. Zusätzlich stellt der Forscher Dokumentation bereit, die Opfern von Krypto-Trojanern helfen soll, solche Infektionen in Zukunft zu verhindern.
Der Forscher empfiehlt Opfern, auf die Lösegeldforderungen nie einzugehen. Stattdessen sollten sie versuchen, so genau wie möglich zu dokumentieren, welche Trojaner-Variante sie sich eingefangen haben. Genau zu wissen, welchem Schädling man zum Opfer gefallen ist sei wichtig, da der Einsatz des falschen Entschlüsselungs-Werkzeugs unter Umständen Daten unwiederbringlich zerstört.
Auch bei Backups ist Vorsicht geboten
Als Vorsorge sollte man regelmäßig Backups auf Platten anstellen, die ansonsten nicht an laufende Systeme angeschlossen sind. Aber auch hier ist Vorsicht geboten, da laut der von dem Forscher zusammengetragenen Dokumentation einige Schädlinge Daten heimlich im Hintergrund ver- und entschlüsseln, damit der Nutzer im Glauben gelassen wird, seine Daten und Backups sind in Ordnung. Bis der Trojaner plötzlich hinterlistig zuschlägt.
Dann kann es vorkommen, dass das Opfer versehentlich schon verschlüsselte Dateien ins Backup verschiebt. Da helfen nur Backups, die schon vor der Infektion passiert sind und seit dem nicht mehr angefasst wurden, oder Formate, welche der Schädling nicht als Backup erkennt – etwa verschlüsselte Dateien oder Windows-Wiederherstellungspunkte.
Quelle und Links : http://www.heise.de/security/meldung/Das-Erste-Hilfe-Kit-gegen-Krypto-Trojaner-2661154.html