Thema: Scareware ...

[SiLæncer]

Windows 8 ist zwar erst seit Freitag offiziell im Handel erhältlich, doch schon jetzt springen die Malware-Autoren auf den anrollenden Zug auf. Wenige Tage nach dem Launch sind die ersten gefälschten Antivirus-Programme für Windows 8 aufgetaucht.

Wie der japanische Sicherheitsdienstleister Trend Micro unter Berufung auf eigene Nachforschungen berichtet, gibt es eine neue Variante der schon für frühere Windows-Versionen konzipierten Scareware-Programme, die sich als Antivirus-Software tarnen. Das Unternehmen nennt den über zahlreiche gefährliche Websites in Umlauf gebrachten Trojaner FAKEAV.

Der ganze Artikel

Quelle : http://winfuture.de

[Jürgen]

Ich schätze einmal, man zielt damit hauptsächlich auf zwei Zielgruppen, nämlich blutige Anfänger, für die das ihr erster PC ist, und relativ schlichte Gemüter, die immer unbedingt den allerneusten Kram haben wollen.
Beiden dürfte oft genug gemeinsam sein, dass sie kaum rechtzeitig von erfahrenen Windows-Nutzern von voreiligem Handeln abgehalten werden.
Und so besteht dann tendenziell eine gewisse Bereitschaft, sofort auf jede Fehlermeldung ihres teuren Spielzeugs zahlungswillig zu reagieren.

Mehr als einmal wurde ich schon zu solchen Opfern gerufen und konnte das System säubern oder ggf. wenigstens alle relevanten Daten retten und das Ding neu aufsetzen.
Allerdings vergeht auch mir irgendwann die Lust, wenn sich das bei einer einzigen Person jahrelang immerzu wiederholt und ich zudem feststellen muss, das sich der Patient trotz aller Warnungen immer wieder auf den gleichen wirklich widerlichen Seiten infiziert.

So einem Spezialisten habe ich vor einigen Monaten jeden künftigen Support aufgekündigt, nachdem sich das jahrelang nicht besserte und noch nicht einmal meine Warnung half, seine Frau oder seine Tochter könnten das irgendwann spitz kriegen. Er hat es vorgezogen, den beiden je ein Apple Notebook zu kaufen, damit er sie nicht mehr an seinen Rechner heran lassen musste.

Solche Scareware-Geschichten waren noch die geringsten Probleme, die ich bei ihm immer wieder erlebt habe, und mehr als einmal hatte er tatsächlich schon bezahlt. Erfolglos, natürlich.

Tja, und nun ist es soweit.
Seine Frau hat's neulich doch mitgekriegt, auch ohne einen Tip von mir.
Ein Kontoauszug gab den Anstoß, und sie wurde seeeehr misstrauisch.
Er nächtigt jetzt erst einmal bei seiner Mutter.
Und seine Frau war dann hier, um vor der Verschrottung des inzwischen wertlosen Rechners die Festplatte gründlich platt machen zu lassen.

Jürgen

[SiLæncer]

CryptoLocker scheint der erste Trojaner zu sein, der Bitcoin als Zahlungsmittel akzeptiert. Der Lösegeld-Trojaner, vor dem Sophos schon vor zwei Wochen gewarnt hatte, zeichnet sich ansonsten dadurch aus, dass er Dokumente auf dem Rechner seiner Opfer sehr gut verschlüsselt. So gut, dass es für die Opfer oft keinen Ausweg mehr gibt, wenn die Schadsoftware sich erst einmal eingenistet hat.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Der Trojaner CryptoLocker scheint ein erfolgreiches Geschäftsmodell zu sein, das die Gauner jetzt optimieren und ausbauen. Seit neuestem bieten sie eine Web-Service im Tor-Netz an, bei dem die Opfer ihre verschlüsselten Dateien hochladen können und im Gegenzug dann den Schlüssel bekommen, der ihre Originaldaten wiederherstellen kann – gegen horrende Gebühren allerdings.

Nach dem Befall verschlüsselt CryptoLocker Dateien mit einem RSA-Schlüssel, dessen Gegenstück zum Entschlüsseln auf dem Server der Gauner liegt. Dann zeigt er einen Countdown bis zu dessen Ablauf das Opfer 300 Dollar zahlen muss, um wieder an seine Daten zu kommen. Typischerweise hat man drei Tage Zeit; der Security-Blogger Brian Krebs berichtet jedoch, dass die Gauner die Fristen jetzt verlängern, weil die Leute Probleme haben, sich in die ungewohnten Bezahlvorgänge via MoneyPak oder Bitcoin einzuarbeiten.

Darüber hinaus gibt es mittlerweile auch spezielle Web-Seiten im Tor-Netz, auf denen die Opfer nach Ablauf der Frist oder nachdem sie ihr System bereits von Antiviren-Software reinigen ließen noch "Hilfe" finden. Allerdings berichtet Bleepingcomputer, dass die Gauner dafür dann sogar 10 Bitcoins verlangen – also umgerechnet über 2000 Euro. Als Gegenwert erhält man angeblich den Schlüssel und ein Entschlüsselungsprogramm.

Mittlerweile warnt auch das US-CERT vor dem Erpressungs-Trojaner. Demnach liegen Berichte vor, dass Opfer auch nach einer Bezahlung der geforderten Summe den versprochenen Schlüssel nicht erhalten haben. Man rate dringend davon ab, das Lösegeld zu zahlen. Allerdings ist bislang auch kein anderer Weg bekannt, die einmal verschlüsselten Daten wieder herzustellen. Letztlich bleibt somit nur gute Vorsorge.

Quelle : www.heise.de

[SiLæncer]

Die Antivirenfirma TrendMicro hat eine Mutation des Verschlüsselungstrojaners CryptoLocker gesichtet, die sich unter anderem über Wechseldatenträger verbreitet. Die Variante WORM_CRILOCK.A verschlüsselt nicht nur das digitale Hab und Gut des Nutzers, sie legt zudem eine Kopie ihrer selbst auf allen Wechseldatenträgern ab, die sie finden kann. Ihren Zwillingen verpasst die Malware dabei den vielversprechenden Namen setup.exe. Sind weitere ausführbare Dateien auf dem Speichermedium, werden sie durch gleich benannte Kopien der Malware ersetzt.

Während die bisher gesichteten Varianten ihre Command-and-Control-Server (C&C-Server) erreichten, indem sie Domainnamen nach einem fest einprogrammierten Muster generierten, enhältt WORM_CRILOCK.A fest einkodierte Adressen. Die Unterschiede können laut TrendMicro ein Indiz dafür sein, dass die Variante nicht von den ursprünglichen Entwicklern stammt, sondern das Werk von Trittbrettfahren ist. Während bei den bisherigen Varianten zunächst ein Dropper auf dem zu infizierenden System gestartet wurde, der die eigentliche Malware nachgeladen hat, wird die neue Variante vor allem über Tauschbörsen verteilt. Dabei ist sie unter anderem als Aktivierungstool für Photoshop, Microsoft Office 2013 und Windows getarnt.

CryptoLocker sucht auf dem infizierten System nach Dateien mit insgesamt 69 Endungen – Fotos, Dokumente, Präsentationen, Musik; also alles, was dem Besitzer lieb und teuer ist. Die Dateien verschlüsselt die Malware mit einem 1024 Bit langen RSA-Schlüssel. Den zur Entschlüsselung nötigen Private Key lassen sich die Cyber-Erpresser gut bezahlen. Das Lösegeld wird in Bitcoins an eine angezeigte Adresse gezahlt. Wer keine Backups hat, der muss in den sauren Apfel beißen.

Die Virenjäger von Malware Must Die berichten unterdessen vor einem weiteren Trittbrettfahrer, der einen Verschlüsselungstrojaner namens "Prison Locker" oder auch "Power Locker" in einem Untergrundforum zum Kauf anbietet. Die Schadsoftware kostet 100 US-Dollar und soll gegenüber CryptoLocker sogar noch einen drauf setzen, indem sie RSA-Schlüssel mit einer Länger von 2048 Bit benutzt. Die Ransomware soll Admin-Werkzeuge wie Taskmanager, Registrierungseditor und auch msconfig.exe blockieren, um ihrem Opfer die Desinfektion des Rechner zu erschweren. Welche Summe der Schädling erpressen soll, kann der Käufer angeblich frei einstellen.

Quelle : www.heise.de

[SiLæncer]

Der Erpressungs-Trojaner Bitcrypt verschlüsselt Dateien des Anwenders und rückt die Daten nur gegen Zahlung von Lösegeld wieder raus. Sicherheitsexperten gelang es jedoch, die Verschlüsselung zu knacken.

Rund 260 Euro sollten die Opfer an die Gauner überweisen, um ihre Daten wieder zu bekommen. Die hatte der Erpressungs-Trojaner Bitcrypt zuvor verschlüsselt; das zugehörige Entschlüsselungsprogramm der Autoren sollte der einzige Weg sein, die Daten wieder zu dechiffrieren.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Die Entwickler des Trojaners Cryptodefense erklären ihren Opfern sogar per Video, wie sie am besten für die Entschlüsselung ihrer Daten bezahlen. Das Lösegeld ist allerdings auch ziemlich hoch.

Die Gauner hinter dem Erpressungstrojaner Cryptodefense haben ein Howto-Video ins Netz gestellt, um Opfern zu erklären, wie diese am besten ihr Lösegeld bezahlen. In dem Video empfehlen die Cyberkriminellen ihren Opfern, das Tor Browser Bundle zu installieren, falls die Webseite mit dem Entschlüsselungsservice für den Trojaner nicht erreichbar ist.

Laut dem Video wollen die Gauner 600 Euro in Bitcoin, um die Dateien zu entschlüsseln. Zahlt man nicht schnell genug, erhöht sich der Preis auf 1200 Euro. Die Webseite der Gauner enthält eine Funktion, mit dem Opfer eine Datei kostenlos entschlüsseln können. Das soll beweisen, dass die teuer erkaufte Entschlüsselungssoftware auch wirklich funktioniert.

Laut Symantec erbeuten die Gauner mit dem Cryptodefense-Trojaner über 34.000 US-Dollar im Monat. Die Verschlüsselung des Trojaners soll, ähnlich wie bei Cryptolocker, robust sein. Der Trojaner verschlüsselt seine Beute mit einem 2048 Bit starkem RSA-Schlüssel und Symantec geht momentan davon aus, dass ein Entschlüsseln ohne den geheimen Schlüssel der Trojaner-Entwickler unmöglich ist.

Trotz des hilfreichen Videos sollten Opfer sich ganz genau überlegen, ob sie Cyberkriminellen wirklich Geld zahlen wollen. Schließlich gibt es keine Garantie dafür, dass die Ganoven ihr Wort halten. Besser ist es, regelmäßig die eigenen Daten zu sichern.

Quelle : www.heise.de

[SiLæncer]

Es häufen sich Berichte über infizierte Windows-Systeme, auf denen ein Schadprogramm Dateien verschlüsselt und nur gegen Zahlung eines Lösegelds von 500 Euro wieder freigibt. Die sind via Tor in Bitcoins zu entrichten.

Bei heise Security melden sich in den letzten Tag vermehrt Betroffene, denen ein Schädling Daten verschlüsselt hat, an die sie dann nur gegen Zahlung eines Lösegeld von 500 Euro oder mehr wieder rankommen. Es handelt sich offenbar um Bitcrypt2, einen Nachfolger des Erpressungs-Trojaners Bitcrypt, der damals noch von findigen Forschern geknackt werden konnte.

Ob das nochmal klappt ist sehr zweifelhaft; das gesamte Auftreten der Erpresser ist so professionell, dass man eine gewisse Lernfähigkeit in Sachen Verschlüsselung durchaus annehmen kann. Das Opfer bemerkt die Infektion häufig erst, wenn er in einem Ordner, in dem sich bis vor kurzem wichtige Daten befanden, eine Datei namens DECRYPT_INSTRUCTION.TXT findet. Die enthält dann in perfektem Deutsch erste Informationen zur Lösegeldübergabe und verweist dazu auf eine spezielle Seite des Anonymisierungs-Netzes Tor. Besonders heimtückisch in Firmenumgebungen: Der Schädling versucht offenbar alle erreichbaren Netzwerk-Laufwerke als der angemeldete Benutzer zu öffnen und die dann verfügbaren Dateien im Netz ebenfalls zu verschlüsseln.

Den Angaben der Gauner zufolge wurden die Daten nach dem RSA-Verfahren mit einem 2048-Bit-Schlüssel chiffriert. Den dazu verwendeten öffentlichen Schlüssel hat sich der Schädling von einem Server der Gauner geholt; der zugehörige geheime Schlüssel, den man zum Entschlüsseln benötigt, verbleibt demnach jedoch dort – zumindest für einen Monat. Dann wird er gelöscht und die Daten sind unwiederbringlich verloren, drohen die Erpresser.

Anfangs kostet das Entschlüsseln 500 bis 600 Euro; die Summe verdoppelt sich jedoch jeweils nach einer Frist von etwa einer Woche. Ob man nach dem Bezahlen tatsächlich wieder Zugang zu seinen Daten bekommt, steht in den Sternen. Die Polizei rät in solchen Fällen jedenfalls stark davon ab, die geforderte Summe zu bezahlen.

Quelle : www.heise.de

[Jürgen]

Daraus ergeben sich (wieder einmal) immer dieselben unvermeidlichen Konsequenzen:

1.) bis X.) DATENSICHERUNG, regelmäßig, bestätigt und geprüft

+1: erstellte Datensicherungen müssen immer sofort vom Rechner und auch vom Netzwerk abgekoppelt werden und bleiben !!!
Im Bedarfsfalle ist jeder Admin immer noch in der Lage, vor Wiederaufsetzen und Zurückspielen extern und offline angefertigte Kopien einer Sicherung anzufertigen, und wirklich nur diese einzusetzen und damit der harten Wirklichkeit auszusetzen. Für solche Kopier-Arbeiten auf einem externen System eignen  sich gut Linux-Live-CDs, die ein möglicherweise mitgesicherter Schädling kaum (nachhaltig) angreifen kann.

+2: Später wiederzuverwendende Sicherungsdatenträger sind vorher mindestens frisch zu partitionieren und zu formatieren.
Datenträger mit dem Nutzer nicht zugänglichen Bereichen (wie SD-Karten oder USB-Sticks mit Sicherheitsfunktionen) verbieten sich natürlich.

Wer sich nicht so konsequent verhält, handelt grob fahrlässig!

Jürgen

[Hans Vader]

Bliebe noch an zu merken : Keine unbekannten Dateianhänge in Emails öffnen
und immer schön brav alle Updates einspielen.

Für solche Kopier-Arbeiten auf einem externen System eignen  sich gut Linux-Live-CDs, die ein möglicherweise mitgesicherter Schädling kaum (nachhaltig) angreifen kann.

Linux eignet sich nicht nur für Kopierarbeiten. Ich behaupte einfach mal das 95% der anfallenden PC - Arbeiten mit einer
modernen Distribution erledigt werden können.
Deswegen empfehle ich immer ein Dualboot - System. (Muss ja nicht groß sein)
Weil  z. B. NTFS mounten zwecks Datensicherung klappt problemlos.

Und wenn gar nichts mehr geht dann ein Livesystem.

[Jürgen]

Nun ja, für vielerlei Flickschusterei und Tüdelkram habe ich den RasPi.
Damit habe ich schon z.B. Datenrettung von zermergelten Dateisystemen betrieben, die Windows nicht mehr erkennen wollte.
Beim Lesen geben sich Tuxe ganz offenbar viel entspannter...

Aber grundsätzlich kommt der doch immer mal wieder in's Netz und ist daher nicht als vollkommen immun gegen Schädlinge anzusehen.
Zudem ist er ja ohne CMOS Uhr, bräuchte also zur Verwendung plausibler Zeitstempel entweder eine manuelle Eingabe oder vielleicht eine DCF77-Erweiterung.
Dennoch wäre es denkbar, dass sich heute oder eines Tages irgendwo in den SD-spezifischen Sicherheits-Unterwelten doch ein gefährlicher Schädling verstecken könnte. Ist auch für Linuxe nicht undenkbar...
 
Würde ich also betriebswichtige Sicherungen zurückspielen sollen, dächte ich grundsätzlich eher an normale und evtl. etwas altbackene PC-Hardware mit Live-CD und ohne Netzwerk.

Jürgen

[SiLæncer]

Wenn man diesem Schädling zum Opfer fällt, gibt es wenig Hoffnung für die eigenen Daten. Diese sind mit State-of-the-Art-Verschlüsselung gesichert und der Trojaner kommuniziert nur verschlüsselt über das Tor-Netz mit seinen Kontrollservern.

Erpressungs-Trojaner werden von ihren kriminellen Schöpfern kontinuierlich weiterentwickelt. Die Virenjäger von Kaspersky berichten jetzt über eine neue Variante namens CTB-Locker: Der Trojaner verschlüsselt nicht nur die Daten seiner Opfer wirkungsvoll, er schützt auch jegliche Kommunikation mit den eigenen Command-and-Control-Servern, indem er sie verschlüsselt. Um seine Spuren zu verwischen, werden diese Server über Onion-Adressen im Anonymisierungsnetz Tor versteckt. Das erschwert es den Virenjägern, sie zu finden und auszuschalten.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Cyber-Erpresser haben einen neuen, direkten Weg gefunden, um das digitale Hab und Gut ihrer Opfer als Geisel zu nehmen: Sie nutzen eine Sicherheitslücke in der NAS-Firmware, um den gesamten Netzwerkspeicher zu verschlüsseln.

Cyber-Erpresser greifen aktuell offenbar reihenweise Netzwerkspeicher von Synology an. Die Masche ist dabei die gleiche wie bei der aus Windows-Welt bekannten Ransomware CryptoLocker: Die Angreifer nutzen eine auf den Namen SynoLocker getaufte Malware, um sämtliche Dateien des Nutzers zu verschlüsseln. Wer wieder auf die Dateien zugreifen will, der soll ein Lösegeld in Höhe von 0,6 Bitcoin zahlen – das entspricht derzeit etwa 270 Euro.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Auf der Webseite decryptcryptolocker.com kann man eine vom Erpressungstrojaner CryptoLocker verschlüsselte Datei hochladen und bekommt mit etwas Glück den geheimen Schlüssel, um die eigenen Daten zu retten.

Die Sicherheitsfirmen FireEye und Fox-IT bieten ab sofort zusammen einen Dienst an, der es Opfern des Erpressungs-Trojaners CryptoLocker erlaubt, ihre Daten zu retten. Auf der Webseite können betroffene Nutzer eine von CryptoLocker verschlüsselte Datei hochladen und erhalten einen Schlüssel, mit dem sie ihre Daten befreien können. Nach eigenen Angaben haben die beiden Firmen es durch Untersuchungen des Trojaner-Schadcodes und der Command-and-Control-Server geschafft, an die geheimen Schlüssel zu kommen, mit denen der Trojaner die Daten des Opfers verschlüsselt hat.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Auch Kriminelle kochen nur mit Wasser und stümpern gerade bei der Umsetzung von Krypto-Funktionen häufig. Deshalb konnten Checkpoint-Experten nun den Dircrypt-Trojaner knacken und die von ihm verschlüsselten Daten retten.

Der Erpressungs-Trojaner Dircrypt ist typisch für die seit einiger Zeit boomende Schädlings-Gattung der Erpressungs-Trojaner: Er verschlüsselt die Daten des Anwenders und seine Macher rücken den für die Entschlüsselung benötigten Schlüssel nur gegen Zahlung eines Lösegelds wieder raus. Doch in diesem Fall lassen sich die Daten auch ohne Zahlung rekonstruieren – zumindest weitgehend.

Der ganze Artikel

Quelle : www.heise.de