sheogorath
Goto Top

Krypto-Trojaner Locky

Moin,

Ich habe gerade mal grob die letzten Beiträge in der Richtung gelesen und irgendwie scheint es ja im Moment der Renner zu sein, sich sein System mit diesem Stückchen Software zu verseuchen.

Einige wollen ja wohl mal wissen, wie das grob funktioniert. Das wurde in dem Beitrag grob zusammengefasst. (also wie der Virus eigentlich ins Systemgelangt ^^)

Dass es ein "embed" -Link ist liegt daran, dass ich ihn aus meiner Historie gefischt habe.

Jedenfalls viel Spaß beim Anschauen ;)


https://www.youtube.com/embed/331Fzhc_6nM

Content-ID: 297142

Url: https://administrator.de/forum/krypto-trojaner-locky-297142.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

SarekHL
SarekHL 24.02.2016 um 11:14:32 Uhr
Goto Top
Zitat von @Sheogorath:

Einige wollen ja wohl mal wissen, wie das grob funktioniert. Das wurde in dem Beitrag grob zusammengefasst. (also wie der Virus eigentlich ins Systemgelangt ^^)

Gibt es das auch irgendwo zum lesen? Ich finde es nervig, dass immer mehr Informationen über Youtube verbreitet werden und ich mir erst mal einen Film anschauen muss ...
Sheogorath
Sheogorath 24.02.2016 um 12:53:56 Uhr
Goto Top
Ich stimme dir zu, ich bin halt irgendwann mal auf Twitter drüber gestolpert.

Grob zusammengefasst:

Die Worddokumente sind leer, sobald man makros aktiviert, wird ins Temverzeichnis eine batch datei geladen und ein vbs script erstellt. dieses lädt dann von irgendeinem gehackten Server eine exe herunter, die im Tempverzeichnis als fail.exe landet und dann aufgerufen wird.

Mehr wird in dem Video auch nicht erklärt.

Es wird halt einfach noch gezeigt, dass die verschiedenen Versionen der "Rechnungen" auf verschiedene Server verweisen und man das ganze natürlich recht schnell austauschen kann. Außerdem wird eben darauf hingewiesen, dass dadurch die klassischen Malwarescanner eben ein problem haben, da der eigentliche Virus eben erst nachgeladen wird und nicht schon im Anhang drin ist.
SarekHL
SarekHL 24.02.2016 um 13:02:25 Uhr
Goto Top
Zitat von @Sheogorath:

Grob zusammengefasst:

Erst mal Danke für die Zusammenfassung ...

Es wird halt einfach noch gezeigt, dass die verschiedenen Versionen der "Rechnungen" auf verschiedene Server verweisen und man das ganze natürlich recht schnell austauschen kann.

Ich nehme an, dass sind auch ständig neue Server? Oder ist es eine bekannte, feste Menge, die ich z.B. in der Firewall sperren könnte?

Außerdem wird eben darauf hingewiesen, dass dadurch die klassischen Malwarescanner eben ein problem haben, da der eigentliche Virus eben erst nachgeladen wird und nicht schon im Anhang drin ist.

Das Problem verstehe ich trotzdem nicht. Ein Security-Programm mit Echtzeitschutz prüft normalerweise auch, wenn eine Datei geschrieben oder ausgeführt wird, den Inhalt. Also beim Ausführen der fail.exe müsste es doch sofort blockieren ...
Olfryygt
Olfryygt 24.02.2016 aktualisiert um 16:10:45 Uhr
Goto Top
Hallo,

Ihr könnt ja mal hier reinschauen, da beschäftigt sich schon jemand damit:
Locky - hat ihn jemand für mich?

Grüße
Frank
Frank 24.02.2016 aktualisiert um 16:16:16 Uhr
Goto Top
Da Word aktuell das Lieblingsangriffsziel von Locky ist könnte man evtl., wie vom Kommentator im Video bereits bemerkte, auf ein anderes Office wechseln. Libreoffice ist nicht von dem Sicherheitsproblem betroffen. Das wäre für viele User evtl. eine schnelle Lösung, um nicht in die Locky-Falle unter Windows zu tappen. Libreoffice kann neben Dateien im OpenDocument-Format auch normale Microsoft Office Dateien lesen und schreiben.

Download LibreOffice 5.0.5 für Windows

f1786ca653cf872df6fcc8e5067fe0ee

Gruß
Frank
pelzfrucht
pelzfrucht 24.02.2016 um 16:14:38 Uhr
Goto Top
Hi,

Ich nehme an, dass sind auch ständig neue Server? Oder ist es eine bekannte, feste Menge, die ich z.B. in der Firewall sperren könnte?

Ja, meistens mehr oder weniger verwahrloste, die seit ewigkeiten nicht mehr angerührt worden sind und deshalb so ziemlich vergessen wurden.
Weil die dann halt entsprechend auch nicht mehr auf dem neusten Stand sind, ist es relativ leicht die zu hacken und seine eigenen Dateien (den Krypto Trohaner) dort abzulegen.

Das Problem verstehe ich trotzdem nicht. Ein Security-Programm mit Echtzeitschutz prüft normalerweise auch, wenn eine Datei geschrieben oder
ausgeführt wird, den Inhalt. Also beim Ausführen der fail.exe müsste es doch sofort blockieren ...

Jain, an sich schon. Aber das Verschlüsseln an sich ist (bisher) kein auffälliges Merkmal (gewesen).
Programme wie VeraCrypt verschlüsseln ebenfalls, sind aber legitim.

Natürlich müsste man jetzt den Spieß umdrehen:

Alles was verschlüsselt ist gefährlich AUSSER VeraCrypt, TrueCrypt ... (lässt sich ja am Hash festmachen).

Warum die Virenscanner da ebenfalls nicht eingreifen wenn in einem gigantischen Ausmaße verschlüsselt wird, ist mir auch nicht verständlich.
Bisher war das einfach nicht erfoderlich.

Viele Grüße
pelzfrucht
Sheogorath
Sheogorath 24.02.2016 um 23:56:47 Uhr
Goto Top
Zitat von @SarekHL:
Das Problem verstehe ich trotzdem nicht. Ein Security-Programm mit Echtzeitschutz prüft normalerweise auch, wenn eine Datei geschrieben oder ausgeführt wird, den Inhalt. Also beim Ausführen der fail.exe müsste es doch sofort blockieren ...

Dieses umständliche "Aus dem Internet per script nachladen" passiert genau deshalb. Man kann so die Viren recht schnell austauschen und somit die Signaturen ändern.

Andere Signatur -> Klassische Virenscanner erkennt es nicht wirklich -> Ausgetrickst....

Das ist halt das ganze Problem an der Sache.
brammer
brammer 25.02.2016 um 10:31:51 Uhr
Goto Top
Hallo,

face-smile
hab gerade eine Mail bekommen von"Microsoft International"
Betreff "Re: Kindly open ther attached file for your payment details"

im Anhang eine 919 Kbyte große ".doc" Datei....
face-smile

Endlich habe ich meinen eigenen Locky face-smile

brammer
117471
117471 25.02.2016 um 16:12:54 Uhr
Goto Top
Zitat von @SarekHL:

Gibt es das auch irgendwo zum lesen? Ich finde es nervig, dass immer mehr Informationen über Youtube verbreitet werden und ich mir erst mal einen Film anschauen muss ...

Nicht nur das. Die Kollegen finden es ebenfalls nervig.

Ich habe inzwischen mehrere Kunden, die in ihre (Software-)Ausschreibungen direkt reinschreiben, dass eine deutschsprachige Dokumentation in ausdruckbarer Form vorhanden sein muss. Ich hoffe sehr, dass das ein allgemeiner Trend wird!
tomolpi
tomolpi 25.02.2016 um 17:20:42 Uhr
Goto Top
Zitat von @brammer:
Endlich habe ich meinen eigenen Locky face-smile

Maaan, ich hab ihn immer noch nicht face-big-smile