10
Krypto-Trojaner Locky
Moin,
Ich habe gerade mal grob die letzten Beiträge in der Richtung gelesen und irgendwie scheint es ja im Moment der Renner zu sein, sich sein System mit diesem Stückchen Software zu verseuchen.
Einige wollen ja wohl mal wissen, wie das grob funktioniert. Das wurde in dem Beitrag grob zusammengefasst. (also wie der Virus eigentlich ins Systemgelangt ^^)
Dass es ein "embed" -Link ist liegt daran, dass ich ihn aus meiner Historie gefischt habe.
Jedenfalls viel Spaß beim Anschauen ;)
https://www.youtube.com/embed/331Fzhc_6nM
Ich habe gerade mal grob die letzten Beiträge in der Richtung gelesen und irgendwie scheint es ja im Moment der Renner zu sein, sich sein System mit diesem Stückchen Software zu verseuchen.
Einige wollen ja wohl mal wissen, wie das grob funktioniert. Das wurde in dem Beitrag grob zusammengefasst. (also wie der Virus eigentlich ins Systemgelangt ^^)
Dass es ein "embed" -Link ist liegt daran, dass ich ihn aus meiner Historie gefischt habe.
Jedenfalls viel Spaß beim Anschauen ;)
https://www.youtube.com/embed/331Fzhc_6nM
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 297142
Url: https://administrator.de/contentid/297142
Ausgedruckt am: 21.11.2024 um 16:11 Uhr
10 Kommentare
Neuester Kommentar
Zitat von @Sheogorath:
Einige wollen ja wohl mal wissen, wie das grob funktioniert. Das wurde in dem Beitrag grob zusammengefasst. (also wie der Virus eigentlich ins Systemgelangt ^^)
Einige wollen ja wohl mal wissen, wie das grob funktioniert. Das wurde in dem Beitrag grob zusammengefasst. (also wie der Virus eigentlich ins Systemgelangt ^^)
Gibt es das auch irgendwo zum lesen? Ich finde es nervig, dass immer mehr Informationen über Youtube verbreitet werden und ich mir erst mal einen Film anschauen muss ...
Ich stimme dir zu, ich bin halt irgendwann mal auf Twitter drüber gestolpert.
Grob zusammengefasst:
Die Worddokumente sind leer, sobald man makros aktiviert, wird ins Temverzeichnis eine batch datei geladen und ein vbs script erstellt. dieses lädt dann von irgendeinem gehackten Server eine exe herunter, die im Tempverzeichnis als fail.exe landet und dann aufgerufen wird.
Mehr wird in dem Video auch nicht erklärt.
Es wird halt einfach noch gezeigt, dass die verschiedenen Versionen der "Rechnungen" auf verschiedene Server verweisen und man das ganze natürlich recht schnell austauschen kann. Außerdem wird eben darauf hingewiesen, dass dadurch die klassischen Malwarescanner eben ein problem haben, da der eigentliche Virus eben erst nachgeladen wird und nicht schon im Anhang drin ist.
Grob zusammengefasst:
Die Worddokumente sind leer, sobald man makros aktiviert, wird ins Temverzeichnis eine batch datei geladen und ein vbs script erstellt. dieses lädt dann von irgendeinem gehackten Server eine exe herunter, die im Tempverzeichnis als fail.exe landet und dann aufgerufen wird.
Mehr wird in dem Video auch nicht erklärt.
Es wird halt einfach noch gezeigt, dass die verschiedenen Versionen der "Rechnungen" auf verschiedene Server verweisen und man das ganze natürlich recht schnell austauschen kann. Außerdem wird eben darauf hingewiesen, dass dadurch die klassischen Malwarescanner eben ein problem haben, da der eigentliche Virus eben erst nachgeladen wird und nicht schon im Anhang drin ist.
1Erst mal Danke für die Zusammenfassung ...
Es wird halt einfach noch gezeigt, dass die verschiedenen Versionen der "Rechnungen" auf verschiedene Server verweisen und man das ganze natürlich recht schnell austauschen kann.
Ich nehme an, dass sind auch ständig neue Server? Oder ist es eine bekannte, feste Menge, die ich z.B. in der Firewall sperren könnte?
Außerdem wird eben darauf hingewiesen, dass dadurch die klassischen Malwarescanner eben ein problem haben, da der eigentliche Virus eben erst nachgeladen wird und nicht schon im Anhang drin ist.
Das Problem verstehe ich trotzdem nicht. Ein Security-Programm mit Echtzeitschutz prüft normalerweise auch, wenn eine Datei geschrieben oder ausgeführt wird, den Inhalt. Also beim Ausführen der fail.exe müsste es doch sofort blockieren ...
Hallo,
Ihr könnt ja mal hier reinschauen, da beschäftigt sich schon jemand damit:
Locky - hat ihn jemand für mich?
Grüße
Ihr könnt ja mal hier reinschauen, da beschäftigt sich schon jemand damit:
Locky - hat ihn jemand für mich?
Grüße
1
Da Word aktuell das Lieblingsangriffsziel von Locky ist könnte man evtl., wie vom Kommentator im Video bereits bemerkte, auf ein anderes Office wechseln. Libreoffice ist nicht von dem Sicherheitsproblem betroffen. Das wäre für viele User evtl. eine schnelle Lösung, um nicht in die Locky-Falle unter Windows zu tappen. Libreoffice kann neben Dateien im OpenDocument-Format auch normale Microsoft Office Dateien lesen und schreiben.
Download LibreOffice 5.0.5 für Windows
Gruß
Frank
Download LibreOffice 5.0.5 für Windows
Gruß
Frank
Hi,
Ja, meistens mehr oder weniger verwahrloste, die seit ewigkeiten nicht mehr angerührt worden sind und deshalb so ziemlich vergessen wurden.
Weil die dann halt entsprechend auch nicht mehr auf dem neusten Stand sind, ist es relativ leicht die zu hacken und seine eigenen Dateien (den Krypto Trohaner) dort abzulegen.
Jain, an sich schon. Aber das Verschlüsseln an sich ist (bisher) kein auffälliges Merkmal (gewesen).
Programme wie VeraCrypt verschlüsseln ebenfalls, sind aber legitim.
Natürlich müsste man jetzt den Spieß umdrehen:
Alles was verschlüsselt ist gefährlich AUSSER VeraCrypt, TrueCrypt ... (lässt sich ja am Hash festmachen).
Warum die Virenscanner da ebenfalls nicht eingreifen wenn in einem gigantischen Ausmaße verschlüsselt wird, ist mir auch nicht verständlich.
Bisher war das einfach nicht erfoderlich.
Viele Grüße
pelzfrucht
Ich nehme an, dass sind auch ständig neue Server? Oder ist es eine bekannte, feste Menge, die ich z.B. in der Firewall sperren könnte?
Ja, meistens mehr oder weniger verwahrloste, die seit ewigkeiten nicht mehr angerührt worden sind und deshalb so ziemlich vergessen wurden.
Weil die dann halt entsprechend auch nicht mehr auf dem neusten Stand sind, ist es relativ leicht die zu hacken und seine eigenen Dateien (den Krypto Trohaner) dort abzulegen.
Das Problem verstehe ich trotzdem nicht. Ein Security-Programm mit Echtzeitschutz prüft normalerweise auch, wenn eine Datei geschrieben oder
ausgeführt wird, den Inhalt. Also beim Ausführen der fail.exe müsste es doch sofort blockieren ...
ausgeführt wird, den Inhalt. Also beim Ausführen der fail.exe müsste es doch sofort blockieren ...
Jain, an sich schon. Aber das Verschlüsseln an sich ist (bisher) kein auffälliges Merkmal (gewesen).
Programme wie VeraCrypt verschlüsseln ebenfalls, sind aber legitim.
Natürlich müsste man jetzt den Spieß umdrehen:
Alles was verschlüsselt ist gefährlich AUSSER VeraCrypt, TrueCrypt ... (lässt sich ja am Hash festmachen).
Warum die Virenscanner da ebenfalls nicht eingreifen wenn in einem gigantischen Ausmaße verschlüsselt wird, ist mir auch nicht verständlich.
Bisher war das einfach nicht erfoderlich.
Viele Grüße
pelzfrucht
Zitat von @SarekHL:
Das Problem verstehe ich trotzdem nicht. Ein Security-Programm mit Echtzeitschutz prüft normalerweise auch, wenn eine Datei geschrieben oder ausgeführt wird, den Inhalt. Also beim Ausführen der fail.exe müsste es doch sofort blockieren ...
Das Problem verstehe ich trotzdem nicht. Ein Security-Programm mit Echtzeitschutz prüft normalerweise auch, wenn eine Datei geschrieben oder ausgeführt wird, den Inhalt. Also beim Ausführen der fail.exe müsste es doch sofort blockieren ...
Dieses umständliche "Aus dem Internet per script nachladen" passiert genau deshalb. Man kann so die Viren recht schnell austauschen und somit die Signaturen ändern.
Andere Signatur -> Klassische Virenscanner erkennt es nicht wirklich -> Ausgetrickst....
Das ist halt das ganze Problem an der Sache.
Hallo,
hab gerade eine Mail bekommen von"Microsoft International"
Betreff "Re: Kindly open ther attached file for your payment details"
im Anhang eine 919 Kbyte große ".doc" Datei....
Endlich habe ich meinen eigenen Locky
brammer
hab gerade eine Mail bekommen von"Microsoft International"
Betreff "Re: Kindly open ther attached file for your payment details"
im Anhang eine 919 Kbyte große ".doc" Datei....
Endlich habe ich meinen eigenen Locky
brammer
2Zitat von @SarekHL:
Gibt es das auch irgendwo zum lesen? Ich finde es nervig, dass immer mehr Informationen über Youtube verbreitet werden und ich mir erst mal einen Film anschauen muss ...
Gibt es das auch irgendwo zum lesen? Ich finde es nervig, dass immer mehr Informationen über Youtube verbreitet werden und ich mir erst mal einen Film anschauen muss ...
Nicht nur das. Die Kollegen finden es ebenfalls nervig.
Ich habe inzwischen mehrere Kunden, die in ihre (Software-)Ausschreibungen direkt reinschreiben, dass eine deutschsprachige Dokumentation in ausdruckbarer Form vorhanden sein muss. Ich hoffe sehr, dass das ein allgemeiner Trend wird!
1
