25
Locky - hat ihn jemand für mich?
Abend,
klingt jetzt vielleicht etwas verdreht,
aber ich wollte fragen ob mir jemand (per PM?) den Verschlüsselungstrojaner zuschicken könnte.
Ich hab bisher noch kein solch Exemplar erhalten, würde den Verschlüsselungstrojaner jedoch ganz gerne mal analysieren und näher betrachten.
Mich interessiert wie er sich verhält, und welche Verhaltensmerkmale er ausweist an denen man ihn erkennen könnte.
(Selbstverständlich nicht auf einem Produktiv PC, sondern in einer virtuellen Maschine.)
Viele Grüße
pelzfrucht
PS: Ich hoffe das verstößt nicht gegen die Foren Regeln?
klingt jetzt vielleicht etwas verdreht,
aber ich wollte fragen ob mir jemand (per PM?) den Verschlüsselungstrojaner zuschicken könnte.
Ich hab bisher noch kein solch Exemplar erhalten, würde den Verschlüsselungstrojaner jedoch ganz gerne mal analysieren und näher betrachten.
Mich interessiert wie er sich verhält, und welche Verhaltensmerkmale er ausweist an denen man ihn erkennen könnte.
(Selbstverständlich nicht auf einem Produktiv PC, sondern in einer virtuellen Maschine.)
Viele Grüße
pelzfrucht
PS: Ich hoffe das verstößt nicht gegen die Foren Regeln?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 297037
Url: https://administrator.de/contentid/297037
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
25 Kommentare
Neuester Kommentar
Ich glaube ich hab ihn. Aber ungetestet... 
Schick mir einfach per PM deine Mail.
Sehr geehrte Damen und Herren,
in der Anlage erhalten Sie unsere Rechnung 98974 vom 15.02.2016 im MS-Office Word Format. Diese Reifen sind per DPD an Sie unterwegs.
Bitte drucken Sie diesen Beleg für Ihre weitere Verwendung und für Ihre Unterlagen aus.
Bitte beachten ! Dieser Beleg ist das Orginalexemplar !
Mit freundlichen Grüßen
Otto Herrmann
ADVANCED COURIER
Schick mir einfach per PM deine Mail.
Sehr geehrte Damen und Herren,
in der Anlage erhalten Sie unsere Rechnung 98974 vom 15.02.2016 im MS-Office Word Format. Diese Reifen sind per DPD an Sie unterwegs.
Bitte drucken Sie diesen Beleg für Ihre weitere Verwendung und für Ihre Unterlagen aus.
Bitte beachten ! Dieser Beleg ist das Orginalexemplar !
Mit freundlichen Grüßen
Otto Herrmann
ADVANCED COURIER
yup, das gleiche haben wir auch mehrmals erhalten..
Ja, bin schon ganz traurig und stehe den ganzen Tag deprimiert in der Ecke weil keiner von den Trojaner
Entwicklern an mich gedacht hat
Jetzt möchte ich aber auch ein Stück vom Kuchen ab haben 
Viele Grüße
pelzfrucht
Entwicklern an mich gedacht hat
Jetzt möchte ich aber auch ein Stück vom Kuchen ab haben Viele Grüße
pelzfrucht
Und jetzt wissen wir wieso.
mail@T-Online.de lässt die nicht durch....
mail@T-Online.de lässt die nicht durch....
Poste eibfach Deine Mailadresse. Dann bekommst Du den sicher.
lks
lks
@lks
Klar, mach ich jetzt ganz bestimmt
Ich könnte mir auch die Augen zu binden, den Virenscanner deaktivieren und dann bunterkunt auf alle möglichen Werbeanzeigen klicken. Irgendwann hab ich den dann bestimmt auch
Viele Grüße
pelzfrucht
@Xerebus
Trojaner richtet schon sein Unheil an in einer VM
Danke.
Klar, mach ich jetzt ganz bestimmt
Ich könnte mir auch die Augen zu binden, den Virenscanner deaktivieren und dann bunterkunt auf alle möglichen Werbeanzeigen klicken. Irgendwann hab ich den dann bestimmt auch
Viele Grüße
pelzfrucht
@Xerebus
Trojaner richtet schon sein Unheil an in einer VM
Danke.
Ich hätt auch ein Exemplar, bin mir aber nicht sicher, ob ers wirklich ist. Noch nicht zum testen gekommen und alle Viren-Such-Datei-Upload-Tools finden einfach nix. Fürchterlich Wie schick ich dir das Teil via PM? Muss ich mal nachschauen. Schick mir sonst deine Email via PM bitte.
Wie schick ich dir das Teil via PM? Muss ich mal nachschauen. Schick mir sonst deine Email via PM bitte.
Moin,
mit welchen Betreff kommen die Mails denn an?
mit welchen Betreff kommen die Mails denn an?
Die zwei Exemplare, die ich mir vorläufig noch behalten habe, wie folgt:
Rechnung Nr. 58729 vom 15.02.2016
Rechnung Nr. 60536 vom 15.02.2016
die anderen ca. 28 mit jeweils anderer Rechnungsnummer.
Rechnung Nr. 58729 vom 15.02.2016
Rechnung Nr. 60536 vom 15.02.2016
die anderen ca. 28 mit jeweils anderer Rechnungsnummer.
1
Alles klar, danke
Also,
von den blöden Dingern habe ich auch genug. Aber könnte mir mal jemand den "Bundestrojaner" schicken? Ich hätte da was, was ich den Herren de Maiziere und Maas gerne persönlich mitteilen würde
cu jth
von den blöden Dingern habe ich auch genug. Aber könnte mir mal jemand den "Bundestrojaner" schicken? Ich hätte da was, was ich den Herren de Maiziere und Maas gerne persönlich mitteilen würde
cu jth
Hi,
danke @Olfryygt und @Xerebus ,
ich habe den Virus jetzt mehrmals versucht in einer virtuellen Maschine auszuführen.
Prinzip ist immer das gleiche: Word führt eine vba Datei aus, die vba Datei eine Batch Datei, und die versucht eine exe aus dem Internet herunterzuladen und sie anschließend ebenfalls auszuführen. (kokoko.exe nennt sie sich).
Das Problem ist, dass keine der beiden Varianten von euch, die Datei erfolgreich runterladen kann. Anscheinend sind sie schon von den entsprechenden Servern wieder runtergenommen.
Solltet ihr noch mehr Varianten haben, ich bin jederzeit offen
Interessant ist, bei deiner Word Datei @Olfryygt, hat mir der Windows Defender dazwischen gefunkt und führte dazu dass der Computer nicht mehr reagiert. Es erschien eine Meldung dass der Prozess nicht mehr reagiert und ob ich ihn beenden möchte. Ich klickte "Ja" an (war eine legitime Windows Meldung) und dannach wurde der komplette Bildschirm schwarz und nichts ging mehr. Auch nicht Strg + Alt + Entf.
Als ich die VM dann zwangsneugestartet habe, erhielt ich das:
Sehr merkwürdig. Ich verfolge das mal weiter.
Danke, und viele Grüße
pelzfrucht
PS: Solltet ihr noch mehr Varianten haben, ich bin jederzeit offen
Nachtrag: Einloggen geht nicht mehr, der Zustand der VM ist hinüber.
Mal schauen...
danke @Olfryygt und @Xerebus ,
ich habe den Virus jetzt mehrmals versucht in einer virtuellen Maschine auszuführen.
Prinzip ist immer das gleiche: Word führt eine vba Datei aus, die vba Datei eine Batch Datei, und die versucht eine exe aus dem Internet herunterzuladen und sie anschließend ebenfalls auszuführen. (kokoko.exe nennt sie sich).
Das Problem ist, dass keine der beiden Varianten von euch, die Datei erfolgreich runterladen kann. Anscheinend sind sie schon von den entsprechenden Servern wieder runtergenommen.
Solltet ihr noch mehr Varianten haben, ich bin jederzeit offen
Interessant ist, bei deiner Word Datei @Olfryygt, hat mir der Windows Defender dazwischen gefunkt und führte dazu dass der Computer nicht mehr reagiert. Es erschien eine Meldung dass der Prozess nicht mehr reagiert und ob ich ihn beenden möchte. Ich klickte "Ja" an (war eine legitime Windows Meldung) und dannach wurde der komplette Bildschirm schwarz und nichts ging mehr. Auch nicht Strg + Alt + Entf.
Als ich die VM dann zwangsneugestartet habe, erhielt ich das:
Sehr merkwürdig. Ich verfolge das mal weiter.
Danke, und viele Grüße
pelzfrucht
PS: Solltet ihr noch mehr Varianten haben, ich bin jederzeit offen
Nachtrag: Einloggen geht nicht mehr, der Zustand der VM ist hinüber.
Mal schauen...
Kannst ja mal mit unterschiedlichen Virenscannern bzw Malwarescannern testen
Du solltest beachten, daß vieleTrojaner Vorkehrungen getroffen haben, damit sie nicht in einer VM analysiert werden. Wenn sie feststellen, daß sie in einer VM sind, machen die vieles anders als sie es sonst täten, u.a. manchmal die einfach die Maschine oder das userprofil killen.
lks
@thomasreischer
Ja, das Problem ist halt, dass die exe die er nachladen möchte - nicht mehr existiert auf dem Server.
Wenn mann im C:\Users\Username\AppData\Local\Temp
die erstellte *.bat Datei bearbeitet während das Dokument offen ist, findet man ganz unten den Server von wo er sie sich holen will.
@Lochkartenstanzer
Ich hab jetzt nirgends etwas im VBA Script gefunden was auf ein Auslesen des Computer Hersteller deutet.
Aber die Werte lassen sich soweit auch Verändern, dass er die Virtuelle Maschine für einen echten Computer hält.
Danke für den Tipp
Viele Grüße
pelzfrucht
Ja, das Problem ist halt, dass die exe die er nachladen möchte - nicht mehr existiert auf dem Server.
Wenn mann im C:\Users\Username\AppData\Local\Temp
die erstellte *.bat Datei bearbeitet während das Dokument offen ist, findet man ganz unten den Server von wo er sie sich holen will.
@Lochkartenstanzer
Ich hab jetzt nirgends etwas im VBA Script gefunden was auf ein Auslesen des Computer Hersteller deutet.
Aber die Werte lassen sich soweit auch Verändern, dass er die Virtuelle Maschine für einen echten Computer hält.
Danke für den Tipp
Viele Grüße
pelzfrucht
Ich bekomm ständig neue rein, schlechte Variante war jetzt eine übel geschrieben mit einer .xls drinnen und die beste ist eine, die von "PayPal" <service@elxire.com> kommt mit einer "Personliches Profil - PayPal.html" angehängt und mit einem recht gut geschriebenem Deutschen Text, natürlich mit Hinweise, dass JavaScript aktiviert sein muss.
Interesse?
Interesse?
Hi @Olfryygt
Sorry für die späte Antwort.
Erstmal Danke für die zwei die du mir geschickt hattest,
Ich hab ihn mir jetzt nicht richtig angeschaut, mir ist nur bei der Installation aufgefallen dass der ziemlich schlecht getarnt ist. Da muss man schon Tomaten auf den Augen haben:
Erst musste ich 3 (!) Sicherheitswarnungen von Windows wegklicken. Eine sogar ziemlich aufdringlich:
Dann musste ich noch erstmal das Net Framework installieren:
und als wäre das nicht genug, musste ich auch noch die Installation eines Sicherheitszertifikat erlauben:
Also keine Sorge, selbst wenn er nicht erkannt worden wäre: Ich nehme an der Trojaner hätte es eh nicht weit geschafft in eurem Unternehmen
Ansonsten hab ich ihn mir nicht weiter angeguckt. Ausser dass eine etwas komisch aussehende (und auch komisch signierte) winlogon und ein "Browser Killer" o.ä. im Task Manager erscheint und der Lade Mauszeiger öfters erscheint, verhält sich Windows weiterhin normal. Virus Total erkennt einen Bank Trojaner.
Sonst hab ich Ihn nicht näher angeguckt.
Klar gerne
Ich versuche immernoch einen noch funktionierenden Locky zu erhalten
Vielleicht verbirgt sich hinter einer der beiden Nachrichten ja Locky
Viele Grüße
pelzfrucht
Sorry für die späte Antwort.
Erstmal Danke für die zwei die du mir geschickt hattest,
Ich hab ihn mir jetzt nicht richtig angeschaut, mir ist nur bei der Installation aufgefallen dass der ziemlich schlecht getarnt ist. Da muss man schon Tomaten auf den Augen haben:
Erst musste ich 3 (!) Sicherheitswarnungen von Windows wegklicken. Eine sogar ziemlich aufdringlich:
Dann musste ich noch erstmal das Net Framework installieren:
und als wäre das nicht genug, musste ich auch noch die Installation eines Sicherheitszertifikat erlauben:
Also keine Sorge, selbst wenn er nicht erkannt worden wäre: Ich nehme an der Trojaner hätte es eh nicht weit geschafft in eurem Unternehmen
Ansonsten hab ich ihn mir nicht weiter angeguckt. Ausser dass eine etwas komisch aussehende (und auch komisch signierte) winlogon und ein "Browser Killer" o.ä. im Task Manager erscheint und der Lade Mauszeiger öfters erscheint, verhält sich Windows weiterhin normal. Virus Total erkennt einen Bank Trojaner.
Sonst hab ich Ihn nicht näher angeguckt.
Interesse?
Klar gerne
Ich versuche immernoch einen noch funktionierenden Locky zu erhalten
Vielleicht verbirgt sich hinter einer der beiden Nachrichten ja Locky
Viele Grüße
pelzfrucht
Ich nehme an der Trojaner hätte es eh nicht weit geschafft in eurem Unternehmen
Wieso glaub ich da nicht.
Da sind viele User und da sind sicher ein paar dabei die sich da durchklicken.
Wieso glaub ich da nicht.
Da sind viele User und da sind sicher ein paar dabei die sich da durchklicken.
Joa,
aber
a) Erkennen eine ganze Stange Virenscanner (inkl. Windows Defender) den Trojaner.
b) Kam abgesehen von 2 Standard Warnungen, eben diese eine spezifische von Windows Smart Screen. Ich bin mir zwar nicht sicher, aber ich denke, es gibt bestimmt eine GPO um die Ausführung von Anwendungen zu verhindern, die vom SmartScreen als schädlich erkannt worden sind.
c) Möchte die Anwendung ein Sicherheitszertifikat installieren, sollte der normale User in der Firma nicht können. Verhindert zwar die Ausführung nicht, aber trotzdem.
d) Muss das Net Framework installiert sein. Wenn es nicht installiert ist, muss das erstmal jemand mit Administrator Rechten tun.
Ich meine ja nicht, dass es ein Trojaner allgemein es nicht weit schaffen kann.
Aber spezifisch dieser einer, denke ich, wäre nicht weit gekommen.
Und wenn doch, Pech gehabt. So siehts aus.
Viele Grüße
pelzfrucht
aber
a) Erkennen eine ganze Stange Virenscanner (inkl. Windows Defender) den Trojaner.
b) Kam abgesehen von 2 Standard Warnungen, eben diese eine spezifische von Windows Smart Screen. Ich bin mir zwar nicht sicher, aber ich denke, es gibt bestimmt eine GPO um die Ausführung von Anwendungen zu verhindern, die vom SmartScreen als schädlich erkannt worden sind.
c) Möchte die Anwendung ein Sicherheitszertifikat installieren, sollte der normale User in der Firma nicht können. Verhindert zwar die Ausführung nicht, aber trotzdem.
d) Muss das Net Framework installiert sein. Wenn es nicht installiert ist, muss das erstmal jemand mit Administrator Rechten tun.
Ich meine ja nicht, dass es ein Trojaner allgemein es nicht weit schaffen kann.
Aber spezifisch dieser einer, denke ich, wäre nicht weit gekommen.
Und wenn doch, Pech gehabt.
So siehts aus.Viele Grüße
pelzfrucht
Hallo. Mein Bruder hat den Locky Virus gehabt, aber hat danach seinen Laptop auf die Werkeinstellungen gesetzt. Wenn du dich mit solchen Entschlüsselungen befassts, vielleicht gibt es Sinn die Seiten anschreiben, die Antiviren für so was verkaufen. Zum Beispiel: Chip.de oder Bleepingcomputer. Hier z. B. http://linkmailer.de/viren/locky-datei - befassen sich damit und bestimmt haben solche Algorythmen zum testen oder so. Weil wenn jemand von so was infiziert ist, wie kann er dir seinen PC schicken? Nur wenn ihr in gleicher Stadt wohnt.
Zitat von @Blissa:
Weil wenn jemand von so was infiziert ist, wie kann er dir seinen PC schicken? Nur wenn ihr in gleicher Stadt wohnt.
Weil wenn jemand von so was infiziert ist, wie kann er dir seinen PC schicken? Nur wenn ihr in gleicher Stadt wohnt.
Man muß sich nicht damit infiziert haben, um davon ein Exemplar zu haben. Das bekommt man heutztage tausendfach als SPAM-mail zugeschickt. Man muß da einfach nur eine der Mails weiterleiten. (Nein, ich gebe Malware nur an persönliche Bekannte weiter, von denen ich weiß, wie sie sie damit umgehen.
)lks
Ähm ja.
Ich denke lks hat dazu alles gesagt.
Ich nicht. Jetzt fühle ich mich einsam, vergessen und ignoriert und werde jetzt in der Ecke leise weinen
Viele Grüße
pelzfrucht
Zitat von @pelzfrucht:
Ich nicht. Jetzt fühle ich mich einsam, vergessen und ignoriert und werde jetzt in der Ecke leise weinen
Ich nicht. Jetzt fühle ich mich einsam, vergessen und ignoriert und werde jetzt in der Ecke leise weinen
Schau mal in Deine "Fliegenklatsche". Die bleiben üblicherweise, wenn sie nicht gleich von Deinem MX abgelehnt werden in deren Maschen hängen. und werden oft gleich geschreddert. Wenn Du also die Empfindlichkeit Deines Filters runterdrehst, soltlen vielleicht ein paar durchkommen.
lks
