pelzfrucht
Goto Top

Locky - hat ihn jemand für mich?

Abend,

klingt jetzt vielleicht etwas verdreht,

aber ich wollte fragen ob mir jemand (per PM?) den Verschlüsselungstrojaner zuschicken könnte.
Ich hab bisher noch kein solch Exemplar erhalten, würde den Verschlüsselungstrojaner jedoch ganz gerne mal analysieren und näher betrachten.
Mich interessiert wie er sich verhält, und welche Verhaltensmerkmale er ausweist an denen man ihn erkennen könnte.

(Selbstverständlich nicht auf einem Produktiv PC, sondern in einer virtuellen Maschine.)

Viele Grüße
pelzfrucht

PS: Ich hoffe das verstößt nicht gegen die Foren Regeln?

Content-Key: 297037

Url: https://administrator.de/contentid/297037

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: Xerebus
Lösung Xerebus 22.02.2016 aktualisiert um 22:03:38 Uhr
Goto Top
Ich glaube ich hab ihn. Aber ungetestet... face-smile
Schick mir einfach per PM deine Mail.

Sehr geehrte Damen und Herren,

in der Anlage erhalten Sie unsere Rechnung 98974 vom 15.02.2016 im MS-Office Word Format. Diese Reifen sind per DPD an Sie unterwegs.

Bitte drucken Sie diesen Beleg für Ihre weitere Verwendung und für Ihre Unterlagen aus.

Bitte beachten ! Dieser Beleg ist das Orginalexemplar !

Mit freundlichen Grüßen

Otto Herrmann

ADVANCED COURIER
Mitglied: thomasreischer
thomasreischer 22.02.2016 um 21:10:18 Uhr
Goto Top
yup, das gleiche haben wir auch mehrmals erhalten..
Mitglied: Xerebus
Xerebus 22.02.2016 um 21:12:50 Uhr
Goto Top
@pelzfrucht
den armen haben sie übergangen und du bekommst das mehrmals face-smile
Mitglied: pelzfrucht
pelzfrucht 22.02.2016 um 21:16:33 Uhr
Goto Top
Ja, bin schon ganz traurig und stehe den ganzen Tag deprimiert in der Ecke weil keiner von den Trojaner
Entwicklern an mich gedacht hat face-sad Jetzt möchte ich aber auch ein Stück vom Kuchen ab haben face-big-smile face-big-smile

Viele Grüße
pelzfrucht
Mitglied: Xerebus
Xerebus 22.02.2016 um 21:45:09 Uhr
Goto Top
Und jetzt wissen wir wieso.
mail@T-Online.de lässt die nicht durch.... face-smile
Mitglied: Lochkartenstanzer
Lochkartenstanzer 22.02.2016 um 22:00:52 Uhr
Goto Top
Poste eibfach Deine Mailadresse. Dann bekommst Du den sicher.

lks
Mitglied: pelzfrucht
pelzfrucht 22.02.2016 um 22:03:28 Uhr
Goto Top
@lks

Klar, mach ich jetzt ganz bestimmt face-wink
Ich könnte mir auch die Augen zu binden, den Virenscanner deaktivieren und dann bunterkunt auf alle möglichen Werbeanzeigen klicken. Irgendwann hab ich den dann bestimmt auch face-wink

Viele Grüße
pelzfrucht

@Xerebus

Trojaner richtet schon sein Unheil an in einer VM face-smile
Danke.
Mitglied: Olfryygt
Lösung Olfryygt 23.02.2016, aktualisiert am 24.02.2016 um 13:49:08 Uhr
Goto Top
Ich hätt auch ein Exemplar, bin mir aber nicht sicher, ob ers wirklich ist. Noch nicht zum testen gekommen und alle Viren-Such-Datei-Upload-Tools finden einfach nix. Fürchterlich face-sad Wie schick ich dir das Teil via PM? Muss ich mal nachschauen. Schick mir sonst deine Email via PM bitte.
Mitglied: ArnoNymous
ArnoNymous 23.02.2016 um 10:24:45 Uhr
Goto Top
Moin,

mit welchen Betreff kommen die Mails denn an?
Mitglied: Olfryygt
Olfryygt 23.02.2016 aktualisiert um 10:26:41 Uhr
Goto Top
Die zwei Exemplare, die ich mir vorläufig noch behalten habe, wie folgt:
Rechnung Nr. 58729 vom 15.02.2016
Rechnung Nr. 60536 vom 15.02.2016

die anderen ca. 28 mit jeweils anderer Rechnungsnummer.
Mitglied: ArnoNymous
ArnoNymous 23.02.2016 um 10:27:35 Uhr
Goto Top
Alles klar, danke face-smile
Mitglied: jthuemmler
jthuemmler 23.02.2016 um 12:20:16 Uhr
Goto Top
Also,

von den blöden Dingern habe ich auch genug. Aber könnte mir mal jemand den "Bundestrojaner" schicken? Ich hätte da was, was ich den Herren de Maiziere und Maas gerne persönlich mitteilen würde face-wink

cu jth
Mitglied: pelzfrucht
pelzfrucht 24.02.2016 aktualisiert um 13:39:51 Uhr
Goto Top
Hi,

danke @Olfryygt und @Xerebus ,

ich habe den Virus jetzt mehrmals versucht in einer virtuellen Maschine auszuführen.

Prinzip ist immer das gleiche: Word führt eine vba Datei aus, die vba Datei eine Batch Datei, und die versucht eine exe aus dem Internet herunterzuladen und sie anschließend ebenfalls auszuführen. (kokoko.exe nennt sie sich).

Das Problem ist, dass keine der beiden Varianten von euch, die Datei erfolgreich runterladen kann. Anscheinend sind sie schon von den entsprechenden Servern wieder runtergenommen.

Solltet ihr noch mehr Varianten haben, ich bin jederzeit offen face-smile

Interessant ist, bei deiner Word Datei @Olfryygt, hat mir der Windows Defender dazwischen gefunkt und führte dazu dass der Computer nicht mehr reagiert. Es erschien eine Meldung dass der Prozess nicht mehr reagiert und ob ich ihn beenden möchte. Ich klickte "Ja" an (war eine legitime Windows Meldung) und dannach wurde der komplette Bildschirm schwarz und nichts ging mehr. Auch nicht Strg + Alt + Entf.

Als ich die VM dann zwangsneugestartet habe, erhielt ich das:

23cb8964b3dd1489d36299a9bca4f92f

Sehr merkwürdig. Ich verfolge das mal weiter.

Danke, und viele Grüße
pelzfrucht

PS: Solltet ihr noch mehr Varianten haben, ich bin jederzeit offen face-smile

Nachtrag: Einloggen geht nicht mehr, der Zustand der VM ist hinüber.

10e0a3f8717f1418078c9cd4ae732e2c

Mal schauen...
Mitglied: thomasreischer
thomasreischer 24.02.2016 um 13:39:51 Uhr
Goto Top
Kannst ja mal mit unterschiedlichen Virenscannern bzw Malwarescannern testen
Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.02.2016 aktualisiert um 13:47:19 Uhr
Goto Top
Zitat von @pelzfrucht:

Sehr merkwürdig. Ich verfolge das mal weiter.


Du solltest beachten, daß vieleTrojaner Vorkehrungen getroffen haben, damit sie nicht in einer VM analysiert werden. Wenn sie feststellen, daß sie in einer VM sind, machen die vieles anders als sie es sonst täten, u.a. manchmal die einfach die Maschine oder das userprofil killen.

lks
Mitglied: pelzfrucht
pelzfrucht 24.02.2016 aktualisiert um 13:47:52 Uhr
Goto Top
@thomasreischer

Ja, das Problem ist halt, dass die exe die er nachladen möchte - nicht mehr existiert auf dem Server.

Wenn mann im C:\Users\Username\AppData\Local\Temp
die erstellte *.bat Datei bearbeitet während das Dokument offen ist, findet man ganz unten den Server von wo er sie sich holen will.

@Lochkartenstanzer

Ich hab jetzt nirgends etwas im VBA Script gefunden was auf ein Auslesen des Computer Hersteller deutet.
Aber die Werte lassen sich soweit auch Verändern, dass er die Virtuelle Maschine für einen echten Computer hält.

Danke für den Tipp face-smile

Viele Grüße
pelzfrucht
Mitglied: Olfryygt
Olfryygt 25.02.2016 um 11:00:46 Uhr
Goto Top
Ich bekomm ständig neue rein, schlechte Variante war jetzt eine übel geschrieben mit einer .xls drinnen und die beste ist eine, die von "PayPal" <service@elxire.com> kommt mit einer "Personliches Profil - PayPal.html" angehängt und mit einem recht gut geschriebenem Deutschen Text, natürlich mit Hinweise, dass JavaScript aktiviert sein muss.

Interesse?
Mitglied: pelzfrucht
pelzfrucht 26.02.2016 aktualisiert um 19:30:19 Uhr
Goto Top
Hi @Olfryygt

Sorry für die späte Antwort.
Erstmal Danke für die zwei die du mir geschickt hattest,
Ich hab ihn mir jetzt nicht richtig angeschaut, mir ist nur bei der Installation aufgefallen dass der ziemlich schlecht getarnt ist. Da muss man schon Tomaten auf den Augen haben:

Erst musste ich 3 (!) Sicherheitswarnungen von Windows wegklicken. Eine sogar ziemlich aufdringlich:

e4c6244971e2998381c8f8169f4a734e

Dann musste ich noch erstmal das Net Framework installieren:

cc66fafe957b98c855d2ca7b7a32324c

und als wäre das nicht genug, musste ich auch noch die Installation eines Sicherheitszertifikat erlauben:

472dab34c92cddcbac2b30e0caf5838f

Also keine Sorge, selbst wenn er nicht erkannt worden wäre: Ich nehme an der Trojaner hätte es eh nicht weit geschafft in eurem Unternehmen face-wink
Ansonsten hab ich ihn mir nicht weiter angeguckt. Ausser dass eine etwas komisch aussehende (und auch komisch signierte) winlogon und ein "Browser Killer" o.ä. im Task Manager erscheint und der Lade Mauszeiger öfters erscheint, verhält sich Windows weiterhin normal. Virus Total erkennt einen Bank Trojaner.

Sonst hab ich Ihn nicht näher angeguckt.

Interesse?

Klar gerne face-smile
Ich versuche immernoch einen noch funktionierenden Locky zu erhalten face-big-smile
Vielleicht verbirgt sich hinter einer der beiden Nachrichten ja Locky face-smile

Viele Grüße
pelzfrucht
Mitglied: Xerebus
Xerebus 26.02.2016 um 19:39:08 Uhr
Goto Top
Ich nehme an der Trojaner hätte es eh nicht weit geschafft in eurem Unternehmen
Wieso glaub ich da nicht.
Da sind viele User und da sind sicher ein paar dabei die sich da durchklicken.
Mitglied: pelzfrucht
pelzfrucht 26.02.2016 um 19:43:54 Uhr
Goto Top
Joa,

aber

a) Erkennen eine ganze Stange Virenscanner (inkl. Windows Defender) den Trojaner.
b) Kam abgesehen von 2 Standard Warnungen, eben diese eine spezifische von Windows Smart Screen. Ich bin mir zwar nicht sicher, aber ich denke, es gibt bestimmt eine GPO um die Ausführung von Anwendungen zu verhindern, die vom SmartScreen als schädlich erkannt worden sind.
c) Möchte die Anwendung ein Sicherheitszertifikat installieren, sollte der normale User in der Firma nicht können. Verhindert zwar die Ausführung nicht, aber trotzdem.
d) Muss das Net Framework installiert sein. Wenn es nicht installiert ist, muss das erstmal jemand mit Administrator Rechten tun.

Ich meine ja nicht, dass es ein Trojaner allgemein es nicht weit schaffen kann.
Aber spezifisch dieser einer, denke ich, wäre nicht weit gekommen.
Und wenn doch, Pech gehabt. face-sad So siehts aus.

Viele Grüße
pelzfrucht
Mitglied: Blissa
Blissa 22.03.2016 um 21:44:47 Uhr
Goto Top
Hallo. Mein Bruder hat den Locky Virus gehabt, aber hat danach seinen Laptop auf die Werkeinstellungen gesetzt. Wenn du dich mit solchen Entschlüsselungen befassts, vielleicht gibt es Sinn die Seiten anschreiben, die Antiviren für so was verkaufen. Zum Beispiel: Chip.de oder Bleepingcomputer. Hier z. B. http://linkmailer.de/viren/locky-datei - befassen sich damit und bestimmt haben solche Algorythmen zum testen oder so. Weil wenn jemand von so was infiziert ist, wie kann er dir seinen PC schicken? Nur wenn ihr in gleicher Stadt wohnt.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 22.03.2016 aktualisiert um 22:07:47 Uhr
Goto Top
Zitat von @Blissa:

Weil wenn jemand von so was infiziert ist, wie kann er dir seinen PC schicken? Nur wenn ihr in gleicher Stadt wohnt.

Man muß sich nicht damit infiziert haben, um davon ein Exemplar zu haben. Das bekommt man heutztage tausendfach als SPAM-mail zugeschickt. Man muß da einfach nur eine der Mails weiterleiten. (Nein, ich gebe Malware nur an persönliche Bekannte weiter, von denen ich weiß, wie sie sie damit umgehen. face-smile)

lks
Mitglied: pelzfrucht
pelzfrucht 22.03.2016 aktualisiert um 22:22:09 Uhr
Goto Top
@Blissa
Weil wenn jemand von so was infiziert ist, wie kann er dir seinen PC schicken?

Ähm ja.
Ich denke lks hat dazu alles gesagt.

@Lochkartenstanzer
tausendfach als SPAM-mail zugeschickt

Ich nicht. Jetzt fühle ich mich einsam, vergessen und ignoriert und werde jetzt in der Ecke leise weinen face-sad

Viele Grüße face-smile
pelzfrucht
Mitglied: SarekHL
SarekHL 23.03.2016 um 06:23:30 Uhr
Goto Top
Zitat von @pelzfrucht:

Ich nicht.

Verrätst Du uns, welchen (offenbar guten) Spamschutz Du verwendest? face-smile
Mitglied: Lochkartenstanzer
Lochkartenstanzer 23.03.2016 um 08:32:11 Uhr
Goto Top
Zitat von @pelzfrucht:

@Lochkartenstanzer
tausendfach als SPAM-mail zugeschickt

Ich nicht. Jetzt fühle ich mich einsam, vergessen und ignoriert und werde jetzt in der Ecke leise weinen face-sad

Schau mal in Deine "Fliegenklatsche". Die bleiben üblicherweise, wenn sie nicht gleich von Deinem MX abgelehnt werden in deren Maschen hängen. und werden oft gleich geschreddert. Wenn Du also die Empfindlichkeit Deines Filters runterdrehst, soltlen vielleicht ein paar durchkommen.

lks