thorsten85
Goto Top

Neue Ransomware verschlüsselt Dateien (*.locky)

Hallo zusammen,

auch wir haben bereits den ersten Betroffenen Kunden.

Noch haben wir keine Ahnung wo der Übeltäter herkommt.

Scheint auch gestern das erste Mal aufgetaucht zu sein.

Gruß, Thorsten

http://www.heise.de/forum/heise-Security/Themen-Hilfe/Viren-Wuermer/Neu ...

Content-ID: 296378

Url: https://administrator.de/forum/neue-ransomware-verschluesselt-dateien-locky-296378.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

RONNET
RONNET 16.02.2016 um 13:59:13 Uhr
Goto Top
seit gestern 15:12 haben wir bei uns in der Firma das gleiche Problem, schön war es das über den PC auch die Daten auf dem Server über das Netzlaufwerk verschlüsselt wurden.

was dem User nach heutiger Befragung auffiel war eine Mail mit .docm-Anhang die er geöffnet hatte.
Seit heute werden wir regelrecht bombardiert mit solchen Mails, habe den Anhang jetzt mit einer Filterregel im Exchange geblockt.
Thorsten85
Thorsten85 16.02.2016 um 14:11:09 Uhr
Goto Top
Wir sind noch auf der Suche nach dem verursachenden Rechner.

Ja und auch der Server ist betroffen.

Was habt ihr als Gegenmaßnahme auf dem infizierten Rechner eingeleitet. Ein Virenscanner wird wohl akutell nichts finden.
RONNET
RONNET 16.02.2016 um 14:31:54 Uhr
Goto Top
auf dem Server findest du in jedem Order eine _locky_recover_instruction.txt, schau in den Eigenschaften welcher User diese Datei erstelt hat, so haben wie den befallenen PC identifiziert.
Alle PCs laufen mit Trend Micro Scanner, der hat nichts geblockt, mache jetzt 2 PCs platt und installiere neu, alles andere ist mir erstmal zu riskant.
bsk-it
bsk-it 16.02.2016 um 14:47:52 Uhr
Goto Top
Auch wir haben seit gestern Nachmittag mit einem Kunden zu tun, welcher die locky ransomeware hat.

-id aus zahlen und buchstaben.locky
_Locky_recover_instruction.txt

heißen die Dateien.
Hat bis dato doc, docx, xls und xlsx verschlüsselt, pdf Dateien blieben bis jetzt unberührt.

Alle Systeme offline, nun Scannen wir die Systeme.
Ebenfalls Trend Micro installiert, support gestern Kontaktiert, leider ist dieser nicht fähig gelieferte Daten auszuwerten. Als Antwort habe ich bekommen wir haben jetzt englischen Telefonsupport! Super, wir leben in Deutschland!
Weiterhin wollten sie die Aktivierungscode haben.

Eine klasse Antwort nach 22 Stunden, denn der Aktivierungscode wurde gestern in der Anfragemail bereits mit Übersandt.
blitza97
blitza97 16.02.2016 um 15:09:30 Uhr
Goto Top
Der Trojane rliegt in der Regel unter C:\USER\User\Appdata\local\Temp\svchost.exe

im task Manager zu sehen als prozess svchost.exe³² ausgeführt als USer!

ladet euch
http://www.chip.de/downloads/Sophos-Virus-Removal-Tool_12993708.html

duaert bis drei stunden findet aber den trojaner definitive! Rechner vom netz nehmen, da er sich sonst weiter verbreitet!
Thorsten85
Thorsten85 16.02.2016 um 15:39:25 Uhr
Goto Top
Malwarebytes soll den Übeltäter wohl aktuell bereits erkennen.

Angaben ohne Gewähr, da wir aktuell noch andere Scanner am Laufen haben...
Thorsten85
Thorsten85 16.02.2016 um 15:59:48 Uhr
Goto Top
bsk-it
bsk-it 16.02.2016 aktualisiert um 19:06:45 Uhr
Goto Top
Ich habe eine unbekannte Datei Datei gefunden, die Datei liegt in C:\Users\<username>\AppData\Local\temp\F45C.tmp, ein ausführbares Shellprogramm, welches bis dato von keinem Scanner gefunden wird.
MirjamB
MirjamB 16.02.2016 um 18:57:06 Uhr
Goto Top
Bei einem Kunden wurde auf einem betroffenen Client in C:\Users\<username>\AppData\Local\temp\64EA.tmp von Malwarebytes Anti Rootkit (nicht Malwarebytes Antimalware!) als Befall identifiziert.
Zuvor waren beide Browser (IE 11 und Firefox 44) sehr langsam, angeblich schon seit ca. 3.2 oder 4.2.2016.
abartel
abartel 16.02.2016 um 20:22:47 Uhr
Goto Top
Moin zusammen,

auch einer unserer Kunden ist seit 11:45 betroffen.

Trendmicro hat nichts erkannt auch Malewarebyte war blind ........

Auslöser war eine E-Mail mit Word-Anhang.

Gruß

Andreas
obliterator
obliterator 17.02.2016 um 00:25:20 Uhr
Goto Top
Unser Kaspersky Security Center hat folgendes gefunden. Laut dem Heise Bericht sieht das stark nach locky aus :/

In der E-Mail

  Von: Carla <luoiioyzu@web.de>

  An: Carla

  CC:

  Betreff: Hallo

  wurden schädliche und/oder andere Objekte erkannt:

  1. Meinfoto.jpg.rar/Meinfoto.jpg.exe enthält möglicherweise infiziertes Objekt UDS:DangerousObject.Multi.Generic.


  Löschen von Objekten:

   1. Meinfoto.jpg.rar
/Meinfoto.jpg.exe wurde gelöscht.


Zitat von @abartel:

Moin zusammen,

auch einer unserer Kunden ist seit 11:45 betroffen.

Trendmicro hat nichts erkannt auch Malewarebyte war blind ........

Auslöser war eine E-Mail mit Word-Anhang.

Gruß

Andreas
LMai14
LMai14 17.02.2016 um 07:52:29 Uhr
Goto Top
Von diesem Verhalten kann ich berichten. Gott sei dank hat es bei unserem Kunden bisher nur einen einzelnen PC und keine Netzwerkshares angegriffen. Aber der Benutzer berichtete auch, dass seit einigen Tagen der Browser extrem langsam gewesen sei.
Dr-Alka
Dr-Alka 17.02.2016 um 08:12:36 Uhr
Goto Top
Bei uns tauchte Locky gestern Mittag das erst Mal auf, als unser Fingerprint einen Mitarbeiter nicht erkannte. Als an dieser Workstation es keine Besserung gab, habe ich mich auf den Server geschaltet und dadurch wohl den Krypto-Vorgang gestoppt. In allen NUR freigegebenen Ordnern stoppt zu dieser Zeit der Vorgang. Hat jemand dafür eine Erklärung? Dann er über einen laufenden Teamviewer-Dienst passiert sein? Durch eine Cloudsync können wir ausschließen, dass externe Laptops dies über eine Sync zur Cloud verursacht haben, da die alle nicht infiziert sind. Unser Datensicherung hat zum Glück funktioniert und alles ist wieder da. Der AdwCleaner funktioniert ganz gut und erkennet Locky.
bsk-it
bsk-it 17.02.2016 um 08:45:36 Uhr
Goto Top
Wie ich gestern bereits geschrieben habe, habe ich die mir unbekannte Shell Datei F45C.tmp gefunden.
Diese habe ich zu Sophos geschickt zur Analyse, gestern Abend.

Diese Nacht kam das Ergebnis aus dem Sophos Lab: F45C.tmp -- identity created/updated(New detection Troj/TeslaC-AB)

Ich habe soeben die ensprechenden Updates gemacht, laufen lassen (als Boot CD-Variante).
Nun wurde er erkannt und entfernt.

Jetzt werden alle PCs auf welchen Trojaner gefunden werden neu installiert und die Daten auf dem Backup wiederhergestellt.
LMai14
LMai14 17.02.2016 um 10:21:04 Uhr
Goto Top
@bsk-it: Welche Software setzt ihr zum Scan ein?
Dr-Alka
Dr-Alka 17.02.2016 um 10:40:42 Uhr
Goto Top
adwcleaner
Dr-Alka
Dr-Alka 17.02.2016 um 10:43:56 Uhr
Goto Top
der locky schreibt sich auch versteckt in die Registry. wir haben dort einige Restdateien gefunden, daher wissen wir jetzt welche PC es ausgelöst hat. sucht auch mal nach "devpointer". wird in der registry auch unter locky erwähnt.
obliterator
obliterator 17.02.2016 um 11:13:25 Uhr
Goto Top
Wir setzen Kaspersky for Exchange ein. Sperrt ihr gewisse Dateitypen? Ich finde es schwierig z.B. DOC Dokumente zu Filtern. Denn oftmals kommen halt Bewerbungen in DOC Format ins Haus.
LMai14
LMai14 17.02.2016 um 12:37:49 Uhr
Goto Top
Habe jetzt auch einmal den Malwarebytes Anti Rootkit asuprobiert und konnte damit auchverdächtige Dateien ausfindig machen. Auch bei mir befanden sich die Dateien im temp-Verzeichniss, ebenso konnte ich über die Suche nach "Locky" in der Registry einen entsprechenden Einträg finden.
Ob sich damit jetzt das Problem gelöst hat bleibt noch abzuwarten.
MirjamB
MirjamB 17.02.2016 um 13:05:43 Uhr
Goto Top
Ich bearbeite gerade einen befallenen Client-PC.
Ich habe eine Boot-CD von Sophos erstellt (https://www.sophos.com/de-de/support/knowledgebase/52011.aspx)
und den infizierten PC damit gestartet. Über Advanced die Option "disinfect" gewählt.
Ergebnis:

Virus 'Troj/PWS-CIO' found in file /mnt/dev/sda5/Users/<username>/AppData/Local/Temp/FC29.tmp

1 master boot record swept.
3 boot sectors swept.
212496 files swept in 51 minutes and 49 seconds.
1 virus was discovered.
1 file out of 212496 was infected.

Das ist allerdings ein anderer Dateiname als der ursprünglich von MBAR gefundene face-sad - es ist also noch nicht vorbei.
Ich boote das System jetzt (weiterhin offline) und schaue mal in die Regsitry bzw. suche weiter. Mal sehen welches Tool den zugrunde liegenden Prozess/Aufruf findet.
Thorsten85
Thorsten85 17.02.2016 um 15:49:25 Uhr
Goto Top
Einträge in der Registry habe ich jetzt auch gefunden.
Einen "Virus" findet aber keiner der Scanner.
LukeLuu
LukeLuu 17.02.2016 um 16:09:08 Uhr
Goto Top
Öffnet mal den IrfanView und öffnet mal eine .locky datei die mal ein Bild war.

IrfanView will es dann in jpg öffnen und schon ist das Bild sichtbar.
ConnecT
ConnecT 17.02.2016 um 16:35:02 Uhr
Goto Top
Einige von Euch schreiben, dass Trend Micro nicht vor der Malware geschützt hätte.
Ich habe bei Kunden bisher gute Erfahrung mit der Ransomware Protection gemacht. Siehe http://docs.trendmicro.com/en-us/enterprise/officescan-110-sp1-server/u ...
Hat das Feature bei dieser Malware nicht gegriffen, oder habt ihr das Feature nicht aktiv gehabt?
Gruß Christian
bsk-it
bsk-it 18.02.2016 um 08:13:32 Uhr
Goto Top
Bei dem betroffenem Systen war ebenfalls TrendMicro WBFS 9 im Einsatz.
dieser hat es bis gestern nachmittag nicht erkannt, nach viel hin und her mit dem Support kam irgendwann eine passende Signatur.

Wir haben mit Sophos SBAV die Systeme gescannt und damit bereinigt. Sophos findet seit gestern nacht/früh den Trojaner.
Dann habe ich mit Sophos telefoniert. Es ist so, das wohl der Trojaner in 3 Schritten arbeitet:
1. Userverzeichnis
2. Userdir (bei Servergespeicherten Profilen)
3. alle UNC Pfade die er findet und Zugriff hat
Nach einem Herunterfahren des Systems soll er angeblich nicht wieder aktiv werden.
Angaben ohne Gewähr.

Wir scannen und bereinigen nun weiter und spielen die Datensicherung zurück.
MirjamB
MirjamB 18.02.2016 um 09:35:03 Uhr
Goto Top
Bei unserem betroffenen System war Avira Professional 14 im Einsatz. Die Chiffrierung hat am Dienstagnachmittag begonnen.
Chiffriert wurden Dateien im user-Verzeichnis, auf erreichbaren Shares und auch in C:\ProgramData (auch *.mdb-Dateien und *.xml-Dateien).
Mit SBAV wurde auf dem betroffnen System eine Datei identifiziert. Der Scan mit Avira in der Nacht von Dienstag auf Mittwoch hat 3 Dateien identifiziert und entfernt: 64EA.tmp als TR/AD.Injector.M.194 und FC29.tmp und 5A05.tmp beide als TR/Crypt.EPACK.24716.

Händisch gelöscht wurde ein Schlüssel in der Registry [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run dort REG_SZ Locky mit dem Wert C:\Users\<username>\AppData\Local\Temp\64EA.tmp
HKEY_CURRENT_USER\Software\Locky enthielt drei Werte zu id, paytext und public key. Der gesamte Locky-Eintrag wurde ebenfalls gelöscht.

Wir haben gestern die anderen Clients mit SBAV untersucht und hatten keine weitere Infektion. Die verschlüsselten Dateien konnten aus der Datensicherung wieder eingespielt werden.
Thorsten85
Thorsten85 18.02.2016 um 09:43:32 Uhr
Goto Top
Wirklich seltsam, genau diese Einträge habe ich auf einem Rechner in der Registry.
Weder Sophos noch andere Scanner finden aber den Trojaner.

Wir werden den Rechner neu aufsetzen und gut ist.
bsk-it
bsk-it 18.02.2016 aktualisiert um 10:12:15 Uhr
Goto Top
Auf jeden fall eine neue sbav CD erstellen, CD sollte nach dem 17.2. 08 Uhr gedownloadet sein, dann findet sie diesen besagten Trojaner
Thorsten85
Thorsten85 18.02.2016 um 13:07:12 Uhr
Goto Top
Hab ich genau so gemacht. Neueste Sophos Versio, neueste Malwarebytes etc...
Schade drum aber wie gesagt, Rechner wird neu aufgesetzt.

Danke für die Infos.
ConnecT
ConnecT 18.02.2016 um 13:17:27 Uhr
Goto Top
@bsk-it
Dass das Pattern neue Varianten nicht sofort erkennt, ist prinzipbedingt.
Meine Frage war, ob ihr bei der Verhaltensüberwachung den Schutz vor Ransomware aktiv hattet.
Aus meiner Erfahrung heraus ist das ein wirksamer Schutz. Würde mich wundern, wenn die Funktion nicht gegriffen hätte.
Gruß Christian
bsk-it
bsk-it 18.02.2016 um 13:29:35 Uhr
Goto Top
Nein die Verhaltensüberwachung den Schutz vor Ransomware hatte unser Kunde im Trend Micro leider nicht aktiv. Hier hat er allerdings selbst konfigurieren wollen ...

Alle PCs welche im Scan Trojaner gezeigt haben werden neu aufgesetzt ...
Thorsten85
Thorsten85 18.02.2016 um 15:36:28 Uhr
Goto Top
Nach erneutem Scan mit Malwarebytes habe ich nun einen "trojan.crypt" gefunden.
Allerdings unter C:/Users/<username>/AppData/Roaming/XXX.tmp
alhambra
alhambra 18.02.2016 um 16:52:43 Uhr
Goto Top
Vielleicht eine blöde Frage, bitte haut nicht wieder so sehr zu:

Könnte man auf einer Serverfreigabe nicht die Dateiprüfungsverwaltung verwenden, um zu verhindern, dass dort *.locky-Dateien abgelegt werden?
(Nur so als Behelf gedacht, um Netzwerkfreigaben ab 2008 R2 zu schützen)

Gruß und viel Glück!
Thorsten85
Thorsten85 18.02.2016 um 17:18:13 Uhr
Goto Top
Ich kenn die Funktion jetzt nicht 100%, gehe aber davon aus, dass man dann die Endung *.locky bereits hätte kennen müssen.
Also im Normalfall sag ich da ja, blockiere *.jpg etc.
alhambra
alhambra 18.02.2016 um 17:44:09 Uhr
Goto Top
Ja genau. Wenn nun aber noch Rechner im Netz schlummern, die später versuchen, Dateien auf Netzlaufwerken zu verschlüsseln... Könnte man die auf diese Weise davon abhalten?

Oder anders...

Hätte man die Netzwerkfreigaben schützen können, wenn man _vorher_ *.locky-Dateien verhindet hätte?
(hätte, hätte Fahrradkette)
Nidavellir
Nidavellir 19.02.2016 um 09:41:28 Uhr
Goto Top
Hier gibt es eine nette ausführliche Analyse. Was macht das Teil genau und wo legt es seinen Kram ab.
http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encr ...

Ziemlich interessant finde ich folgenden Abschnitt:
Furthermore, Locky will skip any files where the full pathname and filename contain one of the following strings:

tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

Wenn ich so eine Mail hätte, würde ich gern mal testen was passiert wenn man all seine Daten in einen neuen Ordner "tmp" o.ä. verschiebt.
dng-alt
dng-alt 22.02.2016 um 09:34:37 Uhr
Goto Top
Hallo zusammen,

ich höre hier immer, das TrendMicro WFBS 9 nichts gefunden hat...das ist nicht ganz richtig...
Wir haben hier auch Worry Free Business Security 9 laufen und mit dem SP2 (Veröffentlicht am 01.09.2015) wurde ein Ransomware-Module eingeführt, das unberechtigten Zugriff auf die Shadow Copy-Funktion und unberechtigtes verschlüsseln von Daten unterbindet. Das hat schon zwei Geräte von externen Mitarbeitern hier gerettet, da ein Crypto-Virus versucht hat Daten zu verschlüsseln und die Engine das unterbunden hat.
Generell haben wir z.B. in Office die Makro-Sicherheit auf maximal gestellt (Blocken ohne Benachrichtigung) und nur bestimmte Speicherorte für Makro-Ausführung erlaubt. Somit kann eine "Makro-aktive Datei" niemals aus einer Mail, dem Internet oder dem Desktop geöffnet werden.

Diese Lektion musste ich auch lernen, da es bei uns auch ein neuer Standort, bei dem noch nicht unsere Sicherheitsstandards eingeführt waren, den CryptoWall3 abbekommen hat (Mail mit Anhang) und mich das ein ganzes Wochenende gekostet hat. Also Leute...durchhalten beim Bereinigen und viel Erfolg!

Grüße,
dng-alt