Krypto-Trojaner Locky

Mitglied: Sheogorath

Sheogorath (Level 2) - Jetzt verbinden

24.02.2016, aktualisiert 16:09 Uhr, 1920 Aufrufe, 10 Kommentare, 5 Danke

Moin,

Ich habe gerade mal grob die letzten Beiträge in der Richtung gelesen und irgendwie scheint es ja im Moment der Renner zu sein, sich sein System mit diesem Stückchen Software zu verseuchen.

Einige wollen ja wohl mal wissen, wie das grob funktioniert. Das wurde in dem Beitrag grob zusammengefasst. (also wie der Virus eigentlich ins Systemgelangt ^^)

Dass es ein "embed" -Link ist liegt daran, dass ich ihn aus meiner Historie gefischt habe.

Jedenfalls viel Spaß beim Anschauen ;)

Mitglied: SarekHL
24.02.2016 um 11:14 Uhr
Zitat von @Sheogorath:

Einige wollen ja wohl mal wissen, wie das grob funktioniert. Das wurde in dem Beitrag grob zusammengefasst. (also wie der Virus eigentlich ins Systemgelangt ^^)

Gibt es das auch irgendwo zum lesen? Ich finde es nervig, dass immer mehr Informationen über Youtube verbreitet werden und ich mir erst mal einen Film anschauen muss ...
Bitte warten ..
Mitglied: Sheogorath
24.02.2016 um 12:53 Uhr
Ich stimme dir zu, ich bin halt irgendwann mal auf Twitter drüber gestolpert.

Grob zusammengefasst:

Die Worddokumente sind leer, sobald man makros aktiviert, wird ins Temverzeichnis eine batch datei geladen und ein vbs script erstellt. dieses lädt dann von irgendeinem gehackten Server eine exe herunter, die im Tempverzeichnis als fail.exe landet und dann aufgerufen wird.

Mehr wird in dem Video auch nicht erklärt.

Es wird halt einfach noch gezeigt, dass die verschiedenen Versionen der "Rechnungen" auf verschiedene Server verweisen und man das ganze natürlich recht schnell austauschen kann. Außerdem wird eben darauf hingewiesen, dass dadurch die klassischen Malwarescanner eben ein problem haben, da der eigentliche Virus eben erst nachgeladen wird und nicht schon im Anhang drin ist.
Bitte warten ..
Mitglied: SarekHL
24.02.2016 um 13:02 Uhr
Zitat von @Sheogorath:

Grob zusammengefasst:

Erst mal Danke für die Zusammenfassung ...

Es wird halt einfach noch gezeigt, dass die verschiedenen Versionen der "Rechnungen" auf verschiedene Server verweisen und man das ganze natürlich recht schnell austauschen kann.

Ich nehme an, dass sind auch ständig neue Server? Oder ist es eine bekannte, feste Menge, die ich z.B. in der Firewall sperren könnte?

Außerdem wird eben darauf hingewiesen, dass dadurch die klassischen Malwarescanner eben ein problem haben, da der eigentliche Virus eben erst nachgeladen wird und nicht schon im Anhang drin ist.

Das Problem verstehe ich trotzdem nicht. Ein Security-Programm mit Echtzeitschutz prüft normalerweise auch, wenn eine Datei geschrieben oder ausgeführt wird, den Inhalt. Also beim Ausführen der fail.exe müsste es doch sofort blockieren ...
Bitte warten ..
Mitglied: Olfryygt
24.02.2016, aktualisiert um 16:10 Uhr
Hallo,

Ihr könnt ja mal hier reinschauen, da beschäftigt sich schon jemand damit:
Locky - hat ihn jemand für mich?

Grüße
Bitte warten ..
Mitglied: Frank
24.02.2016, aktualisiert um 16:16 Uhr
Da Word aktuell das Lieblingsangriffsziel von Locky ist könnte man evtl., wie vom Kommentator im Video bereits bemerkte, auf ein anderes Office wechseln. Libreoffice ist nicht von dem Sicherheitsproblem betroffen. Das wäre für viele User evtl. eine schnelle Lösung, um nicht in die Locky-Falle unter Windows zu tappen. Libreoffice kann neben Dateien im OpenDocument-Format auch normale Microsoft Office Dateien lesen und schreiben.

Download LibreOffice 5.0.5 für Windows

f1786ca653cf872df6fcc8e5067fe0ee - Klicke auf das Bild, um es zu vergrößern

Gruß
Frank
Bitte warten ..
Mitglied: pelzfrucht
24.02.2016 um 16:14 Uhr
Hi,

Ich nehme an, dass sind auch ständig neue Server? Oder ist es eine bekannte, feste Menge, die ich z.B. in der Firewall sperren könnte?

Ja, meistens mehr oder weniger verwahrloste, die seit ewigkeiten nicht mehr angerührt worden sind und deshalb so ziemlich vergessen wurden.
Weil die dann halt entsprechend auch nicht mehr auf dem neusten Stand sind, ist es relativ leicht die zu hacken und seine eigenen Dateien (den Krypto Trohaner) dort abzulegen.

Das Problem verstehe ich trotzdem nicht. Ein Security-Programm mit Echtzeitschutz prüft normalerweise auch, wenn eine Datei geschrieben oder
ausgeführt wird, den Inhalt. Also beim Ausführen der fail.exe müsste es doch sofort blockieren ...

Jain, an sich schon. Aber das Verschlüsseln an sich ist (bisher) kein auffälliges Merkmal (gewesen).
Programme wie VeraCrypt verschlüsseln ebenfalls, sind aber legitim.

Natürlich müsste man jetzt den Spieß umdrehen:

Alles was verschlüsselt ist gefährlich AUSSER VeraCrypt, TrueCrypt ... (lässt sich ja am Hash festmachen).

Warum die Virenscanner da ebenfalls nicht eingreifen wenn in einem gigantischen Ausmaße verschlüsselt wird, ist mir auch nicht verständlich.
Bisher war das einfach nicht erfoderlich.

Viele Grüße
pelzfrucht
Bitte warten ..
Mitglied: Sheogorath
24.02.2016 um 23:56 Uhr
Zitat von @SarekHL:
Das Problem verstehe ich trotzdem nicht. Ein Security-Programm mit Echtzeitschutz prüft normalerweise auch, wenn eine Datei geschrieben oder ausgeführt wird, den Inhalt. Also beim Ausführen der fail.exe müsste es doch sofort blockieren ...

Dieses umständliche "Aus dem Internet per script nachladen" passiert genau deshalb. Man kann so die Viren recht schnell austauschen und somit die Signaturen ändern.

Andere Signatur -> Klassische Virenscanner erkennt es nicht wirklich -> Ausgetrickst....

Das ist halt das ganze Problem an der Sache.
Bitte warten ..
Mitglied: brammer
25.02.2016 um 10:31 Uhr
Hallo,

:-) face-smile
hab gerade eine Mail bekommen von"Microsoft International"
Betreff "Re: Kindly open ther attached file for your payment details"

im Anhang eine 919 Kbyte große ".doc" Datei....
:-) face-smile

Endlich habe ich meinen eigenen Locky :-) face-smile

brammer
Bitte warten ..
Mitglied: altmetaller
25.02.2016 um 16:12 Uhr
Zitat von @SarekHL:

Gibt es das auch irgendwo zum lesen? Ich finde es nervig, dass immer mehr Informationen über Youtube verbreitet werden und ich mir erst mal einen Film anschauen muss ...

Nicht nur das. Die Kollegen finden es ebenfalls nervig.

Ich habe inzwischen mehrere Kunden, die in ihre (Software-)Ausschreibungen direkt reinschreiben, dass eine deutschsprachige Dokumentation in ausdruckbarer Form vorhanden sein muss. Ich hoffe sehr, dass das ein allgemeiner Trend wird!
Bitte warten ..
Mitglied: tomolpi
25.02.2016 um 17:20 Uhr
Zitat von @brammer:
Endlich habe ich meinen eigenen Locky :-) face-smile

Maaan, ich hab ihn immer noch nicht :-D face-big-smile
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Wie sieht eine korrekte IT-Organisation aus?
imebroVor 1 TagFrageOff Topic20 Kommentare

Hallo, da unser IT-Verantwortlicher ja vor einem Jahr gehen musste, stelle ich mir die Frage, wie denn eine korrekte IT-Organisation überhaupt aussehen muss. Zur ...

Server-Hardware
Mini-PC oder Server für Dauerbetrieb
Surfer12Vor 1 TagFrageServer-Hardware20 Kommentare

Hallo zusammen, wir projektieren gerade eine neue Zutrittslösung für ein kleines Hotel mit ca. 20 Zimmern. Die Gäste sollen in Zukunft einen SelfCheckIn machen ...

Firewall
Windows Defender dauerhaft deaktivieren
Frankie222Vor 1 TagFrageFirewall9 Kommentare

Hallo, ich wollte mal fragen ob jemand weiss wie man bei Windows 10 Home den kompletten Schutz deaktiviert. Den Defender und alles! Ich habe ...

Notebook & Zubehör
Funktionieren keine USB-DVD-RW an Surfaces?
StefanKittelVor 1 TagFrageNotebook & Zubehör14 Kommentare

Hallo, ein Kunde von mir hat ein Surface Pro. Wenn er ein USB-DVD-RW-Laufwerk an die Dockingstation anschliesst funktioniert es nicht. - Es bekommt Strom ...

Windows 10
Windows 10 20HS SCCM
stoepsu77Vor 1 TagFrageWindows 1014 Kommentare

Hallo zusammen Ich hoffe, dass jemand von euch mir eine weitere Idee geben kann. Ich habe keine Ideen mehr. Folgendes: Wir haben eine Tasksequenz ...

SAN, NAS, DAS
NAS mit Backup Funktion gesucht
YellowcakeVor 1 TagFrageSAN, NAS, DAS8 Kommentare

Hallo zusammen ich bin total unerfahren was diese NAS Systeme angeht die man sich zuhause hinstellen kann. Aktuell habe ich einen kleinen Server hier ...

Suche Projektpartner
Suche Projektpartner
irinaterletska12Vor 22 StundenFrageSuche Projektpartner1 Kommentar

Hallo alle zusammen . Wir sind eine ukrainische Firma, die nach dem Projektpartner sucht. Wir können für deutsche Firmen Support geben. Wir können Fernwartung ...

Windows Server
Wie konvertiere ich NTFS zu GPT
itnirvanaVor 1 TagFrageWindows Server11 Kommentare

Hallo, auf einem Server ist die Platte 2048 GB per NTFS mit vollem Platz erreicht. Wie kann ich nun diese Platte zu GPT konvertieren. ...