ComputerBase Menü
Aktuelles

News Krypto-Trojaner: Locky weiterhin auf dem Vormarsch

Neue Ransomware TeslaCrypt 4 ist unknackbar
Das dänische IT-Sicherheitunternehmen Heimdal Security berichtet von einer neuen Version des Verschlüsselungstrojaners TeslaCrypt. Die vierte Version ist eine Weiterentwicklung und hat dabei einige „Bugs“ seiner drei Vorgänger beseitigt. Diese „Sicherheitslücken“ sorgten u.a. dafür, dass es den IT-Sicherheitsunternehmen relativ zügig gelang, die entsprechenden Decrypter bereitzustellen, mit denen Nutzer ihre verschlüsselten Daten fast vollständig wieder herstellen konnten.

Die neue Version von TeslaCrypt setzt nun auf die komplexe Verschlüsselung mit RSA 4096 und wird von Heimdal als unknackbar bezeichnet, wir schließen uns dieser Einschätzung an. Die bisherigen Decrypter sind hier nun ebenfalls wirkungslos, ein Nutzer hat keine Möglichkeiten mehr an seine Daten zu gelangen.
Zum Vergrößern anklicken....
Quelle: https://blog.botfrei.de/2016/03/neue-ransomware-teslacrypt-4-ist-unknackbar/
Hier gilt wie bei Locky meiner Meinung nach: wenn ihr eure privaten Dateien nicht verlieren wollt und auch keine Lust habt wegen Locky oder Teslacrypt euren PC/Notebook neu aufsetzen zu müssen(das wäre nämlich angeraten wenn einer der 2 einen PC oder Notebook befallen hatte)dann macht bitte regelmässig auf einer externen USB Festplatte die nur dann angeschlossen wird wenn sie für Backups/Sicherungen gebraucht wird Sicherungen eurer privaten Dateien und Systembackups von eurer im PC/Notbebook verbauten Systemfestplatte auf der Windows usw installiert ist.
 
Also die These nicht zu zahlen, halte ich zwar für verständlich, aber falsch. Wenn bezahlt wird, funktioniert das Geschäftsmodell und kein halbwegs intelligenter Verbrecher macht sich diese fahrlässig kaputt.
Dass das natürlich nicht alles sein kann, ist auch klar. Die Systeme sind natürlich neu aufzusetzen und professionell abzusichern. Ebenso ist ein funktionierendes Backuo aufzubauen und zu prüfen.
Danach ist eine weitere Infektion weit weniger wahrscheinlich als beim erstenmal.

Trotzdem verstehe ich nicht, dass nicht mittlerweile zumindest die Firmen ihre PC entsprechend angepasst haben und Makros, SRP und WSH entsprechend nachgebessert haben.
 
Wie sieht es eigentlich mit dem Crypto-Trojaner aus mit folgender Meldung ...

your data was secured using a strong encryption with RSA4096.

Hier ein Bild ...

http://postimg.org/image/jomkw2qeh

Wie heißt diese Variante und gibt es ein Heilungstool, z.B. Spy Hunter?

Gruß
Marc
 
Das ist Teslacrypt in der unknackbaren Variante.
-->Backup einspielen. Da ist nix mehr zu holen.

Und bloß kein Spyhunter installieren!
 
Weil Spyhunter im Zweifelsfall selbst Schadsoftware mitbringt. Zudem unzählige Toolsbars und Tools die keiner braucht und das System zumüllen.
Das ist ungefähr so effektiv wie TuneUp: gar nicht.

Entfernen kann man den Trojaner sowieso nicht nachträglich und um zukünftige Infektionen zu vermeiden nimmt man Malwarebytes Anti Ransomware.
 
Zensai schrieb:
Weil Spyhunter im Zweifelsfall selbst Schadsoftware mitbringt. Zudem unzählige Toolsbars und Tools die keiner braucht und das System zumüllen.
Das ist ungefähr so effektiv wie TuneUp: gar nicht.

Entfernen kann man den Trojaner sowieso nicht nachträglich und um zukünftige Infektionen zu vermeiden nimmt man Malwarebytes Anti Ransomware.
Zum Vergrößern anklicken....


Ja, wer braucht schon Adware und Toolbars ;) Dann verzichte ich drauf und schau mir mal Malwarebytes Anti Ransomware an.
 
Meinen Meinung nach eine der besten Schutz Software gegen Ransomware, Crypto-Trojaner und andere Trojaner ist SpyShelter Firewall oder Premium. Windows Defender + SpyShelter Firewall (in die Einstellungen die Option "Verdächtige Verhalten automatisch blockieren) zusätzlich Browser und Mail zu "eingeschränkte Anwendungen" hinzufügen und gut ist. ;)

lg
ike
 
Zuletzt bearbeitet von einem Moderator:
Wie sieht es eigentlich mit dem Crypto-Trojaner aus mit folgender Meldung ...

your data was secured using a strong encryption with RSA4096.

Hier ein Bild ...

http://postimg.org/image/jomkw2qeh

Wie heißt diese Variante und gibt es ein Heilungstool, z.B. Spy Hunter?
Zum Vergrößern anklicken....
Dir wurde ja schon gesagt das dies die neueste Teslacrypt Variante ist und von daher gibt es nur eine Empfehlung wenn du kein sauberes Systembackup hast, dann solltest du dein System komplett neu aufsetzen. Und was Spyhunter angeht das ist Rogue bzw Scareware die nix taugt eher schadet und von der du die Finger lassen solltest.
 
Wie kann man auf einem Teslacrypt (RSA4096) verseuchten Rechner erkennen, um welche Variante es sich handelt? Durch welche Prozesse ist die Variante zu identifizieren? Die Endungen von verschlüsselten Dateien haben sich nicht geändert, beispielsweise lassen sich *.txt, sowie *.xlsx Dateien nicht mehr öffnen, da sie verschlüsselt sind, deren Endungen haben sich allerdings nicht verändert, z.B. in *.mp3, wie in Teslacrypt v3.

Unabhängig von den verschlüsselten Dateien, wie erkennt man, ob und mit was der Rechner infiziert ist? Nutzt es was nachträglich, z.B. Stinger oder ein anderes Tool von einer CD zu starten, um die Variante zu erkennen?
 
MarcBesken schrieb:
Wie kann man auf einem Teslacrypt (RSA4096)
Zum Vergrößern anklicken....

An der Meldung auf dem Bildschirm, in der diese Verschlüsselungsmethode genannt wird.
So, wie es bei den Vorgängern viele Varianten gab, wird das auch bei "Version 4" der Fall sein, also ist es sinnlos, hier nach konkreten Prozessen zu fragen.

Nutzt es was nachträglich, z.B. Stinger oder ein anderes Tool von einer CD zu starten, um die Variante zu erkennen?
Zum Vergrößern anklicken....

Wüsste nicht, wozu das gut sein soll. Ob dich eine ältere, knackbare oder eine neuere, nicht knackbare Version erwischt hat, kannst du ja ausprobieren, indem du einen der verfügbaren Decrypter über eine betroffene Datei jagst. Entweder wird sie wieder entschlüsselt oder eben nicht.
 
Wüsste nicht, wozu das gut sein soll. Ob dich eine ältere, knackbare oder eine neuere, nicht knackbare Version erwischt hat, kannst du ja ausprobieren, indem du einen der verfügbaren Decrypter über eine betroffene Datei jagst. Entweder wird sie wieder entschlüsselt oder eben nicht.
Zum Vergrößern anklicken....
Wenn es sich um die neue Teslacrypt 4 Variante bei ihm handelt, hat er derzeit und in absehbarer Zeit keine Chance etwas wieder entschlüsseln zu können. Hoffen wir das er Sicherungen seiner persönlichen Dateien hat und das er den Rat befolgt sein System komplett neu aufzusetzen und dann mit Backups seines Systems und Sicherungen seiner persönlichen Dateien anfängt.
Edit: Hier der Bericht zu Teslacrypt 4: https://blog.botfrei.de/2016/03/neue-ransomware-teslacrypt-4-ist-unknackbar/
 
Zuletzt bearbeitet:
Ist halt immer so ein Thema, ob es wirklich was nützt oder SnakeOil ist. Die Idee, die Systemeinstellungen anzupassen, deutet darauf hin, dass der so Dinge wie Safer aktiviert. Nur kann man das selber auch machen, dann weiß man allerdings, was man am System geändert hat. Vor allem, wenn man kein Standard System hat, würde ich mich nicht darauf verlassen, dass das Ding erkennt, wo meine Portables liegen und welche Virtualisierung welches Verzeichnis zum Starten verwendet.
 
ich habe heute das im postfach gehabt:

bildschirmfoto1mppt4.png

ganz neu vom heutigen datum, gleich mit einer bootmgr datei o.O
keine ahnung was es ist, aber ich werde es nicht ausführen obwohl ich unter linux bin :)

darauf kann man doch nicht reinfallen oder? XD

Edit:
ein online scanner brachte diese ergebnisse:

bildschirmfoto27dup4.png

ungut, wie vermutet locky XD
 
Zuletzt bearbeitet:
Du übersiehst, dass die Endungen bei bekannten Dateitypen meist ausgeblendet sind. Also macht Windows das Zip (nicht Winzip!) als Ordner auf und dort sieht man dann keine *.js.
Daher wäre z.B. zu überlegen, dass generell bei den PCs zu ändern, dass die Endungen angezeigt wird. WSH ausschalten sollte auch funktionieren.
 
mrieglhofer schrieb:
Du übersiehst, dass die Endungen bei bekannten Dateitypen meist ausgeblendet sind. Also macht Windows das Zip (nicht Winzip!) als Ordner auf und dort sieht man dann keine *.js.
Daher wäre z.B. zu überlegen, dass generell bei den PCs zu ändern, dass die Endungen angezeigt wird. WSH ausschalten sollte auch funktionieren.
Zum Vergrößern anklicken....

du hast recht, in win sieht man das gar nicht, voll doof, eigentlich ein sicherheits manko. da bringen die "pretty filenames" auch nichts wenn am ende der rechner verschlüsselt wird lol

@mrieglhofer
weißt du zufällig wie sich *.js dateien unter win bei doppelklick verhalten? werden die einfach ausgeführt? das wäre hart XD
 
Zuletzt bearbeitet:
Vomit schrieb:
darauf kann man doch nicht reinfallen oder? XD
Zum Vergrößern anklicken....
Naja wenn man bedenkt, was ich hin und wieder bekomme:
Screenshot 2016-03-21 23.53.45.png
Wer auf so etwas reinfällt
s_076.gif


@Vomit: Beim Versuch eine .js (die zu einem Firefox-Addon gehört) Auszuführen hab ich gerade einen Fehler von "Windows Script Host" bekommen...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz