Aktuell nur per email.
Um ihn einzufangen muss entweder word oder java installiert sein.
Nach dem anklicken des anhangs rechnung.doc werden makros geladen in word, diese werden nach %temp entpackt, sie enthalten eine vbs (visual basic) und eine bat datei und eine -83856sfg(random).temp datei, insgesamt sind es zwei bis drei dateien die dort erstellt werden, die .bat wird dort angelegt und per makro ausgeführt, diese lädt dann eine xyz.exe bei aktiver Internet Verbindung herunter und fängt mit dem verschlüsseln an.
Die bat datei ist verschlüsselt, die server per firewall zu sperren bringt nichts, die bleiben nicht lange online.
Weil
werden abgeschaltet oder machen zuviel traffic
Wie schützt man sich davor? ノ( º _ ºノ)
Emails mit anhängen sofort löschen! oder der Versuchung widerstehen zu klicken(・´з`・)
Den Anfang auszuführen.
Durch das unsichere Prinzip das Ultrawurst ansprach, greift die xyz.exe auf die Volumen Laufwerke zu und verschlüsselt alles was angeschlossen ist, konkret heißt, worauf der explorer Zugriff hat. -_-# Alles.
(Durch die weise wie windows funktionen ausführt, wird dort keine Lücke ausgenutzt)
Der code ist nichts besonderes , den hätte auch n Affe schreiben können, aber die Idee und Umsetzung ist wohl die beste für den jetzigen Zeitpunkt als noch mit 56k modem Zeiten und alten langsamen cpus.
Die RSA keys gehen an einen server der verschlüsselt ist Der download server ist unverschlüsselt und in der .bat einsehbar. Deswegen bin ich schon der Meinung dass jeder der bezahlt seine Daten wieder sieht, es deutet vieles darauf hin. (Aber ich weiß es nicht.
Dazu musste man erstmal das script entschlüsseln. )
Außer eine firewall blockt die verbindung und hintert diese bei dem abschicken des keys in dem fall könnte dieser irgendwo abgelegt worden sein und sich lokal noch auf der Festplatte befinden? Wenn man die exe killt bevor sie fertig verschlüsselt hat und den cache löschtlössin, sind die vermutlich für immer verschlüsselt.
Entweder wird zum verschlüsseln die sysinfo abgerufen um eine einmalige id der hardware zu erstellen oder es wird zufällig verschlüsselt.
Ich denke das erstere, weil, wie sonst soll der erpresser den Schlüssel der richtigen Hardware wieder zuweisen? Denn ips sind im kundenpool dynamisch ud meist nur in Unternehmen statisch?