News Krypto-Trojaner: Locky weiterhin auf dem Vormarsch

Anmeldeblödsinn schrieb:
Du hast auf dein Profil Zugriff (das wird auch als erstes vn Locky beackert, auf %temp% und in all users, documents . Mehr nicht.
Ja ne, ist klar. :rolleyes:

Wenn das Programm nicht gerade aus dem vorigen Jahrtausend stammt, schreibt Windows vor die Daten im Userprofil unter %appdata% zu speichern. Daran halten sich eigentlich fast alle Programme.
Mal davon abgesehen, daß auch das eine völlig bescheuerte Praxis ist (zumal manche im Unterordner Roaming arbeiten, andere wiederum in Local), legen leider sehr viele Programme auch noch Dinge in der Registry und im "Dokumente" Ordner ab.
Einige machen auch extra noch mal einen Ordner unter C:/Program Files/. :freak:

Das ist mega-unübersichtlich und nervig.
Ist natürlich vor allem Schuld der jeweiligen Entwickler. Aber auch Schuld von MS, die das so vorgesehen haben.
Man hätte irgendwann mal festlegen sollen, daß Programme ihre Settings (bzw. Savegames) in ihrem eigenen Ordner speichern und sonst nirgendwo.
 
Basti__1990 schrieb:
auf alle fälle können gemountete Laufwerke verschlüsselt werden.
Bei Freigaben gibt es bisher unterschiedliche aussagen, soll wohl aber auch schon vorgekommen sein.

Schützen kannst du dich mit Backups (die eben nicht verbunden sind).
Ansonsten eben sehr kritisch bei E-Mail Anhängen sein und im Browser eventuell JavaScript deaktivieren (zb mit NoScript).
Natürlich sollten Browser inklusive Add-Ons, Betriebssystem und Virenschutz immer auf dem neusten Stand

Locky geht nicht über Javascript im Browser sonder den Windows Script Host.

Schützen kann man sich über GPO`s, Applocker in Enterprise Versionen, und vieles mehr.
 
Gibt es nähere infos zu der infizierung über Webseiten?
Welche Browser, welche Lücke, welche Versionen...
 
Aktuell nur per email.

Um ihn einzufangen muss entweder word oder java installiert sein.

Nach dem anklicken des anhangs rechnung.doc werden makros geladen in word, diese werden nach %temp entpackt, sie enthalten eine vbs (visual basic) und eine bat datei und eine -83856sfg(random).temp datei, insgesamt sind es zwei bis drei dateien die dort erstellt werden, die .bat wird dort angelegt und per makro ausgeführt, diese lädt dann eine xyz.exe bei aktiver Internet Verbindung herunter und fängt mit dem verschlüsseln an.

Die bat datei ist verschlüsselt, die server per firewall zu sperren bringt nichts, die bleiben nicht lange online.

Weil
werden abgeschaltet oder machen zuviel traffic

Wie schützt man sich davor? ノ( º _ ºノ)

Emails mit anhängen sofort löschen! oder der Versuchung widerstehen zu klicken(・´з`・)
Den Anfang auszuführen.

Durch das unsichere Prinzip das Ultrawurst ansprach, greift die xyz.exe auf die Volumen Laufwerke zu und verschlüsselt alles was angeschlossen ist, konkret heißt, worauf der explorer Zugriff hat. -_-# Alles.
(Durch die weise wie windows funktionen ausführt, wird dort keine Lücke ausgenutzt)

Der code ist nichts besonderes , den hätte auch n Affe schreiben können, aber die Idee und Umsetzung ist wohl die beste für den jetzigen Zeitpunkt als noch mit 56k modem Zeiten und alten langsamen cpus.

Die RSA keys gehen an einen server der verschlüsselt ist Der download server ist unverschlüsselt und in der .bat einsehbar. Deswegen bin ich schon der Meinung dass jeder der bezahlt seine Daten wieder sieht, es deutet vieles darauf hin. (Aber ich weiß es nicht.
Dazu musste man erstmal das script entschlüsseln. )

Außer eine firewall blockt die verbindung und hintert diese bei dem abschicken des keys in dem fall könnte dieser irgendwo abgelegt worden sein und sich lokal noch auf der Festplatte befinden? Wenn man die exe killt bevor sie fertig verschlüsselt hat und den cache löschtlössin, sind die vermutlich für immer verschlüsselt.

Entweder wird zum verschlüsseln die sysinfo abgerufen um eine einmalige id der hardware zu erstellen oder es wird zufällig verschlüsselt.
Ich denke das erstere, weil, wie sonst soll der erpresser den Schlüssel der richtigen Hardware wieder zuweisen? Denn ips sind im kundenpool dynamisch ud meist nur in Unternehmen statisch?
 
Hallo zusammen,

ich werfe einfach mal in den Raum, dass man die Schadsoftware wahrscheinlich per Applocker an der Ausführung hindern kann:

Capture1.PNG
Capture2.PNG
Capture3.PNG
Capture4.PNG
Capture5.PNG

Grüße
 
DarkStarXxX schrieb:
Emsisoft Internet Security erkannte die Dinger von Tag 1.

Naja, die Frage ist, erkannt das Programm den Downloader oder erst Locky selber?
Ich hab aus der Sophos UTM Quarantäne mal die aktuellsten Varianten in .dic und .xls auf meinen PC geladen und auf dem Desktop gespeichert, kamen folgende Treffer durch die Sophos Enduser Security:

https://www.sophos.com/en-us/threat...spyware/Troj~DocDl-BGU/detailed-analysis.aspx
https://www.sophos.com/de-de/threat...spyware/Troj~DocDl-BGG/detailed-analysis.aspx
https://www.sophos.com/de-de/threat...spyware/Troj~DocDl-BGD/detailed-analysis.aspx

Also quasi tägliche frische Varianten. Dabei handelt es sich immer um das Makro, nicht um Locky selber.
Müssen natürlich nicht zwangsläufig Locky herunterladen.

Die Sophos SG115 hat selber keinen Scangemacht, da die Datei aufgrund der Filterregel direkt in der Quarantäne landet.
 
Crazy_Bon schrieb:
Ist denn nicht das eigentliche Problem eher der Computernutzer, der bedenkenlos irgendeine angehängte Datei aus einer Email ausführt?

Wa, wa, wa waas? Na... Nachdenken? Nehehein! Das kannst du doch nicht erwarten.

Aber mal ernsthaft:
Als Privatperson, klar. Man öffnet keine Anhänge, die man nicht kennt. Aber in nem großen Unternehmen, wenn man die Datei "Rechnung" nennt, kann man als Mitarbeiter in der Finanzabteilung nicht jede Mail überprüfen, ob die Transaktion wirklich stattgefunden hat, also macht die Rechnung halt auf und puff! Locky.
 
Crazy_Bon schrieb:
Ist denn nicht das eigentliche Problem eher der Computernutzer, der bedenkenlos irgendeine angehängte Datei aus einer Email ausführt?

ja...weil jeder mit seinem privaten gerät ohne jegliche grundbildung ins netz darf...das nichtausführen von dateianhängen aus unbekannten quellen propagiere ich schon seit ich denken kann, werde aber immer wieder komisch angeschaut, wenn ich wieder mal ne kiste reparieren soll, wo genau das die ursache war...
das weiterleiten socher spam-mails gehört dann gleich an zweiter stelle...
und was die verbreitungsmöglichkeiten über office-dateien betrifft, da ist einzig und allein winzigweich mit ihrem wohl nicht mehr fixbaren office verantwortlich...ist eine lücke gefixt, dann wird ne neue oder gar wieder ne alte ausgenützt...
auch darum kommt mir dieser mist nicht auf den rechner...
 
Gandalf2210 schrieb:
Gibt es nähere infos zu der infizierung über Webseiten?
Tolle, kostenlose Downloads oder Crack XY sind bestimmte gute Wege. Ansonsten kann man sicherlich die Meisten erreichen indem die Verbreitung über Schadsopftware in der Werbung gemacht wird.




von Schnitzel schrieb:
Ich merke es schon bei mir selbst, dass ich aus Unachtsamkeit, oder weil ich gerade mit den Gedanken wo anders bin ...
Was nix anderes bedeutet, als dass man lediglich auf Brain.exe setzt.
 
Zuletzt bearbeitet:
moshimoshi schrieb:
Der download server ist unverschlüsselt und in der .bat einsehbar. Deswegen bin ich schon der Meinung dass jeder der bezahlt seine Daten wieder sieht, es deutet vieles darauf hin.
Der Downloadserver spielt so ziemlich keine Rolle, da es sich ohnehin um einen gehackten Server handelt.
 
Mal eine andere Frage, das Verschlüsseln sollte doch recht lange dauern, auch mit aktuellen Quadcores, wenn es wirklich so hohe Verschlüsselung ist, wie vom Erpresser angegeben, oder nicht?
 
Wenn er die AES-NI etc Befehlssätze nutzt (wenn vorhanden), dürfte das quasi im Hintergrund laufen ohne das der User Leistungseinbusen hat und so evtl schon vorher aufmerksam wird. Dadurch dürfte die dauer eher unwichtig sein - bis es der User merkt ist es zu spät.
 
Zuletzt bearbeitet:
Ok, das war mir nicht bewusst. Ich erinner mich nur an Zeiten von TrueCrypt, da hat das Verschlüsseln erstmalig schon ewig gedauert.
Ab wann sind denn die Befehlssätze in Desktop-Mainstream CPUs integriert? Seit Sandybridge?
 
Bei AES-128 benötigt man kein AES-NI, um die Datenrate heutiger Festplatten bzw. SSDs zu überschreiten (bereits der i7-920 schafft in TrueCrypt über 400 MB/s). Außerdem verschlüsseln die Trojaner meist nicht die vollständige Datei, sondern nur Teile um Zeit zu sparen - ob das bei Locky auch noch so ist, kann ich jedoch nicht garantieren.
 
Wie verhält es sich mit Dateien, die im Sync-Ordner von zB Dropbox, OneDrive oder GoogleDrive liegen? Sind nur die lokalen Elemente betroffen, oder werden durch die automatische Syncronisation auch die Elemente in der Cloud verschlüsselt?
 
Selbst bei AES 256 ist die Dauer überschaubar..-hab es gerade mal mit 7zip getestet. Dokumenten Ordner mit ca 420 MB verschlüsselt, 1 Thread, keine Kompression, sehr langes Passwort.
Dauer von 5 Sekunden.. und mein x6 t1055 hat definitiv kein AES..

Probiers doch mal aus verschlüssel die Daten im Sync Ordner mit 7zip ohne jetz die anderen zu löschen - dürften aber ohne zu murren gesynct werden, da ja neue Daten erstellt wurden, und beim löschen das gleiche. Nur dürftest du die gelöschten Daten noch im Papierkorp der Cloud haben - wenn vorhanden.


@Simpson474

Wie meist du das mit einen Teil - wird dann direkt die Datei bzw ein Bestandteil selbst verschlüsselt ? Ich kannte das bisher so das eine Kopie erstellt wird und die ist verschlüsselt .Das Original wird "sicher" gelöscht.
 
Zuletzt bearbeitet:
Kann man die Verschüsselungs-Befehlssätze der CPU nicht deaktivieren, wenn man sie nicht benötigt?
 
xamoel schrieb:
Kann man die Verschüsselungs-Befehlssätze der CPU nicht deaktivieren, wenn man sie nicht benötigt?

Die Befehlssätze beschleunigen nur, sind aber in der Regel nicht essentiell, d.h. es geht auch ohne (wenn die Erweiterungen nicht gefunden werden, dann wird halt nur über Software verschlüsselt). Außerdem ver- und entschlüsselt dein Rechner permanent, ohne dass du es direkt merkst, dein Browser zum Beispiel. Das Abschalten würde eher negative Folgen haben als positive.
 
Zuletzt bearbeitet:
Ich verstehe nicht warum solche Erpresser so lange unerkannt ihr Unwesen treiben können. Das Geld lässt sich doch verfolgen.
Was hindert die Polizei des jeweiligen Heimatlandes daran diese Malwareschmieden zu Sprengen? Oder sitzen die alle in Nordkorea?
 
M@rsupil@mi schrieb:
Was nix anderes bedeutet, als dass man lediglich auf Brain.exe setzt.

Ich weiß jetzt nicht, ob das positiv oder negativ gemeint war, aber das passiert mir ja nicht permanent - lass es ein bis zwei mal im Jahr sein. Bei Mails hab ich immer aufgepasst.
 
Zurück
Oben