News Krypto-Trojaner: Locky weiterhin auf dem Vormarsch

[Simpson474]

Wie meist du das mit einen Teil - wird dann direkt die Datei bzw ein Bestandteil selbst verschlüsselt ? Ich kannte das bisher so das eine Kopie erstellt wird und die ist verschlüsselt .Das Original wird "sicher" gelöscht.

Zumindest die ersten Generationen von Verschlüsselungstrojanern verschlüsselten in-place, also ohne Kopie - es wurden dabei jedoch nur die ersten paar KB bis MB verschlüsselt. Bei den meisten Dateien ist ein solches Verfahren absolut ausreichend, da diese anschließend nicht rekonstruiert werden können.

 

[IRON67]

Ich verstehe nicht warum solche Erpresser so lange unerkannt ihr Unwesen treiben können. Das Geld lässt sich doch verfolgen.
Was hindert die Polizei des jeweiligen Heimatlandes daran diese Malwareschmieden zu Sprengen? Oder sitzen die alle in Nordkorea?

Wenn sich "Hans Schmidtgruber" aus "Germoney" einen Cryptotrojaner einfängt, müssten - falls er überhaupt so verwegen ist, Anzeige zu erstatten, damit ermittelt werden kann, erstmal deutsche Behörden aktiv werden, bevor Behörden anderer Länder involviert werden. Schon am ersten wird es scheitern, am zweiten ganz sicher, denn Polizei und Staatsanwalt haben wichtigere Fälle zu bearbeiten als Millionen Onlinebetrugsfälle und Bitcoinabzocke.

Als nächstes sind die Kriminellen keine Ziegenhirten, die in hohlen Baumstümpfen wohnen, sondern straff durchorganisierte internationale Banden und die wissen, wie man den Weg des Geldes verschleiert. Selbst wenn die in Bonn hocken würden, würde man sie nicht so bald finden. Diejenigen, die ab und zu mal auffliegen, werden meist aus den eigenen Reihen verraten.

 

[boncha]

Ich verstehe nicht warum solche Erpresser so lange unerkannt ihr Unwesen treiben können. Das Geld lässt sich doch verfolgen.
Was hindert die Polizei des jeweiligen Heimatlandes daran diese Malwareschmieden zu Sprengen? Oder sitzen die alle in Nordkorea?

Bitcoin. Du zahlst einen Betrag an Adresse A, diese wird vom Betreiber von Adresse A an Adresse B überwiesen, der Adresse des Erpressers.
Es gibt somit keinen Nachweisbaren Zusammenhang zwischen A und B, da Betreiber A an allemöglichen Leute Überweisungen tätigt und nur als Proxy agiert.

Keine Namen, Keine Länder, Keine Institute, so einfach ist das.

 

[DaRool]

hier mal was von heise zu dem thema:

Entweder der Krypto-Trojaner verschlüsselt die Platte oder Virenscanner und Updates nerven: Wer produktiv arbeiten will, sollte Nägel mit Köpfen machen und Windows endlich den Rücken kehren, findet Fabian Scherschel.

Windows-Anwender leben in Angst: Jeder Klick birgt die Gefahr, das Betriebssystem mit hinterhältigen Viren und Trojanern zu verseuchen. Und dabei könnte alles so viel einfacher sein – Linux ist kostenlos und funktioniert einfach besser. Wer mit seinem Rechner jeden Tag produktiv sein muss, kann es sich eigentlich gar nicht leisten, mit Windows zu arbeiten.

Stündlich werden tausende von Windows-Rechnern verschlüsselt, weil der Anwender auf den falschen Link geklickt hat oder irgendwo ein Update nicht eingespielt wurde. In Krankenhäusern müssen Operationen verschoben werden und hilflose Nutzer zahlen tausende von Euro an Lösegeld für ihre eigenen Daten. Was muss eigentlich noch passieren, bis die drangsalierten Massen ein Einsehen haben und dieser Software-Ruine den Rücken kehren?

Wacht auf, Verdammte dieser Erde

Klar, man kann und sollte einen Virenscanner einsetzen. Aber mal Hand auf's Herz: Wer gibt dafür schon gerne Geld aus? Mal ganz davon abgesehen, dass die Scanner oft eigene Lücken mitbringen, ist aktuelle Anti-Viren-Software nicht genug. Überall müssen Updates eingespielt werden. Im Gegensatz zur komfortablen Paketverwaltung in den meisten Linux-Distributionen ist das bei Windows schon fast ein Vollzeit-Job. Und wenn man wirklich Pech hat, ist die ganze Arbeit dennoch umsonst und der eigene Rechner wird trotz aktuellem Scanner und den ganzen Updates über den neuesten Zero Day in Office zum Zombie.

Langsam wird das Windows-Leben ganz schön ungemütlich. Werbe-Popups konnte man ignorieren und beim Banking-Trojaner zeigte sich das Geldinstitut oft noch kulant. Aber Krypto-Trojaner treffen uns da wo's weh tut: In den ungeschützten, nackten, ungebackupten Daten. Microsoft, Adobe, Oracle und die AV-Hersteller beweisen seit Jahren, dass sie diesem Ansturm nicht Herr werden. Es wird Zeit, endlich die Konsequenzen zu ziehen.

Auf Linux laufen meine Spiele langsamer und ich hab keine Kacheln und kein Office mit Kontext-abhängigen Menüleisten. Dafür sind meine Daten sicher und ich kann arbeiten, während die Windows-Nutzer überlegen, wie sie jetzt ganz schnell an die Bitcoins für das Lösegeld kommen. (fab)

Quelle: http://www.heise.de/newsticker/meld...ows-ist-ein-Sicherheits-Albtraum-3112837.html

 

[Boatada]

Schon klar. Lieber einen kleinen Pfuscher (Steuerhinterzieher) Verfolgen als millionenfache Erpresser. Ob nun Germoney oder ÖstlichReich macht da keinen Unterschied.

 

[IRON67]

hier mal was von heise zu dem thema:

Ja, die doch arg einseitigen und trollverdächtigen Auslassungen eines Fabian Scherschel waren schon in einem anderen Thread Thema. Dieser Artikel bringt niemanden weiter.

 

[R4ID]

Was macht Locky wenn meine SSDs bereits verschlüsselt sind via BitLocker ?

Doppel verschlüsseln oder wie kann ich mir das Vorstellen

 

[Cardhu]

Ich hätte da ein, zwei Fragen:
Kann Locky auch Netzwerkfreigaben sowie Gemountete Netzlkaufwerke verschlüsseln? Wie kann ich mein NAS schützen? Über ein VirtualMachine mounten und auf Netzwerk zugreifen?
Ist Linux betroffen?

Verschlüsselt alles was es im Netzwerk findet. Wenn nicht gemapt, macht er das auch sehr produktiv selbst, sofern möglich.
In ner Firma um die Ecke haben es 2Mitarbeiter geschafft so eine eMail zu öffnen. Backup von allem zurückgespielt und gut war. Aber schon heftig, was das Teil kann

 

[Chibi88]

OS X ist schon was feines.

 

[boncha]

Was macht Locky wenn meine SSDs bereits verschlüsselt sind via BitLocker ?

Doppel verschlüsseln oder wie kann ich mir das Vorstellen

Im laufenden Betrieb sind sie entschlüsselt, Locky hat da trotzdem vollen Zugriff drauf.
SemperVideo hat übrigens ein Video zu Locky und Cloud speicher gemacht:

https://www.youtube.com/watch?v=gdMN4pZG-a8

Dropbox und Google Drive wird auch verschlüsselt. Bis auf bestimmte Verzeichnisse in C: und bestimmte Dateiendungen wird alles verschlüsselt was geht

 

[hrafnagaldr]

Was macht Locky wenn meine SSDs bereits verschlüsselt sind via BitLocker ?

Doppel verschlüsseln oder wie kann ich mir das Vorstellen

Natürlich kann das wieder verschlüsselt werden. Genauso wie Du eine ZIP-Datei nochmal zippen kannst, ein Paket nochmal verpacken etc.
Außerdem ist das Volume ja gemountet. während man sich Locky runterlädt, dann sieht der auch alles unverschlüsselt.

 

[Yuuri]

@ D3Lt4: Ja fein und geflissentlich ignorieren, dass der Artikel selbst bereits in den Kommentaren nur so niedergemacht wird, weil kein einziges Wort darin stimmt. Typischer Trollkommentar und die dummen (ja, dummen) Linux-User nutzen dies als "Argumentation" für sich, dass Linux sicher sei. Aber was will man noch da schreiben, die eifrigen Linux-Fanboys haben überhaupt keine Ahnung, um was es bei Locky überhaupt geht. Hauptsache man kann missionieren und der eigentliche Grund der Debatte (dass der User wildfremd alles erlaubt) wird vollkommen ignoriert. Es geht nur noch um die Missionierung des "freien" Linux. Das freie Linux allerdings fliegt genauso auf die Fresse, wenn es entsprechendes Shell-/PHP-/Perl-/Ruby-Skript ausgeführt wird.

Ach was reg ich mich über Trollposts eigentlich auf... >.<

OS X ist schon was feines.

Dein OS X legt genauso mit der Verschlüsselung los, wenn man es ihm sagt. Wieder fein am Thema vorbei.

 

[hrafnagaldr]

hier mal was von heise zu dem thema:

Vollkommen belangloser Trollkommentar. 80% meiner Kunden könnten nicht mit Linux arbeiten, weil denen da schlichtweg die Anwendungen fehlen. Gerade bei Schulen gibts im Verwaltungsbereich fast keine entsprechende Software. Und die Leute sind die, die als erstes alles anklicken.

Bei einem von Locky befallenen Kunden fallen mir spontan sechs Anwendungen ein, die nicht unter Linux verfügbar sind. Einzige Lösung wäre reiner Betrieb am Terminalserver, da kann man natürlich Linux Clients verwenden

Abgesehen davon ist Locky ebenso für Linux möglich, nur eben ist die Zahl potentieller Opfer nicht relevant für einen Erpresser.

 

[Andi07]

Hallo zusammen!

Ich habe erst angefangen mir die Kommentare durchzulesen.

Jetzt mal vielleicht etwas naiv gefragt, was passiert denn wenn man z.B. so eine Word-Datei mit gekappter Internetverbindung also Offline öffnet?

Man stellt z.B. fest, die Word-Datei steht in keinem Zusammenhang mit etwas was vielleicht erwartet wurde und löscht diese Datei. Nun stellt man die Internetverbindung wieder her.

Wird das System an anderer Stelle schon bei der Offline-Öffnung schon so verändert, bzw. ergänzt, dass die Ransomware trotzdem nachgeladen wird, obwohl man das Word-Dokument gelöscht hatte?

Wenn man aber denkt, das Word-Dokument ist wichtig, reicht es aus, z.B. Dokumente, nur Offline zu öffnen? Danke!

Gruß Andi

 

[Chibi88]

Ach was reg ich mich über Trollposts eigentlich auf... >.<


Dein OS X legt genauso mit der Verschlüsselung los, wenn man es ihm sagt. Wieder fein am Thema vorbei.

Ja, wenn ich FileVault2 selber aktiviere.

 

[boncha]

Wenn man aber denkt, das Word-Dokument ist wichtig, reicht es aus, z.B. Dokumente, nur Offline zu öffnen? Danke!

Gruß Andi

Auch dazu gab es von SemperVideo einen Beitrag.
Es müssen erst Dateien nachgeladen werden, offline funktioniert Locky nicht. Du wirst dann eine Fehlermeldung erhalten und kannst entsprechend reagieren.
Also ja, offline öffnen funktioniert, allerdings ist das keine Garantie. Neue Versionen könnten in Zukunft ev. genau das prüfen und schlafen dann solange, bis eine Verbindung besteht.
Besser wäre eine Virtuelle Maschine, aus der kann er nicht ausbrechen und wenn da was passiert ... wen interessierts.

Vor Locky schützt nur:
- Kopf einschalten
- Backups
- Makros in Word deaktivieren
- ScriptBlocker im Browser
- Nochmals Kopf einschalten, nicht einfach irgendwelche Dateien runterladen und ausführen

 

[syntax868]

Wie verhält es sich mit Dateien, die im Sync-Ordner von zB Dropbox, OneDrive oder GoogleDrive liegen? Sind nur die lokalen Elemente betroffen, oder werden durch die automatische Syncronisation auch die Elemente in der Cloud verschlüsselt?

Wenn die Dateien in der Cloud verschlüsselt werden, kannst Du sie über die Vorgängerversion wiederherstellen. Bei Dropbox geht das soweit mir bekannt ist mit der kostenfreien Version nur Dateiweise, bei der bezahlversion lassen sich dann wohl mehrere Dateien gleichzeitig wiederherstellen. Es ist also nicht ganz so gravierend, maximal etwas aufwändig (wäre es bei einem lokalen Backup allerdings auch).

https://www.dropbox.com/de/help/11#web

 

[VikingGe]

Kann man die Verschüsselungs-Befehlssätze der CPU nicht deaktivieren, wenn man sie nicht benötigt?

Das einzige, was sich dadurch ändern würde, falls der Virus überhaupt AES-NI nutzt, ist, dass er nicht nur 5% CPU-Last erzeugt, sondern vielleicht 20%.

Bei der AES-Verschlüsselung in Truecrypt schafft mein alter Phenom ohne AES-NI etwas mehr als 1GB/s, auf einem Kern knapp 200 MB/s. Der Sinn der AES-Befehlssätze ist nicht, da irgendwas schneller zu machen, sondern die Last und den Stromverbraucht zu reduzieren, wenn man ein vollverschlüsseltes System nutzt.

 

[rudi_91]

Ich hab auch mal ne Frage:

ich hab ne Firewall am laufen die mich immer fragt wenn was aufs Internet/Netzwerk zugreifen will. Nutzt so ein Makro die erlaubte Word-Internetverbindung oder würde ich da nochmal extra befragt?
Die Firewall ist so eingestellt dass sie alles Fragt bis auf die Regeln die ich erstellt habe. Also kein Hersteller verstrauen durchnicken

 

[GinoBambino]

Gibt es Informationen darüber, woher Locky kommt? Irgendwelche Hobby-Hacker im Teenager-Alter können unmöglich so etwas Professionelles in der kurzen Zeit auf die Beine stellen.