News Krypto-Trojaner: Locky weiterhin auf dem Vormarsch

GinoBambino schrieb:
Gibt es Informationen darüber, woher Locky kommt? Irgendwelche Hobby-Hacker im Teenager-Alter können unmöglich so etwas Professionelles in der kurzen Zeit auf die Beine stellen.

Hat denn irgendwer sowas behauptet? Moderne Malware kommt seit Jahren sehr professionell daher - mittlerweile inkl. Partnerprogramm und umfangreichem Kundenservice. Sehr oft ist Russland die Quelle. Kann aber ebenso gut auch irgendwo aus Asien stammen oder direkt in der Nachbarschaft. Spielt doch keine Rolle.
 
VikingGe schrieb:
Der Sinn der AES-Befehlssätze ist nicht, da irgendwas schneller zu machen, sondern die Last und den Stromverbraucht zu reduzieren, wenn man ein vollverschlüsseltes System nutzt.

Ersteres stimmt so definitiv nicht. OpenSSL beispielsweise profitiert massiv von aktiviertem AES-NI, bei unseren aktuellen Intel-Servern je nach Szenario um den Faktor 2 bis 6.

Wenn du selbst ohne AES-NI nur 20% Auslastung hast, sollte dir eigentlich klar sein, dass bei dir die CPU sowieso nicht der Flaschenhals ist. Da ist die Geschwindigkeit mit aktiviertem AES-NI natürlich genau die gleiche.
 
moshimoshi schrieb:
Aktuell nur per email.


und zwar Locky! Das ist aber nicht das einzige ransom-Problem: Stichwort TeslaCrypt


Zitat:
Bislang sah es so aus, als würde TeslaCrypt vor allem via E-Mail verteilt. Versehentlich geöffnete Word-Dateien mit bösartigen Makros waren ein übliches Infektionsszenario. So konzentrierten sich viele zu ihrem Schutz auf den Mail-Eingang. Das könnte fatale Folgen haben; denn mittlerweile kann man sich den Erpressungs-Trojaner auch beim Surfen einfangen.

Der Schädling lauert dabei auf scheinbar harmlosen Seiten und nutzt Sicherheitslücken in Windows beziehungsweise der installierten Software aus, um aktiv zu werden.


http://www.heise.de/security/meldun...-Erpressungs-Trojaner-TeslaCrypt-3114184.html
 
crvn075 schrieb:
Ersteres stimmt so definitiv nicht. OpenSSL beispielsweise profitiert massiv von aktiviertem AES-NI, bei unseren aktuellen Intel-Servern je nach Szenario um den Faktor 2 bis 6.
Richtig, das ist auch der Grund, warum manche Webserver je nach Client entweder chacha20_poly1305 oder AES zur Verschlüsselung auf dem Transportweg nutzen.
AES ist mit AES-NI schneller als chacha20_poly1305 ist schneller als AES ohne AES-NI
 
Trollseidank, ja das stimmt, den Möglichkeiten sind keine Grenzen gesetzt.


Jetzt mal vielleicht etwas naiv gefragt, was passiert denn wenn man z.B. so eine Word-Datei mit gekappter Internetverbindung also Offline öffnet?

Der payload wird immer extern runter geladen, Sonst würde ein viren scanner den Anhang identifizieren.

Bei gekappter Verbindung passiert nichts.
Du kriegst eine Meldung das xyz.exe nicht gestartet werden kann, der Pfad, ist immer der %temp ordner unter %appdata%
 
Boatada schrieb:
Ich verstehe nicht warum solche Erpresser so lange unerkannt ihr Unwesen treiben können. Das Geld lässt sich doch verfolgen.

ja DAS ist das große Problem.
diese ransom Szene ist nicht neu sondern laut heise
http://www.heise.de/thema/Ransomware?seite=2

seit Anfang 2009 aktiv!
sprich seit 7 Jahren und sie perfektionieren ihre Angriffe immer weiter. Und zwar auf das, was DEINEN von MEINEM PC unterscheidet. Unsere persönlichen Daten.
Eine news schlimmer als ne andere. unfassbar

siehe cb news
" Bereits jetzt sind von Locky über 60 Modifikation bekannt und die Tendenz ist weiterhin steigend."
https://www.computerbase.de/2016-02/krypto-trojaner-locky-weiterhin-auf-dem-vormarsch/
 
Zuletzt bearbeitet:
Heise tut ja geradeso als ob sie Malwarebytes ganz neu entdeckt hätten, dabei ist es seit gut 10 Jahren eines der häufigst empfohlenen Tools zum 'drüberchecken'. Der Artikel (dort) ist einfach nur peinlich, die Tipps völliger nonsens. Wo nix raus kann kann auch nix rein. Aus die Maus. Echtzeit-Scanner sind was für Pappnasen. Es darf auf "Einzelplatzrechnern" garnicht soweit kommen, dass so ein Tool anschlagen muss. imho Ich lasse gern alle par Monate malwarebytes antimalware durchlaufen aber ein weiteres Echtzeittool, Browserplugin oder sonstwas für zusätzliche Einfallswege - nein danke. Das wäre so wie den Teatimer von S&D zu nutzen. Hohles Genoobe. Außerdem versteckt sich der Virus nicht in der batch-Datei. Wenn ich sowas schon lesen muss... außerdem zum 2. öffnet man jede unbekannte betch erstmal mit dem Editor bzw. löscht sie gleich. Gleiches Problem. Wenn die Datei auf Festplatte gelandet ist, liegt der Fehler eindeutig woanders. -> Wie kann es sein, dass der Scripting-Host ungefragt Dinge aus dem WAN lädt? Hier passiert sowas nicht egal ob es ein Gast oder Admin ausführt und ich nutze dazu nur simple aufgebohrte Windows-Boardmittel sprich die eingebaute SW-Firewall und als Creme den Defender mal von einem gepflegten Backup, dass in 10 Minuten komplett zurückgespielt ist ganz abgesehen. Das ist auch kein Prollen von mir. Pures Mitleid und echte Schadenfreude! Aber wer WordPress und MS Office nutzt obendrein wildfremde batchdateien herunterladen lässt und ausführt weiß ja eh alles noch besser... selber Schuld! ;)
 
iN00B schrieb:
Heise tut ja geradeso als ob sie Malwarebytes ganz neu entdeckt hätten, dabei ist es seit gut 10 Jahren eines der häufigst empfohlenen Tools zum 'drüberchecken'.

Nein. Das hast du falsch verstanden. Es geht in dem Artikel keineswegs um das bekannte MBAM, sondern um ein speziell auf die Entdeckung von Cryptomalware ausgerichtetes Tool, das noch in der Beta-Phase steht.

...einfach nur peinlich, die Tipps völliger nonsens. ... was für Pappnasen....Hohles Genoobe. ...Wenn ich sowas schon lesen muss...Das ist auch kein Prollen von mir.

Nö, natürlich nicht. Sondern ganz was anderes.
 
Zuletzt bearbeitet:
Ich habe es schonmal irgend wann erwähnt.
Genau durch diese Leute die Solche Software wie Locky freisetzen wird das Internet irgend wann komplett überwachte.
Jede Datei jedes Programm jede E-mail wird geprüft und sichtbar bevor sie dann weiter geleitet wird.
Danke an diese leute die sowas machen.
Und spätestens dann wird der Internet boom stark nachlassen.:mad:
 
Godspeed0 schrieb:
Genau durch diese Leute die Solche Software wie Locky freisetzen wird das Internet irgend wann komplett überwachte.
...Und spätestens dann wird der Internet boom stark nachlassen.:mad:

Leute die Malware verteilen, wollen Geld verdienen. Weiter nichts. Grüß mir den plasmatischen Aluhut.
 
Ersteres stimmt so definitiv nicht. OpenSSL beispielsweise profitiert massiv von aktiviertem AES-NI, bei unseren aktuellen Intel-Servern je nach Szenario um den Faktor 2 bis 6.
Die Verschlüsselung selbst wird unter den bestmöglichen Bedingungen 2 bis 6x so schnell, also wenn man alle Daten im RAM hat und man auch nur in den RAM schreibt, um die Daten dann gleich wieder zu verwerfen. Aber welche Auswirkungen hat das bei euren Servern in der Praxis? Welchen Anteil hat die AES-Verschlüsselung an der Gesamtlast? Ernst gemeinte Fragen.
 
Godspeed0

Das "Netz" wird jetzt schon komplett überwacht.

Das prüfen und weiterleiten, wer würde das übernehmen und wieso sollte man das machen? Das ist eine interessante Idee aber wie sollte sich das ganze Projekt finanzieren lassen und welcher investor würde das, aus welchem Grund machen wollen?

Jede Email prüfen? Da könnte es viele false positives geben, den ein script oder eine batch datei ist nicht immer gleich gefährlich. Der Übeltäter wird erst später nachgeladen.

Wie erklärt man das denn Kunden?

Abgesehen davon, schau dir mal die ganzen call center agenten an, wer hält sie davon ab dich nicht anzurufen und dir was anzudrehen? Niemand.

Man wählt eine Nummer, die geht über nen switch, über dein Verteiler zu dir, und lässt deine Telefon Anlage klingeln, du nimmst ab und schon bist du infiziert, und das Verkaufs Gespräch kann beginnen. Ó( ° △ °|||)

Da Bedarfs keine maleware, den die sind so schlimm wie die malware selbst.

Technisch gesehen auf dem aktuellen Stand bezogen, Nein das wird nicht eintreffen.

Da mussten hier schon Verhältnisse wie in nord korea herrschen d.h dass das ganze Internet komplett umgeroutet wird und nur 3-4 Behörden Seiten abrufbar sind

Das wird nie passieren, da bin ich ziemlich optimistisch. (~_^)
 
Zuletzt bearbeitet:
welches "viren" program ist da aktuell das "beste"? oder nützt da eh keins?
 
Mithos schrieb:
Im Fernsehen wurde von einem Restaurant Besitzer berichtet, der übers Arbeitsamt einen neuen Koch suchte. Eine Bewerbungsmail ging bei ihm ein, die im perfekten deutsch an ihn persönlich addressiert war. Inhalt der Mail war auch dementsprechend gestaltet mit Angaben zu Qualifikationen,....
Im Anhang sollte er dann den Lebenslauf etc. entnehmen und hat sich damit infiziert.

Man liest immer wieder, dass die Mails verdammt genau auf das Opfer abgestimmt gewesen ist. Das hat nichts mit den einfachen Mails im gebrochenen Englisch zu tun, die man sonst so sieht.

Und auf die täuschend echten PayPal emails falle ich zB auch nicht rein.
Nicht auf alles klicken!
 
Godspeed0 schrieb:
Genau durch diese Leute die Solche Software wie Locky freisetzen wird das Internet irgend wann komplett überwachte.
Jede Datei jedes Programm jede E-mail wird geprüft und sichtbar bevor sie dann weiter geleitet wird.
Danke an diese leute die sowas machen.

Ich dachte, dafür sei der "Terror" zuständig.
Aber vermutlich hast du recht, seit bald 15 Jahren immer den selben Vorwand vorzuschieben, wird wohl etwas auffällig, warum nicht mal so eine Gelegenheit am Schopfe packen.
 
pupsi11 schrieb:
welches "viren" program ist da aktuell das "beste"? oder nützt da eh keins?
das beste Virenschutz Programm gibt es nicht aber den derzeit wohl besten Schutz vor Locky und co bieten Hitman Pro: http://www.chip.de/downloads/Hitman-Pro_21842475.html das kompatibel ist mit jedem AV und das ein klassisches AV nicht ersetzt sowie Emsisoft Anti Malware: http://www.emsisoft.de/de/software/antimalware/ mit seiner Verhaltensüberwachung. Allerdings gibt es von Emsisoft Anti Malware auch den Klon Ashampoo Antivirus 2016(der unter der anderen GUI identisch ist zu EAM inkl. der Verhaltensüberwachung): https://www.ashampoo.com/de/eur/pin/0449/sicherheitssoftware/anti-virus für den es eine 180 Tage Promotion: https://www.ashampoo.com/frontend/r...9r0f36ajwdsvwm8ffjmspcbq3cqkj3&ref=linktarget gibt wenn man ein Ashampoo Konto hat oder sich eines anlegt.
 
könnte man da nicht gleich auf Emsisoft Internet Security gehen?
 
pupsi11 schrieb:
könnte man da nicht gleich auf Emsisoft Internet Security gehen?
Könntest du freilich aber brauchst du nicht. Genau genommen brauchst du nicht einmal eines der genannten Virenschutz Programme die auch keine 100% ige Garantie vor Locky und Konsorten sind wenn du Systembackups und wichtige persönliche Daten regelmässig auf eine USB Festplatte machst und diese nur dann einschaltest wenn du die eben dafür benutzt. Angenommen Locky würde sich jetzt bei mir runterladen und sein Verschlüsselungswerk anfangen, dann würde ich meine Paragon Boot CD einlegen, Kaltstart des PC's machen, dann die USB Festplatte einschalten und das Komplettbackup meiner 3 Partitionen mit der Paragon Boot CD einspielen. Dauert zwar 1 Stunde 10 Minuten aber dann wäre alles wieder da und nichts verschlüsselt und Locky wäre auch nicht da. Die Sache mit der USB Festplatte und den Backups ist zwar auch kein 100% iger Schutz aber man könnte zum Beispiel während das Backup unter Windows erstellt wird, das Internet abschalten oder das erstellen des Backups gleich mit der Boot CD machen.
 
Zurück
Oben