*Exploit-Kit liefert Schadcode in Bildern versteckt! -> (10.12.16 -> 13:45)

(Photo: Eset, Welivesecurity)

Das Exploit-Kit Stegano liefert seinen Schadcode codiert im Alpha-Kanal von Bildern. Dabei ist Stegano äußerst wählerisch bei seinen Opfern, berichtet die Anitviren-Firma Eset.

 


*Erpressungs-Trojaner: Locky setzt auf .zzzzz-Endung, Cerber geht in Version 5.0.1 um! -> (28.11.16 -> 14:05)

(Photo: Bleeping Computer)

Kriminelle sollen Berichten nach aktuell neue Versionen von Cerber und Locky verbreiten. Vorsicht: Viele Viren-Wächter springen offensichtlich noch nicht auf Cerber an.

 


The Week in Ransomware - November 25th 2016 - Locky, Decryptors, Cerber, Open Source Ransomware sucks, and More


*Ransomware späht Social-Media-Profile aus! -> (16.11.16 -> 16:35)

(Photo: proofpoint)

Ein neue Ransomware durchsucht die Festplatten der Nutzer nach Hinweisen, um eine individuelle Erpressungsbotschaft zu generieren. Auch auf dem Gerät hinterlegte Social-Media-Profile werden genutzt, um Nutzer zur Zahlung zu bewegen.


The Week in Ransomware - November 11th 2016 - NoobCrypt, FSociety, Gingerbread, and More!


The Week in Ransomware - October 28 2016 - Locky, Angry Duck, and More!


*Malware „Hicurdismos“ greift Windows-Systeme an! -> (30.10.16 -> 16:15)

Ein Freund wies mich heute darauf hin: "Die Malware „Hicurdismos“ treibt aktuell ihr Unwesen auf Windows-Systemen, weshalb Anwender insbesondere bei vermeintlichen Systemabstürzen sehr wachsam sein sollten". Danke für den Hinweis Harald!

„Hicurdismos“ verbirgt sich unter dem Deckmantel von Security Essentials. Im Rahmen einer Analyse konnte Microsoft ermitteln, dass das Tool eine falsche Security-Essentials-Version auf dem infizierten System installiert und sich auf diese Weise Zugriff auf den Rechner verschafft. Wer solch eine Meldung bekommt sollte keinesfalls etwas downloaden. Darin befindet sich nämlich der wirkliche Schädling der Euren Rechner sperrt und nur nach dem Anruf der Telefonnummer in dem Bluescreen angeblich wieder freigegeben wird. Typische Ransomware also.

Mein Tipp: Installiert Euch z. B. Emsisoft Emergency Kit (EEK) auf einen USB-Stick und scannt damit Euren Rechner. Er entfernt die Malware. (Nach Download und vor dem Scan das Tool updaten!) Solltet  Ihr die Malware allerdings schon installiert haben hilft nur noch ein externes Medium wie z. B. Kaspersky Rescue Disc. Die beiden Scanner solltet Ihr Euch aber von einem sauberen PC eines Freundes runterladen bzw. brennen.


*MBRFilter-Tool soll Erpressungs-Trojaner daran hindern, Computer abzuriegeln! -> (25.10.16 -> 16:10)

(Photo: BleepingComputer)

Es gibt Ransomware, die sich nicht mit dem Verschlüsseln von Daten zufrieden gibt und auch den Master Boot Record befällt, um so Opfer von ihren Computern auszusperren. Ein neues Tool soll davor schützen.

Klick den Button für den Workaround!

Zum Download des Tools geht auf githubund ladet von dort entweder die 32- oder die 64BIT Version runter und installiert sie mit rechtsklick auf die MBRFilter.inf. Nach der Installation wird der Rechner neu gestartet und Euer MBR ist geschützt.

Um das Tool wieder zu deinstallieren geht nach dieser Beschreibung vor.

Der Hammer ist das es funktioniert. So wird der MBR nicht angegriffen oder verändert und man kann mit der eigentlichen 'Arbeit' beginnen. bt


The Week in Ransomware - October 21 2016 - MBRFilter, Click me Games, and More


*Erpressungs-Trojaner Cerber lernt dazu und verschlüsselt noch mehr! -> (06.10.16 -> 14:15)

(Photo: BleepingComputer)

Sicherheitsforscher warnen vor einer neuen Version der Ransomware, die nun unter anderem auch bestimmte laufende Prozesse beenden kann, um so Datenbanken in ihre Fänge zu bekommen.

 


*Erpressungstrojaner: Stampado verschlüsselt von Ransomware verschlüsselte Dateien! -> (17.09.16 -> 14:10)

(Photo:BleepingComputer)

Ein neuer Erpressungstrojaner hat eine besonders gemeine Taktik: Verschlüsselt werden Dateien, die bereits von anderer Ransomware verschlüsselt wurden. Zum Glück gibt es Abhilfe.

 


*Fabiansomeware – Wenn Hackern der Kragen platzt! -> (12.09.16 -> 19:05)

Cyberkriminalität gibt es schon so lange wie das Internet selbst. 2016 war jedoch wahrlich das Jahr der Ransomware. Wöchentlich kommen neue Versionsfamilien hinzu und das Emsisoft-Malware-Labor ist im täglichen Kampf dagegen ganz vorn dabei.

In einem Forum wurde gefragt ob das denn nun eine Ehre wäre für Fabian Wosar (Chefentwickler bei Emsisoft) oder ob es da nur einem massiv gestunken hat? Ich denke es ist beides. Gehen Fabian's Decryptertools doch dem einen oder anderen Malwareschreiber ziemlich auf den Senkel. Weiter so Fabian! bt


The Week in Ransomware - September 9th 2016 - CryPy, CryLocker, Philadelphia, and More


The Week in Ransomware - September 2nd 2016 - FairWare, Cerber3, and Central Security Treatment Organization


The Week in Ransomware - August 26 2016 - Cows, WildFireLocker, Locky, and More


*Erpressungs-Trojaner Fantom tarnt sich als kritisches Windows Update! -> (28.08.16 -> 12:10)

(Photo: heise)

Hinter einem Fake-Windows-Update lauert ein Verschlüsselungs-Trojaner, der es auf die Dateien des Opfers abgesehen hat. Der Verbreitungsweg ist aktuell unbekannt. Eine Infektion über den offiziellen Windows-Update-Service ist aber auszuschließen. Davor warnen die Ransomware-Experten von Bleepingcomputer.com unter Berufung auf den Sicherheitsforscher Jakub Kroustek von AVG.


The Week in Ransomware - August 19 2016 - Cerber, FSociety, PokemonGO, and More


*Erpressungs-Trojaner Cerber rüstet sich gegen Entschlüsselungs-Tools! -> (19.08.16 -> 18:35)

(Photo: BleepingComputer)

Check Points und Trend Micros kostenlose Dechiffrierungs-Tools können Daten nicht mehr aus den Fängen der aktuellen Version des Verschlüsselungs-Trojaners Cerber befreien.

 

Dann nehmt halt ein Image. bt


*Pokémon Go-Ransomware verschlüsselt, erpresst und schnüffelt! -> (15.08.16 -> 12:25)

(Photo: BleepingComputer)

Hinter einer gefakten Version des Smartphone-Spiels PokémonGo für PCs steckt ein Erpressungs-Trojaner, der es auf Daten von Nutzern abgesehen hat.

 


*Cerber Ransomware version 2 Released, Uses .Cerber2 Extension! -> (08.08.16 -> 17:45)

Eine neue Variante von Cerber Ransomware ist erschienen und wurde von TrendMicro entdeckt. Die eigentliche Veränderung besteht zuerst mal im Namen der Malware. Die alte Version Cerber heißt jetzt Cerber2. Das kann demjenigen der befallen ist natürlich erst mal egal sein. Wichtiger ist da schon die Möglichkeit der Entschlüsselung die Ihr auch hier drunter in den Links finden könnt.

(Photo: BleepingComputer)

Weiter lesen bei TrendMicro zu Cerber und hier bei für Cerber2.


The Week in Ransomware - August 5th 2016 - Cerber, Zepto, ShinoLocker, and More


*No More Ransomware soll Opfern von Malware helfen! -> (27.07.16 -> 12:30)

(Photo: dpa, Boris Roessler)

Viele sind von Ransomware noch immer überrascht und wissen nicht, wie sie reagieren und mit der Situation umgehen sollen. Die Website No More Ransomware versucht hier, Aufklärung und erste Hilfe zu leisten.

No More Ransomware ist eine weitere Möglichkeit um bei einem eventuellen Befall schnelle Hilfe zu bekommen. Ähnlich wie ID Ransomware gibt es dort Hinweise und Links zu Decryptern die Euch helfen den Müll wieder los zu werden.


*Ransomware ODCODC kann jetzt geknackt werden! -> (26.07.16 -> 12:10)

(Photo: Softpedia)

Alle, die von der Ransomware ODCODC betroffen sind, dürfen aufatmen, denn es wurde nun ein Tool veröffentlicht, mit dem man die verschlüsselten Dateien selbst entschlüsseln kann - ohne das Lösegeld bezahlen zu müssen.

Es war eine der kleineren Infektionen mit einer Ransomware und dem Tool ODCODC, aber das ist einem der damit befallen ist sicher egal. Wer in der Situation ist aber noch nicht bezahlt hat oder sonst nicht weiß was zu tun ist, der hat nun gute Chancen das Problem zu lösen. Über  den Softpedia Link wird ein Decrypter angeboten der funktionieren soll. Wie, das zeigt eine Readme-Datei im inneren des Tools.


The Week in Ransomware - July 22 2016 - Stampado, Bart, HolyCrypt, and More


*Gratis Entschlüsselungs-Tools nehmen es mit elf Erpressungs-Trojanern auf! -> (23.07.16 -> 11:50)

(Photo: AVG)


The Week in Ransomware - Juli 15 2016 - CryptXXX, WildFire Locker, and More


*Erpressungs-Trojaner CryptXXX rutscht Schlüssel kostenlos raus! -> (17.07.16 -> 13:10)

(Photo: BleepingComputer)

Opfer der Ransomware CryptXXX sollten sich umgehend auf der Bezahl-Webseite einloggen: Unter Umständen taucht dort ohne zu Bezahlen der Schlüssel zum Dechiffrieren der eigenen Daten auf.

 


*Neue Ransomware wird im DarkNet verramscht! -> (16.07.16 -> 11:35)

(Photo: dpa, Boris Roessler)

Im DarkNet wird derzeit eine neue Ransomware namens Stampado angeboten. Bei dem Preis, der aktuell aufgerufen wird, könnte sich die Malware sehr schnell verbreiten. Denn der geringe Preis verspricht doch einen verhältnismäßig hohen Gewinn.


The Week in Ransomware - Juli 8 2016 - Alfa, PadCrypt, Microsoft Decryptor, PizzaCrypts and More


*Wieder neue Ransomware: Satana ist bisher unknackbar aber noch nicht ausgereift! -> (07.07.16 -> 16:00)

(Photo: Themenbild / Gemeinfrei)

Ransomware greift immer weiter um sich und es vergeht kein Monat, in dem nicht eine neue, noch fiesere Version der Schadsoftware in Umlauf gebracht wird. Aktuell befindet sich die Software Satana im Umlauf, welche nicht nur die Dateien des infizierten PCs verschlüsselt, sondern zudem den Master Boot Record.

Was daran nun schlimmer sein soll als wie bei den anderen Schädlingen erschließt sich mir jetzt nicht. Es ist (wie immer) eine Frage der Imagepflege. Eine Verschlüsselung des MBR ist zwar schlimm, kann aber durch ein Image, wo genau dieser mit gesichert wird (Erste Spur / MBR) wieder hergestellt werden. Das müßt Ihr natürlich IMMER machen. Dann kann Euch auch dieser Fiesling ziemlich egal sein. Mehr dazu findet Ihr unter dem Menupunkt 'Datensicherung'.  bt


The Week in Ransomware - Juli 1 2016 - Bart, WildFire, Locky and More


*Locky-Sprössling: Erpressungs-Trojaner Bart verschlüsselt anders und verlangt hohes Lösegeld! -> (28.06.16 -> 12:15)

(Photo: Proofpoint)

Hinter dem neu entdeckten Verschlüsselungs-Trojaner Bart stecken offensichtlich die gleichen Drahtzieher wie hinter Locky, vermuten Kryptologen von ProofPoint. Dafür spricht etwa der Verbreitungsweg; doch bei der Verschlüsselung geht Bart neue Wege.

   


The Week in Ransomware - June 24 2016 - Locky Returns, CryptXXX, Apocalypse and More


*Erpressungs-Trojaner: Neue Locky-Welle infiziert Computer! -> (24.06.16 -> 13:40)

Wer dieser Tage eine E-Mail mit Dateianhang bekommt, sollte diese noch kritischer als sonst beäugen: Aktuell verbreitet sich der Verschlüsselungs-Trojaner Locky erneut vornehmlich über vermeintliche Bewerbungs-Mails in Deutschland.

(Bild: Proofpoint)

Hätte mich auch gewundert wenn diese wohl anscheinend lukrative Einnahmequelle versiegt. Solange es noch genug Leute gibt die alles anklicken was nicht bei drei auf den Bäumen ist wird es auch so weitergehen. bt


*Krypto-Trojaner Cerber: Angebliche Mediamarkt-Bestellung kommt Empfänger teuer zu stehen! -> (23.06.16 -> 15:05)

(Photo: Softpedia)

Online-Erpresser verschicken derzeit Mails, die vorgeben, dass ein bei Mediamarkt.de besteller Artikel in Kürze geliefert wird. Wer die Bestellung einsehen oder stornieren möchte, fängt sich einen Krypto-Trojaner ein.

Gegen Cerber ist schwer anzukommen falls es die gleiche Variante wie hier ist. Und falls Ihr reinigen wollt. Meine Empfehlung ist und bleibt ein sauberes Image. Es gibt aber, wie immer, einen Helpfile bei BleepingComputer. bt


(Bild: Chris Williams/Javascript)

*Javascript-Ransomware kopiert auch Passwörter! -> (20.06.16 -> 13:50)

Ransomware kommt neuerdings im Paket: Die RAA-Schadsoftware ist komplett in Javascript geschrieben und installiert zusätzlich einen Passworttrojaner. Das Erpressergeld wurde an den hohen Bitcoin-Kurs angepasst.


The Week in Ransomware - June 17 2016 - CryptXXX, RAA, CryptoShocker, and More


*Ransomware knöpft sich Android-Smart-TVs vor! -> (14.06.16 -> 14:20)

Die Entwickler von Android-Erpressungstrojanern scheinen von Smartphones auf Fernseher umzusatteln. Jedenfalls gibt es den Lockscreen-Trojaner FLocker jetzt auch auf Smart TVs

(Photo: TrendMicro)

Irgendwann ist auch der Kühlschrank dran? bt


The Week in Ransomware - June 10 2016 - Crysis, TeslaCrypt, Nemucod, and More


*Ransomware Cerber verändert sich alle 15 Sekunden! -> (09.06.16 -> 12:35)

Die Entwickler der Ransomware Cerber haben die Malware dahingehend modifiziert, dass sie alle 15 Sekunden "morpht". Auf diese Weise kann die Software Sicherheitssysteme auf Clientseite umgehen.

Klick

(Photo: Softpedia)

Ransomware wird sicher die Malware des Jahres. Vor allem wenn man bedenkt wieviel Potenzial anscheinend noch in dem Angriffstool 'Angler' steckt über das die Malware verteilt wird. bt


*Ransomware wird gefährlicher durch EMET-umgehende Angriffe! -> (07.06.16 -> 15:45)

Obwohl die Entwickler der Ransomware TeslaCrypt die Malware nicht mehr unterstützen und einen Universalkey zum Entsperren der verschlüsselten Dateien bereit gestellt haben, verbreitet sie sich weiter. Denn das Angriffstool Angler, das die Ransomware verbreitet, kann nun das Windows-Verteidigungssystem EMET umgehen.

(Photo:heise)

Das wäre ein Schritt in eine Richtung die sicher keiner haben will. Zumindest für Windows 7 Rechner. Bisher. EMET war entweder als ganzes oder auch nur in Teilen (ASLR, DEP und SEHOP aktiviert und installiert) ein ziemlich guter Schutz gegen solche Malware. Wenn der geknackt wird dann wird die Zahl derer die verseucht werden sicher noch größer. Allerdings ist es mir ein Rätsel wie das gehen soll? bt


The Week in Ransomware - June 3 2016 - CryptXXX, BadBlock, BlackShades and more...


*TeslaCrypt-Entwickler könnten Comeback planen! -> (30.05.16 - 14:45)

Vor wenigen Tagen überraschten die Entwickler der Ransomware TeslaCrypt damit, dass sie einen universellen Entschlüsselungs-Key für alle Betroffenen veröffentlichten. Nun kommen Zweifel an den Absichten auf, denn das Geschäft mit Ransomware boomt.

(Photo: heise)

Verschwörungstheorie? Glaub ich nicht, besonders nach der Meldung vom 19.05. wo ich schon Zweifel hatte an der Sache mit der Schlüsselherausgabe. Wir werden sehen. bt


*Erpressungstrojaner: Wer Pech hat, zahlt zweimal! -> (27.05.16 - 13:30)

Ein Krankenhaus in den USA zahlte das Lösegeld, das Ransomware-Erpresser verlangten. Die Erpresser forderten prompt eine Nachzahlung.

(Photo: Kansas Heart Hospital)

Heftig finde ich nach wie vor den Spruch des FBI: 'Bei Erpressungs-Trojanern klein beigeben und einfach bezahlen'!

Einfach unglaublich. bt


*CryptXXX updated zu version 3.0! Alte Decryptors nicht länger wirksam! -> (25.05.16 - 15:25)

Zum vergrößern Bild anklicken!

(Photo: Proofpoint)

Workarounds


The Week in Ransomware - May 20 2016


*Erpressungs-Trojaner TeslaCrypt gibt auf: Master-Schlüssel veröffentlicht! -> (19.05.16 - 11:15)

Die Drahtzieher hinter TeslaCrypt haben den Stecker gezogen und den Master-Schlüssel in Umlauf gebracht: Opfer der Ransomware können nun ohne Lösegeld zu zahlen wieder Zugriff auf ihre Daten bekommen.

(Photo: heise)

 

Andere Tools dieser 'Geschäftsidee' haben längst Versionsupgrades vorgenommen und schicken diese nun seit geraumer Zeit auf die Menschheit los. Wir werden sehen ob Tesla2.0 oder 3.0 demnächst erscheinen wird. Bis dahin allerdings hat man gute Chancen verschlüsselte Rechner wieder flott zu kriegen. bt


*Erpressungs-Trojaner: Jigsaw mutiert zu CryptoHitman und ist geknackt! -> (17.05.16 - 05:45)

Die Drahtzieher hinter der Ransomware Jigsaw müssen trotz ihrer neuen Version namens CryptoHitman eine Schlappe einstecken: Opfer brauchen dank eines kostenlosen Entschlüsselungs-Tools kein Lösegeld mehr zahlen.

(Photo: Bleepingcomputer)

 


Die Macher von Bleeping Computer haben sich schon lange und ganz früh mit dem Thema Ransomware beschäftigt und leisten in der Zusammenarbeit mit Emsisoft unglaublich tolle Arbeit. -> (15.05.16 - 17:10)

Viele Links auf meinen Seiten bez. Ransomware führen dorthin und bieten Erklärungen und Lösungen zu diesen heiklen Themen Datendiebstahl und Erpressung.

Ich weise hier mal auf einen neuen Service hin den sie dort frei übersetzt 'Die Woche mit Ransomware' nennen und über den man immer aktuell die 'Neuerscheinungen Ransomware' nachlesen kann.

The Week In Ransomware - May 13 2016

Manche tauchen in unserem Sprachraum erst garnicht auf und sind z. B. für das russische oder chinesisch sprechende Klientel gedacht. Aber egal, dort könnt Ihr nachsehen was es da so alles gibt auf diesem heiß umkämpften Markt. Es geht um Millionen.


*Neue Ransomware CryptXXX 2.0 sperrt User vom PC aus! -> (12.05.16 - 13:20)

Mitte April kam die Ransomware CryptXXX auf. Durch sie wurden Dateien auf dem PC gesperrt und zur Entsperrung Lösegelder gefordert. Doch die Ransomware kann durch ein Tool unschädlich gemacht werden, das auch die Dateien wieder entsperrt. Nun reagierten die Entwickler von CryptXXX und veröffentlichten eine noch fiesere Version 2.0.

Zum vergrößern Bild anklicken:

(Photo: Proofpoint)


*Höflicher Erpressungstrojaner entschuldigt sich und bittet um Geschenke! -> (05.05.16 - 12:50)

Ein neuer Krypto-Trojaner geht um: Die Alpha Ransomware verlangt iTunes-Gutscheine vom Opfer, sonst bleiben die Daten mit AES-256 verschlüsselt. Der Erpresserbrief ist überraschend höflich, verschweigt allerdings wichtige Details.

(Bild: Bleeping Computer)

Alpha möchte lieb sein und bittet um iTunes Gutscheine. Das klingt wirklich nach Scriptkiddie. Da man Ransomware Bausätze ala Ransom as a Service (RAAS) ja frei kaufen kann ist sowas durchaus denkbar. bt


*Ransomware: Verfassungsschutz von Sachsen-Anhalt wurde verschlüsselt! -> (30.04.16 - 12:30)

Der Verfassungsschutz in Sachsen-Anhalt hat ein Trojaner-Problem. Mehrere Arbeitsplatzrechner wurden mit Ransomware verschlüsselt, außerdem wurde ein Backdoor-Trojaner gefunden. Die Grünen fordern Aufklärung.

(Photo: dpa, Boris Roessler)

Wenn ich dann so Sätze lese wie "Anhaltspunkte liegen weder für einen gezielten Angriff noch für einen Abfluss von Daten vor" dann weiß ich nicht ob ich lachen oder weinen soll. Der Trojaner hatte wohl Langeweile, wußte nicht was er tun sollte und dachte och, lass uns doch mal den Verfassungsschutz von Sachsen Anhalt verschlüsseln. Aber nix klauen von denen ihren Servern, ist ja verboten. Für wie blöde halten die uns eigentlich..? bt


*Dogspectus: Erste Android-Geräte im Vorbeisurfen mit Exploit-Kit verseucht! -> (28.04.16 - 13:10)

Dogspectus, auch Cyber Police genannt, infiziert Android-Geräte ohne Zutun des Nutzers beim bloßen Besuch einer Webseite. Die Ransomware wird dabei über ein Exploit-Kit verteilt. Das macht es wahrscheinlich, dass sich solche Angriffe in Zukunft häufen.

(Bild: Blue Coat)

Nun ist er also übergesprungen auf Android. Und die Verseuchung geschieht sogar ohne das zutun des Users. Es wird immer heftiger, die Einschläge kommen immer näher und haben nun alle Betriebssysteme erreicht. bt


*Vertriebsmodell Ransomware-as-a-Service wird immer mehr zur Gefahr! -> (28.04.16 - 12:25)

Angriffe durch Ransomware sind immer weniger Einzelfälle, es steckt Organisation dahinter, weswegen das Vertriebsmodell Ransomware-as-a-Service immer mehr Zulauf bekommt. Dabei können diejenigen, welche die Malware erstellen, im Hintergrund bleiben und erhalten die Möglichkeit, dass die Ransomware professionell über Botnetze vertrieben wird.

(Photo: heise)

Es ist schon erschreckend in den Darknetzen zu sehen was alles angeboten wird. Da ist RaaS nur ein kleiner Fisch. Der allerdings wie alle Fische vom Kopf her stinkt und bekämpft werden muß. bt


*Krypto-Trojaner: TeslaCrypt erschwert Desinfektion des Rechners, verschlüsselt weitere Formate! -> (22.04.16 - 15:55)

TeslaCrypt ist einer der erfolgreichsten Krypto-Trojaner. Und die Entwickler werden nicht müde, neue Funktionen einzubauen, die den Opfern das Leben schwer machen. Version 4.1A verschlüsselt mehr Formate und erschwert die Desinfektion des Rechners.

(Photo: Endgame)

Der ist aber nun wirklich von der allerfiesesten Sorte. bt


*Ransomware CryptXXX stiehlt Bitcoin und Passwörter! -> (21.04.16 - 16:45)

Mit CryptXXX wurde eine neue Ransomware entdeckt, welche nicht nur Daten auf einem PC verschlüsselt, sondern gleichzeitig Bitcoin und Passwörter stiehlt. Auch persönliche Informationen sind vor der Malware nicht sicher. CryptXXX verteilt sich über infizierte Websites.

(Photo: dpa, Boris Roessler)


*Verschlüsselungstrojaner: Locky-Derivat hat eine Schwachstelle! -> (20.04.16 - 12:25)

Ein Erpressungstrojaner gibt vor, die Schadsoftware Locky zu sein. Doch die Entwickler der Ransomware Autolocky sollen einen dummen Fehler gemacht haben, der eine Entschlüsselung ermöglicht.

(Photo: Bleepingcomputer)


*Cryptowürmer sind die Zukunft der Ransomware! -> (17.04.16 - 16:55)

In Zukunft sollen sogenannte Cryptowürmer Ransomware automatisch verteilen und dadurch die Gefahr diese Malware um ein Vielfaches erhöhen. Bisher ist Ransomware eigentlich ein Einzelangriff, doch was, wenn Ransomware den Charakter eines Wurms bekommt?

Cryptowürmer, aha... bt


*Entschlüsselungs-Tool verfügbar? Webseite identifiziert Erpressungs-Trojaner! -> (14.04.16 - 13:45)

Der Sicherheitsforscher Demonslay335 hat die Webseite ID Rasomware aufgesetzt, welche Erpressungs-Trojaner identifiziert. Über den Service können Opfer kostenlos prüfen, welcher Krypto-Trojaner die Daten als Geisel genommen hat; in der Regel ist das nicht ohne weiteres erkennbar.

(Photo: heise)

Nicht die schlechteste Idee, wenn sie funktioniert. Aber laut heise tut sie das. bt


*Neue Ransomware Jigsaw: Jede Stunde muss eine Datei dran glauben! -> (13.04.16 - 13:30)

Ransomware wird immer gefährlicher. Jetzt droht eine neue Variante nicht nur mit dem Löschen von Daten, sondern sie löscht jede Stunde eine. Zum Glück gibt es Abhilfe.

(Photo: Bleepingcomputer)


*Erpressungs-Trojaner Petya geknackt, Passwort-Generator veröffentlicht! -> (12.04.16 - 14:05)

Ein kostenloses Tool soll das zum Entschlüsseln nötige Passwort innerhalb weniger Sekunden generieren können, verspricht der Macher des Werkzeugs. Erste Erfolgsberichte von Petya-Opfern liegen bereits vor.

(Photo: heise)

Ebenfalls von Emsisoft bzw. deren Chefentwickler Fabian Wosar kommt das Tool 'Petya Sector Extractor'. Ich würde es dem ebenfalls auf der heise Seite vorgeschlagenem Tool 'hack petya' vorziehen weil es einfacher zu handhaben ist. bt


*Stellungnahme zu Ransomware-Infektionen im Zusammenhang mit TeamViewer! -> (03.04.16 - 17:10)

Auszug: In den letzten Tagen sind einige Berichte über Ransomware-Infektionen aufgetaucht, die in Zusammenhang mit TeamViewer gebracht werden. Wir verurteilen kriminelle Machenschaften auf das Schärfste, können aber besonders zwei Aspekte unterstreichen: (1) Keiner der bislang beschriebenen Fälle basiert auf einer Sicherheitslücke von TeamViewer (2) Mit einigen wenigen Schritten kann man Missbrauch vorbeugen.

Da dies ausschließlich User mit aktiviertem Account betrifft ist das für die allermeisten kein Thema. Es wird ja nur immer das Kennwort und die UserID übertragen und das ist weiterhin sicher.


*Erpressungs-Trojaner mit neuer Taktik: Erst schauen, dann verschlüsseln! -> (30.03.16 - 12:40)

Nach einem Einbruch in ein Netz verschaffen sich die Erpresser hinter Samsa zunächst Zugriff auf so viele Systeme wie möglich. Erst dann kommt die Verschlüsselung zum Einsatz – und die Opfer bekommen gesalzene Lösegeld-Forderungen.

(Photo: Microsoft)

Jetzt kommt wohl jeden Tag ein neuer Trojan auf den Markt der versucht an unser Geld zu kommen. Der heutige heißt Samsa. Naja, irgendeiner wird schon drauf reinfallen sonst würde sich das ganze ja nicht lohnen. bt


*Petya: Den Erpressungs-Trojaner stoppen, bevor er die Festplatten verschlüsselt! -> (29.03.16 - 15:45)

Die Ransomware Petya zielt auf deutschsprachige Opfer und sorgt dafür, dass deren Rechner nicht mehr starten. Der Trojaner verschlüsselt außerdem die Festplatten, das kann man aber verhindern, wenn man ihn rechtzeitig stoppt.

(Photo: heise)


*Neue Infektions-Masche: Erpressungs-Trojaner missbraucht Windows PowerShell! -> (27.03.16 - 15:20)

Der Verschlüsselungs-Trojaner PowerWare infiziert Computer nicht etwa über Schadcode in Form einer .exe-Datei, sondern missbraucht die Windows PowerShell, um die Daten eines Opfers als Geisel zu nehmen. Davor warnen die Sicherheitsforscher von Carbon Black, nachdem eine nicht näher beschriebene Gesundheitsorganisation Opfer der Ransomware wurde.

(Photo: Carbon Black)


*Erpressungs-Trojaner Petya riegelt den gesamten Rechner ab! -> (24.03.16 - 14:25)

Eine neue Ransomware hat es aktuell auf deutschsprachige Windows-Nutzer abgesehen. Petya wird über Dropbox verteilt und manipuliert die Festplatte, wodurch das Betriebssystem nicht mehr ausgeführt werden kann.

(Photo: heise)

Der Nächste Bitte! Diesmal heißt er Petya und soll angeblich den gesamten MBR verschlüsseln. Einen möglichen Workaround gibt es gleich dazu. Hier entlang...


*Decryptor für die Nemucod Ransomware! -> (24.03.16 - 13:55)

Endlich auch wieder gute Nachrichten zum Thema Ransomware. Es steht ein Decryptor für die Ransomware Nemucod bereit. Den Decryptor für die .js Ransomware Nemucod verdanken wir dem neuseeländischen Anti-Virus Unternehmen Emisoft, die das entsprechenden Tool unter https://decrypter.emsisoft.com/nemucod auf ihrer Webseite zur Verfügung stellt.

Und Emsisoft stellt nicht nur einen Decryptor für Nemucod zur Verfügung. Auf der Seite findet Ihr weitere gute Entschlüsselungstools für die abartigsten des Genres Ransomware. Was Euch nicht davon befreit Sicherungen Eurer gesamten Daten anzulegen. bt


*Neue Ransomware TeslaCrypt 4 ist unknackbar! -> (23.03.16 - 20:55)

Das dänische IT-Sicherheitunternehmen Heimdal Security berichtet von einer neuen Version des Verschlüsselungstrojaners TeslaCrypt. [...] Die neue Version von TeslaCrypt setzt nun auf die komplexe Verschlüsselung mit RSA 4096 und wird von Heimdal als unknackbar bezeichnet, wir schließen uns dieser Einschätzung an. Die bisherigen Decrypter sind hier nun ebenfalls wirkungslos, ein Nutzer hat keine Möglichkeiten mehr an seine Daten zu gelangen.

(Photo: ronstik / Shutterstock)

Da sie bisher noch alle entweder geknackt wurden oder aber mit einem Image wieder hergestellt wurden ist der richtige Umgang mit diiesen Schädlingen so schwer nicht. Denn wofür knacken wenn ein Image zur Hand? bt


*Erpressungs-Trojaner Surprise verbreitet sich anscheinend über TeamViewer!  -> (23.03.16 - 19:45)

Die neu gesichtete Ransomware Surprise soll Windows-Computer nicht per Drive-by-Download oder E-Mail-Anhang infizieren, sondern über die Fernwartungssoftware TeamViewer. Dafür missbrauchen die Kriminellen offensichtlich gekaperte Accounts.

(Photo: dpa, Boris Roessler)

Mal wieder ein neuer Infektionsweg für Ransomware. Es müßen in dem Fall aber derart viele Hindernisse überwunden werden das es schon an ein Wunder grenzt über diesen Weg verseucht zu werden. bt


Update -> 12.03.16

Am 23. Februar berichtet ich hier über das Tool Malwarebytes Anti Ransomware (MARW) Ich schrieb sowohl das es noch Beta sei und Bugs haben könnte als auch das es mit Sicherheit ein AV-Programm gäbe was das genauso gut oder besser wäre wie MARW und das sei Emsisoft Anti Malware (EAM) mit seiner überaus wirksamen Verhaltensanalyse. Die ich im Übrigen für die beste halte die es am Markt gibt. Aber das wißt Ihr ja. Ich setze mal einen Link auf das Emsisoft Forum und einen entsprechenden Thread in dem Emsi auf die Locky Gefahr eingeht. Dem habe ich nichts hinzuzufügen. Und wo wir gerade schon beim verlinken sind hier ein Thread aus meinem Heimatforum der sich des Themas natürlich ebenfalls annimmt. Rokop Security.

Nicht zuletzt wegen all dieser Postings kann ich nun nach einiger Zeit ein Resumee über das Tool ziehen und muß sagen ich bin ziemlich enttäuscht davon. Die Werbung verspricht da zuviel. Scheint ein Malwarebytes Problem zu sein da ich auch das Zugpferd der Firma Malwarebytes Anti Malware (mbam) nicht mehr für so empfehlenswert halte wie noch vor einem Jahr z. B. Da gibt es mittlerweile auch wesentlich bessere Tools wie z. B. Zemana Anti Malware.

MARW läßt zu das etliche Dateien doch verschlüsselt werden, womit es natürlich auf Produktivsystemen nicht eingesetzt werden sollte und es arbeitet sehr ungenau in der Wiederherstellung. Dateinamen werden zwar wiederhergestellt, es fehlt aber oft der Inhalt. Wenn ich das aber nicht darf oder wenn solche Fehler passieren was soll das Tool überhaupt?

Es gibt neben EAM, wer dem alleine nicht vertraut oder wer ein anderes AV am Start hat, ein wesentlich wirkungsvolleres Tool gegen Ransomware und das ist HitmanPro.Alert. Diese Tool tut das was es soll, es schützt wirklich vor Ransomware. Es ist auch bisher nicht bekannt das es sich mit anderen AV's beißt und so gibt es für mich nur einen klaren Gewinner. HitmanPro.Alert. Es ist im übrigen eine Finale Version und keine Beta.

Das Tool könnt Ihr über den Button runterladen.


*Teslacrypt in Dettelbach: Bürgermeisterin verteidigt Lösegeldzahlung! -> (12.03.16 - 12:15)

Ein Trojaner hat dafür gesorgt, dass die Stadt Dettelbach bei Würzburg nicht mehr an ihre Daten herankam. Trotz gezahltem Lösegeld konnten längst nicht alle Informationen wiederhergestellt werden. Die Bürgermeisterin findet die Zahlung dennoch richtig.

(Photo: heise)

Die Zahlung an die Erpresser für die Entschlüsselungssoftware habe der Stadt "Ausgaben von mindestens 10.000 Euro gespart", erläuterte sie. Der Schaden für die Stadt im Landkreis Kitzingen beläuft sich allerdings auf ein Vielfaches: Allein für zwei involvierte Fachfirmen für Datenrettung wird ein Betrag von rund 100.000 Euro fällig.

Das glaub ich jetzt nicht. Diese Bürgermeisterin scheint irgendwie nicht ganz bei der Sache um es mal höflich auszudrücken. bt


*Erpressungs-Trojaner: Time-Machine-Backups anfällig! -> (10.03.16 - 11:05)

Die Entwickler der OS-X-Ransomware KeRanger haben auch Time-Machine-Backups als Angriffsziel erwogen. Tatsächlich ist es möglich, selbst ohne Admin-Rechte Dokumente in der Datensicherung zu verändern.


*KeRanger: Erste Ransomware-Kampagne bedroht Mac OS X! -> (07.03.16 - 11:50)

Ein Erpressungs-Trojaner verschlüsselt erstmals auch Daten von Mac-Nutzern. Der Schädling versteckt sich im BitTorrent-Client Transmission. Apple und die Entwickler haben bereits reagiert.

(Photo: Paloaltonetworks)

Und wieder wird es viele Mac User geben die behaupten das es keinerlei Schadsoftware für Mac gibt. Ich kann nur hoffen sie stoßen nicht auf diesen Fiesling. bt



brainticket

 

 

Nach oben