Tag: cryptoware

golden-eye
Dez
09

Golden Eye – Verschlüsselung Trojaner a la James Bond ?

Der neue und wieder überaus gefährliche Cryptoware Trojaner, der mit dem Namen „Golden Eye“  getauft wurde, erinnert lediglich durch seinen Namen an einen erfolgreichen James Bond Film. Vielleicht ist diese Namensgebung auch doch nicht ganz zufällig gewählt, den beide haben noch etwas gemeinsam: das Spionieren und vielleicht bald auch den gleichen Bekanntheitsgrad.

Nachdem die Schlagzeilen um den Aufreger „Locky“ nun immer weniger werden und sich immer mehr AV-Hersteller auf die Erkennung und Abwehr eines Locky-Angriffes bemüht haben, kommt kurz vor dem Weihnachtsfest ein neuer Verschlüsselungstrojaner mit dem Namen „Golden Eye“ nach Deutschland und greift massiv Personaldienstleister und Firmen an.

Dabei geht der Verschlüsselungstrojaner sehr detailverliebt vor, den er tarnt wieder mal sich als Bewerbungsemail und richtet sich gezielt an Personalabteilungen, die ja für Bewerbungen dankbar sind. Die Mail und das Anschreiben ist so sehr überzeugend, das wohl viele Empfänger die „Bewerbung“ unbedingt öffnen wollen und sich innerhalb von wenigen Sekunden den Crypto-Trojaner einfangen der Ihre Daten auf dem Computer verschlüsselt.

Im Anschluss erscheint ein nicht zu übersehender Hinweis darauf, dass die Daten auf dem Computer verschlüsselt wurden und es wird eine Lösegeldforderung angezeigt. Das Lösegeld ist wie in diesen Kreisen üblich dann per Bitcoins über das Darknet zu begleichen. Ob allerdings nach der Zahlung des virtuellen Lösegelds tatsächlich die entführten Daten wieder frei gelassen werden ist noch unklar. Bislang gibt es noch keine Erfolgsmeldungen dazu zu berichten.

Warum  ist der Cryptoware Trojaner Golden Eye so gefährlich

Der Verschlüsselungstrojaner kommt getarnt als sehr gut gestaltete Bewerbungs E-Mail und enthält eine PDF-Datei (Acrobat) und eine xls-Datei (Excel-Tabelle)
Die PDF-Datei ist ungefährlich und überaus überzeugend geschrieben, bis auf ein, zwei Kommafehler stimmt auch die Grammatik und der Aufbau des Anschreibens wirkt so glaubhaft, dass man schnell in die Versuchung kommt, die angehängte Excel-Datei unbedingt ansehen zu wollen.

Gerade Personaldienstleister und Personalabteilungen erhalten täglich viele Bewerbungsmails, sodass es schnell vorkommen kann, das ein unerfahrener Sachbearbeiter die Excel-Datei auch öffnet und die Warnungen über die Gefahr von Makros die von Excel erzeugt werden, einfach ignorieren und den Anweisungen zum Aktivieren der Makros folgen.

Makrofunktion nicht aktivieren

Bei den neueren Microsoft Excel Versionen ist die Bearbeitung der Datei und die Ausführung von Makros bei Dokumenten die aus dem Netz geladen wurden zuerst einmal blockiert und der Benutzer erhält zunächst eine Warnmeldung, bevor ein Makro in einer Excel-Tabelle tatsächlich ausgeführt werden kann. Allerdings haben die Programmierer mit der Neugierde der Menschen gerechnet und in der Excel Datei gleich ein Anweisung hineingeschrieben, worauf der Benutzer den geschützten Modus von Excel verlassen soll und die Bearbeitungsfunktion und Makros aktivieren kann, um die Datei angeblich vollständig lesen zu können.

Genau dieser vertrauensvoll und effektvoll wirkende Anweisung folgen die Meisten Benutzer und starten damit den eigentlichen Verschlüsselung-Angriff von Goldy Eye. Im Hintergrund, während der Benutzer sich die Bewerbung ansieht, führt der Verschlüsselungstrojaner seine Arbeit aus und lädt sofort die benötigten Programmdateien aus dem Internet nach und beginnt mit seiner Arbeit – der Verschlüsselung der Festplatte des Benutzers.

Social Engineering

Da in Falle von Golden Eye die Mails auch sehr oft an die richtigen Mitarbeiter im Unternehmen gerichtet sind und diese zudem auch noch direkt mit dem richtigen Namen angesprochen werden, ist davon auszugehen, dass die Programmierer von Golden Eye irgendwo ein Datenleck nutzen um an die „richtigen Namen und E-Mail Adressen“ zu kommen. Das Arbeitsamt hat diesen Vorwurf erste einmal global zurück gewiesen und behauptet kein Datenleck zu haben. Doch es gibt noch unzählige andere Job-Portale wo die korrekten E-Mail Adressen und Namen gesführt werden und die einen Hackerangriff oder Datenleck vielleicht noch nicht bemerkt haben.

Unter dem Begriff Social Engineering versteht man, dass sich die Angreifer bereits vor dem Angriff über möglichst präzise Details seines Opfers informieren um dann mit den gesammelten Informationen das Vertrauen oder die Glaubwürdigkeit zu untermauern. Im Klartext bedeutet dass, das sämtliche Firmenwebseiten und Portale und Soziale Medien nach Informationen eines potenziellen Opfers durchsucht und gesammelt werden. Ein Datenleck bei einer Arbeitsvermittlung oder Jobbörse wo evt. auch sämtliche Informationen zu potenziellen Opfern enthalten sind, kämme einem Online-Verbrecher da gerade recht.

 

so Schützen Sie sich vor Verschlüsselungstrojaner, wie Golden Eye oder Locky usw.

wir haben das Thema Cryptoware hier einmal für Sie aufebereitet und zeigen wie Sie sich mit ganz einfachen Mitteln vor so einem Angriff schützen können


stampado
Jul
31

neuer Erpresser-Trojaner oder nur fieser Marketingtrick?

Stampado, ist noch gefährlicher als der Locky-Virus

Im Augenblick schreckt diese Nachricht über Stampado die Netzgemeinde auf. Angeblich kann man diese Ransomware der Gattung Cryptoware für rund 39 $ kaufen und als besonders Bonbon, sei der Erpresser Virus Stampado für Sicherheitsprogramme nicht zu entdecken und damit eine echte Gelddruckmaschine.

Angeblich existiert sogar ein Youtube Video indem die Hintermänner sogar die Funktonsweise des Supertrojaners erklären würden. Bislang jedoch fehlt jeglicher Beweis, das es diesen Trojaner wirklich gibt. Es ist schon recht merkwürdig was sich da im Underground der Cyberkrimminellen gerade tut, zuerst taucht mit Ranscan eine Variante auf, die die Daten überhaupt nicht verschlüsselt, sondern direkt löscht und jetzt werben die Cybergangster für einen Schädling, der womöglich gar nicht existiert.

Wahrscheinlicher ist es, dass uns naher Zukunft eine Welle von gefälschter Anti-Ransomware bevorsteht, die uns vor dem vermeintlichen Erpresser-Trojaner schützt.

Schon vor einigen Jahren mit dem Erscheinen von Conficker Virus dauert es nicht lange bis die Online-Gangster auf diesen Zug aufgesprungen sind und gefälschte Antiviren-Software in Umlauf brachten. Sie verteilten kostenlos die gefälschte Schutzsoftware und bauten den Virus gleich mit in das gefälschte Schutzprogramm mit ein. Somit stieg die immense Verbreitung des Virus rapide an und die Gangster kassierten kräftig und Ihren Gewinn maximiert.

Alle Anwender – egal ob Privat oder im Firmennetzwerk – sind jedenfalls gut beraten, nicht auf Meldungen „sie hätten sich mit Stampado infiziert“, hereinzufallen und das Lösegeld zu zahlen, oder gar eine spezielle Entfernungs-Software zu kaufen. Administratoren die sich auf die Recherche nach Stampado begeben, werden vielleicht mehr Suchergebnisse zu unseriösen Webseiten finden, als zu seriösen IT-Sicherheitsfirmen. Dabei ist die Fake-Anti-Ransom-Software nur ein Werkzeug um Schädlinge zu verbreiten und den Nutzer mit Popup-Meldungen zu suggerieren, dass er bereits infiziert sei und mit einer Zahlung die Infektion beseitigen könne. So ungefähr wirbt das Youtube Video zumindest.

Nie zahlen!

Bei Ransomware, insbesondere Cryptoware gibt es keine Garantie, das die Opfer nach Zahlung des Lösegeld tatsächlich wieder an Ihre Daten kommen, Außerdem sind Fälle bekannt geworden, das nach der ersten Zahlung weitere Lösegeldforderungen erhoben wurden, bevor der rettende Schlüssel übermittelt wurde.

Außerdem ist das Entschlüsseln von verschlüsselten Daten auch nicht ganz ohne, das ist nicht mal eben mit 2-3 Klicks erledigt, meistens benötigen Sie einen IT-Spezialisten der die Anweisung zum Wiederherstellen der Daten auch tatsächlich umsetzen kann.

links zu diesem Thema:


Erfahrungen & Bewertungen zu ITService Dortmund