[UPDATE 24.03.16] Petya Trojaner - 4.0

  • Moin,


    Da wir ja einige ITler hier im Forum haben, ist dieses Thema sicherlich schon bekannt. Trotzdem möchte ich auch alle anderen Ansprechen, die evtl nicht soviel Ahnung von der Materie haben.


    Dazu gibt es folgende Berichte, die man sich unbedingt mal durchlesen sollte.


    http://www.heise.de/security/m…sich-als-Fax-3117249.html
    http://www.heise.de/security/m…selt-mit-PGP-3116677.html
    http://www.heise.de/newsticker…te-Webserver-3116470.html


    Da ich Systemadministrator bin, muss ich also für unser Umfeld eine Vorsorge treffen. Dazu gehört auch, andere zu Informieren und evtl Infizierungen einzuschränken.


    Kurze Zusammenfassung:


    Der Locky Trojaner ist ein Trojaner welcher bevorzugt, über Email anhänge und das ausführen oder öffnen der Datei, in den Rechner eindringt.
    Er beginnt Sofort alle Dateien zu Verschlüssel eingeschlossen sind Verbundene Netzwerklaufwerke, also in so einem Fall ebenfalls alle Daten auf dem NAS.


    Maßnahme:


    1. Sollte sich der Computer Infizieren rate ich dazu, SOFORT den Netzstecker zu ziehen und alle Geräte die sich im Netz befinden ebenfalls vom Strom zu trennen.
    Den der Trojaner verbreitet sich eben auch über Netzwerkfreigaben, dazu gehören ziemlich viele Geräte.


    2. Es gibt sog. Notfall Antiviren Disc bsp. http://www.heise.de/download/desinfect.html alternative bieten auch viele anderen Anti-viren Abieter solche Notfall DVDs an.
    Die man auch auf dem heimischen Rechner auf eine DVD oder USB Stick stopfen kann.
    Das System damit Starten und schauen ob man den Virus evtl eliminieren kann.


    3. Den Internet Explorer meiden. Alternative Chrome oder Firefox nutzen und dort ein Addon downloaden und installieren.
    Firefox - https://addons.mozilla.org/de/firefox/addon/noscript/
    Chrome - https://chrome.google.com/webs…bkghcdgmlchbcfoiefnifjeni


    -> Installieren und danach den Browser Neustarten.


    4. Email Anhänge mit bedacht öffnen. Locky kann mit folgenden Dateiendungen als Email Anhang ankommen

    Zitat

    264 3g2 asf asx avi bik dash dat dvr flv h264 m2t m2ts 3dm 3ds 3gp 7z a3d aa aac ace adp ai amr ape apk apng arj asm asp aspx aws bas bat bbc blend bml bmp btm bzip2 c c4d cab cdr cfm cgi cgm clear clf cmd coff cpio cpp cpt cs csv dds deb dgn dicom dif dll djvu doc docx dta dvi dwg dxf edi elf emf eps exe fbx fig flac gif gpx gzip h ha hdr htm html iff ihtml phtml img inf iso jar java jpe jpeg jpg js jsp lav lha lib lwo lws lzo lzx m3d ma mac maf max mb md mdf mdl mds mhtml midi mkv ml mmf mng mod mov mp3 msi mxf nrg obj ods odt ogg out pas pcl pcx pdf pdn php pkg pl png pos prg prt ps psd py pz3 rar raw rb rib rpm rtf sai sd7 sdxf sgml sha shtml sldasm sldprt smc smil spr stdf stm stp svg swf sxc tar tex texinfo tga tgz tif tiff troff txt u3d unity uts vob vsm vue wav wif wire wlmp wma wmf wmv x x3d xhtml xls xlsx xmi xml xpm xz zip zoo m4v mp4 mpeg mpg mswmm mts ogv prproj rec rmvb tod tp ts webm 3ga aiff cda dvf gp4 gp5 logic m4a m4b m4p pcm snd sng uax wpl dib dng dt2 ico icon pic thm wbmp wdp webp arw cr2 crw dcr fpx mrw nef orf pcd ptx raf rw2 csh drw emz odg sda abr ani cdt fla icns mdi psb pzl sup vsdx 3D 3d dwfx lcf pro pts skp stl x_t eot otf ttc ttf woff aww chm cnt dbx docm dot dotm dotx epub ind indd key keynote mht mpp mpt odf ott oxps pages pmd pot potx pps ppsx ppt pptm pptx prn pub pwi rep sdd sdw shs snp sxw tpl vsd wpd wps wri xps 1st alx application eng log lrc lst nfo opml plist reg srt sub tbl text xsd xsl xslt azw azw3 cbr cbz fb2 iba ibooks lit mobi sdc xlsm accdb accdt mdb mpd one onepkg pst thmx big hi lng pak res sav save scn scx wotreplay wowpreplay g64 gb gba mbz n64 nds nes rom smd srm v64 ova ovf pvm vdi vhd vmdk vmem vmwarevm vmx ashx atom bc class crdownload css dlc download eml gdoc gsheet gslides json part partial rss torrent xap ldif msg vcf app com cpl gadget lnk scr tmp vbs bin drv ocx sys vxd 002 003 004 005 006 007 008 009 010 7zip a00 a01 a02 a03 a04 a05 air arc asec bar c00 c01 c02 c03 cso gz hqx inv ipa isz msu nbh rar r00 r01 r02 r03 r04 r05 r06 r07 r08 r09 r10 sis sisx sit sitd sitx tar.gz webarchive z01 z02 z03 z04 z05 bak bbb bkf bkp dbk gho ipd mdbackup nba nbf nbu nco old sbf sbu spb tib wbcat 000 ccd cue daa dao dmg mdx tao tc toast uif vcd crypt ipsw npf pkpass rem rsc gdb ofx qif db dbf fdb idx msmessagestore sdf sql sqlite wdb kml kmz map appx appxbundle blf dump evtx kext mui sfcache swp cnf contact deskthemepack ics ifo lrtemplate m3u m3u8 pls skn svp template theme themepack trm wba plugin safariextz xpi inc jad o rc scpt src cfg ini usr dmp ksd pfx ut adadownload cache temp 3dr cal dct dic gbk md5 prj ref upd upg


    Solltet ihr eine Emailabsender nicht kennen (auch wenn diese Vertrauenswürdig erscheinen) die email einfach Löschen. Selbst wenn da Rechnung steht oder sonst irgendwas.
    Dann ruft lieber bei der Absender Firma an und informiert euch, ggfs. lasst ihr euch die Rechnung noch einmal neu zusenden.


    5. Linux, Android oder Mac benutzen ... diese Systeme scheinen bis jetzt noch nicht betroffen.
    Solltet ihr aber eine Freigabe haben worauf ein Windows Rechner drauf zugreift, dann kann es passieren das diese Dateien ebenfalls verschlüsselt werden.


    Ich hoffe das ich einigen eine kleine Hilfe sein konnte :-) So und nun viel Spaß beim Surfen und aufpassen, nicht das es euch auch erwischt.


    [UPDATE]


    Mittlerweile gibt es wohl ein kleines Programm was davor schützt.


    http://www.heise.de/download/malwarebyte…re-1197390.html


    Der Passende Artikel dazu


    http://www.heise.de/security/meldung/Kry…tz-3118188.html


    Gruß Donne

    GT86 TRD Schwarz - 200 PS
    KW V3 - Bastuck MSD - Bastuck ESD - Ragazzon FP
    Winter : VA -2* - HA -3* | Winterfelgen GT86 7x17 ET 43 + 25mm Spurplatten pro Seite
    Sommer : VA -2* - HA -3* | OZ Ultraleggera 8x18 ET43

    4 Mal editiert, zuletzt von Donn!e DarKo ()

  • Problem ist, dass sich diese Version nicht nur auf aktuell verbundene Netzlaufwerke ausbreitet, sondern schlicht auf alle erreichbaren. Und mittlerweile nicht mehr nur per Mail, auch über Websites usw.


    Ganz übles Ding... und es gibt immer reichlich User, die trotzdem jedes noch so unplausibles Mail kopfleer anklicken...


  • Problem ist, dass sich diese Version nicht nur auf aktuell verbundene Netzlaufwerke ausbreitet, sondern schlicht auf alle erreichbaren. Und mittlerweile nicht mehr nur per Mail, auch über Websites usw.


    Ganz übles Ding... und es gibt immer reichlich User, die trotzdem jedes noch so unplausibles Mail kopfleer anklicken...


    Das Stimmt, die Verbreitung ist halt dem User geschuldet. Aber genau deswegen hab ich den Thread erstellt. Hier erreiche ich definitiv Leute die mit dem Rechner umgehen.
    Aber ich kenne das halt auch, das Leute zwar nen Rechner bedienen können, sich aber nicht mit der Materie auseinander setzen wollen/können.


    Ich hoffe trotzdem das die Info evtl. einigen hilft :-)

    GT86 TRD Schwarz - 200 PS
    KW V3 - Bastuck MSD - Bastuck ESD - Ragazzon FP
    Winter : VA -2* - HA -3* | Winterfelgen GT86 7x17 ET 43 + 25mm Spurplatten pro Seite
    Sommer : VA -2* - HA -3* | OZ Ultraleggera 8x18 ET43

  • Ich hatte auch schon mit der Verrechnungsstelle Kontakt, auch telefonisch, hochprofessionelle Hotline (nicht scherzhaft gemeint!).


    Nachdem ich aber beim Kunden knapp 90% wieder aus Backups herstellen konnte und nur mehr private Sachen betroffen war haben wir abgebrochen.


    Zahlungsmittel: BitCoin


  • Ich hatte auch schon mit der Verrechnungsstelle Kontakt, auch telefonisch, hochprofessionelle Hotline (nicht scherzhaft gemeint!).


    Nachdem ich aber beim Kunden knapp 90% wieder aus Backups herstellen konnte und nur mehr private Sachen betroffen war haben wir abgebrochen.


    Zahlungsmittel: BitCoin


    Wir waren bissher verschont, ich suche momentan noch eine möglichkeit die Makro-Ausführung über die GPO zu verbieten. Jemand ne Lösung parat?

    GT86 TRD Schwarz - 200 PS
    KW V3 - Bastuck MSD - Bastuck ESD - Ragazzon FP
    Winter : VA -2* - HA -3* | Winterfelgen GT86 7x17 ET 43 + 25mm Spurplatten pro Seite
    Sommer : VA -2* - HA -3* | OZ Ultraleggera 8x18 ET43

  • In unserem Netzwerk hat es der gleiche Benutzer schon 2 mal geschafft, sich den Trojaner einzufangen,
    an 2 aufeinanderfolgenden Tagen. :love:


    Bin zum Glück nicht der Admin und kann mir das alles in Ruhe von außen angucken :D

  • Genau gibt im Prinzip drei Dinge die man effektiv machen kann:
    - Backups, Backups und noch mal Backups und dann die Datenträger auf denen gespeichert wird stromlos aufbewahren
    - Alle Markos per GPO oder lokal in den Office Einstellungen einschränken/deaktivieren (beachten: Vertrauenswürdige Quellen sind hiervon evtl. nicht betroffen)
    - Wer eine FritzBox oder einen Proxy nutzt: Das Downloaden von .exe / .pif Dateien verbieten, die Makros und JavaScripte laden nachträglich Dateien herunter, die die eigentliche Verschlüsselung anstossen
    - JavaScript und PHP sind for die "WebServer" Variante relevant, also ggfs. auch deaktivieren


    Die Selbstverständlichkeit, dass man Dateien / EMails die man nicht kennt / erwartet auch nicht öffnet sondern ungelesen löscht, erwähne ich mal nur zur Vollständigkeit.


    Diese blöde Ding hat uns ziemlich auf Trap gehalten... bis jetzt keine Infektion :-D

  • Das Zeug ist die Pest schlechthin. Am Ende kannst Du machen was Du willst (sofern Du durch Dein OS gefährdet bist). Von daher behaupte ich: Hirn schlägt Technik – immer noch.


    Und die (derzeit) beste „Waffe“ ist (D)ein aktuelles, funktionierendes Backup udn die CPU zwischen den Ohren.

    Ich möchte wie mein Opa im Schlaf sterben und
    nicht so jammernd wie sein Beifahrer.


    満月-86

  • In unserem Netzwerk hat es der gleiche Benutzer schon 2 mal geschafft, sich den Trojaner einzufangen,
    an 2 aufeinanderfolgenden Tagen. :love:


    Bin zum Glück nicht der Admin und kann mir das alles in Ruhe von außen angucken :D


    Privat gesurft, oder geht das in unserer Branche auch schon rum ?

  • Die Mails "tarnen" sich stellenweise richtig gut. Da kommt dann eine Mail zum Beispiel von MarkusMeier47632@firmendomain.de wobei es sich bei der Domain um die gleiche wie die des Empfängers handelt.


    Geht so, ich habe einfach im Spamfilter alle Mails *@firmendomain.tld in Richtung eingehend geblockt - es macht logisch keinen Sinn, dass Mails von außen durch unseren Mailproxy mit unseren Domains kommen :D Sonst hast du recht, so ein relativ vertrauter Absender verwirrt sehr viele User.

  • Was mich bei dem Thema so richtig stört, für den Bundestrojaner hat man Geld, für Parksünder hat man Geld aber für Verhandlungen um rechtliche Mittel Weltweit gegen diese Erpresserbanden zu haben wird keine Energie eingesetzt.


    Und die machen richtig Geld...für mich ist das nichts anderes als Terror

  • Die Mails "tarnen" sich stellenweise richtig gut. Da kommt dann eine Mail zum Beispiel von MarkusMeier47632@firmendomain.de wobei es sich bei der Domain um die gleiche wie die des Empfängers handelt. Da hat man als Admin gar keine große Chance seine Mitarbeiter zu sensibilisieren. Die sehen nur die eigene Domain im Absender und öffnen bereitwillig alle Anhänge.


    Gibt es einen Grund warum Mails der eigenen Domäne von extern kommend nicht sofort verworfen werden? Das ist eigentlich eine übliche Einstellung, ebenso wie eine DNS Prüfung des Absenders.

    Ich möchte wie mein Opa im Schlaf sterben und
    nicht so jammernd wie sein Beifahrer.


    満月-86

  • ...für mich ist das nichts anderes als Terror


    Das stimmt wohl. Und es wird jeden Tag "besser".


    Ich möchte nicht wissen wie hoch der wirtschaftliche Schaden sein wird. Ganz abgesehen von dem "emotionalen Schaden" bei diversen Anwendern und Supportlern, die dem Terror ausgesetzt sind. :(

    Ich möchte wie mein Opa im Schlaf sterben und
    nicht so jammernd wie sein Beifahrer.


    満月-86

  • Ganz hässliche sache sowas, eine bekannte von mir hat sich auch mal so eine CryptoLocker variante eingefangen natürlich kurz vor der Abgabe der Masterarbeit,
    keine Chance auch nur irgendwas wiederherzustellen, die ärmste hat dadurch zwei Wochen arbeit verloren.


    Das einzige was da wirklich hilft sind regelmäßige Backups auf externe Datenträger die nach dem Backup direkt entfernt werden.
    Die Infektion bei ihr passierte wohl auch über eine Webpage trotz einsatz von aktueller Anti-Viren Software.

  • Zitat

    Gibt es einen Grund warum Mails der eigenen Domäne von extern kommend nicht sofort verworfen werden? Das ist eigentlich eine übliche Einstellung, ebenso wie eine DNS Prüfung des Absenders.


    Kann ich dir so leider nicht sagen. Wäre aber irgendwie sinnvoll

  • Hey Thomas,


    ich finde es gut das du hier ein bisschen Aufklärung betreibst auch wenn es nichts mit Kfz zu tun hat.


    Gruß

    #MAXIMUM ATTACK


    OZ, Yokohama, H&R, Tarox, EBC, Evolity, KW, ST-Suspension, Superpro, Whiteline, Cusco, Injen, Budde, Subaru OEM, Mishimoto, HJS, Bastuck, Remus, Motul, Liqui Moly, STI

  • Hey Thomas,


    ich finde es gut das du hier ein bisschen Aufklärung betreibst auch wenn es nichts mit Kfz zu tun hat.


    Gruß


    Danke :-) Man muss ja irgendwie die Verbreitung eindämmen :-D

    GT86 TRD Schwarz - 200 PS
    KW V3 - Bastuck MSD - Bastuck ESD - Ragazzon FP
    Winter : VA -2* - HA -3* | Winterfelgen GT86 7x17 ET 43 + 25mm Spurplatten pro Seite
    Sommer : VA -2* - HA -3* | OZ Ultraleggera 8x18 ET43

  • Und weiter gehts, mittlerweile gibt es Mails vom BKA die natürlich den Trojaner enthalten


    http://www.heise.de/security/m…thaelt-Virus-3125820.html


    Gab auch wieder einige Dumme, die darauf reingefallen sind ... wie immer halt. Ich hoffe hier bleibt jeder davon verschont ;-)

    GT86 TRD Schwarz - 200 PS
    KW V3 - Bastuck MSD - Bastuck ESD - Ragazzon FP
    Winter : VA -2* - HA -3* | Winterfelgen GT86 7x17 ET 43 + 25mm Spurplatten pro Seite
    Sommer : VA -2* - HA -3* | OZ Ultraleggera 8x18 ET43

  • Mal zwei Fragen, schreibgeschützte Dateien/Verzeichnisse läßt er in Ruhe? Und Dateien mit anderer Endung als in seiner Liste auch, egal ob es sich vom Inhalt her um Dateien aus seiner Liste handelt, richtig?

    J.C.:"He who shall be last shall be sideways and smiling"
    Jango:"Alles für den GT, Alles für das Forum, mein Leben für das Auto"
    満月-86

  • Die zweite Frage ging eher in die Richtung, die Endungen, die er verschlüsselt, durch andere zu ersetzen und dann diese eben einzutragen als "öffnen mit". ;)

    J.C.:"He who shall be last shall be sideways and smiling"
    Jango:"Alles für den GT, Alles für das Forum, mein Leben für das Auto"
    満月-86

  • Versteh die frage leider nicht richtig. Aber zum Locky kann man nur sagen, man sollte prinzipell davon ausgehen das er versucht alles zu verschlüsseln, was nicht OS relevant ist.

    GT86 TRD Schwarz - 200 PS
    KW V3 - Bastuck MSD - Bastuck ESD - Ragazzon FP
    Winter : VA -2* - HA -3* | Winterfelgen GT86 7x17 ET 43 + 25mm Spurplatten pro Seite
    Sommer : VA -2* - HA -3* | OZ Ultraleggera 8x18 ET43

  • Er hat eine Liste an Dateiendungen, die er verschlüsselt, eine recht lange.


    Die Frage geht dahin, ob man diese in der Liste befindlichen Dateien eben mit einer anderen Endung versieht, damit werden sie nicht verschlüsselt. Um weiter bequem damit arbeiten zu können kann man dann diese neue Endung ja den Programmen "bekannt" machen, das ist bei Windows ja einfach.


    Die andere Frage war, ob Locky sich, die Rechte vorausgesetzt, sollte er aber haben, wenn er läuft, den Schreibschutz entfernt oder ob er nicht so weit geht.

    J.C.:"He who shall be last shall be sideways and smiling"
    Jango:"Alles für den GT, Alles für das Forum, mein Leben für das Auto"
    満月-86