Krypto-Trojaner Locky

Schnuetz1

Lötkolbengott/-göttin
Hallo zusammen,

Ich hoffe, dass mein Thema hiernicht fehl am Platz ist.

Seit einigen Tagen gibt es einen neuen Trojaner, welcher sich mit rasender Geschwindigkeit über Word-Dokumente verbreitet.
Er soll sich wohl über Makros verbreiten und den Computer erst nach Überweisung eines Lösegeldes wieder freigeben.

Link zu einer Quelle:
Krypto-Trojaner Locky: Mehr als 5. Infektionen pro Stunde in Deutschland - Golem.de

Viele Grüße,
Schnütz
 
Zitat: "Nach Angaben von Beaumont werden die Rechner über Word-Dokumente infiziert. Das schädliche Makro befindet sich in angeblichen Rechnungen. Besonders perfide: Der vermeintliche Inhalt wird als Buchstabensalat angezeigt, dem die Aufforderung vorangestellt ist: "Bitte Makros aktivieren, wenn die Datencodierung falsch ist." Das Makro lädt dann den eigentlichen Trojaner ladybi.exe herunter, der anschließend die Dokumente in hash.locky-Dateien verschlüsselt, den Bildschirmhintergrund ändert sowie weitere Dateien herunterlädt und öffnet."

Das sind also die E-Mails mit den ganzen Rechnungsanhängseln. Naja, wer da draufklickt is selber Schuld. Wird ja jeder selber wissen, wo er Rechnungen offen hat und wo nicht.
 
Man muss also eine e-Mail von einem unbekannten Absender öffnen, den Anhang dieser Mail öffnen und Word auch noch erlauben das unbekannte Makro auszuführen trotz üblicher "Vorsicht bei fremden Inhalten"-Warnung die Office in diesem Fall präsentiert.

Eine wirklich perfide Masche. Leute, die das alles tun was nötig ist um sich den Virus zu fangen würden wahrscheinlich auch einem netten Mann der auf der Haustür steht und fragt "würden sie mir bitte all ihr Geld geben" ein lächelndes "Ja, natürlich" entgegnen.


Klar gibts immer Menschen die darauf reinfallen. Es gibt auch Leute die wenn auf dem Bildschirm groß steht "Um den Virus zu installieren drücken sie bitte OK" auf OK klicken. Da ist aber meiner Ansicht nach die Grenze wo übergeordnete Institutionen für einen Bevölkerungsschutz soren müssen lange überschritten. Gesunden Menschenverstand müssen die Leuts schon selbst mitbringen.
 
So ist das meist mit Abzocken: Eigentlich sollte man sie erkennen. Und schwupps - ist man darauf reingefallen.

Und wie man sieht sind ja schon mehr als genug Leute darauf reingefallen.
 
Ja, ich bin auch immer wieder erschrocken wie unglaublich gutgläubig manche Menschen in der Welt unterwegs sind. :ka:

Vielleicht sollte ich mich selbstständig machen und einfach Mails ohne Betreff rundballern mit dem Inhalt "Bitte überweisen sie 50€ auf folgendes Konto, sonst stirbt meine Katze: blablubb". Wahrscheinlich biste 6 Wochen später reich :ugly:
 
Ist ja nicht nur so dass man sich den Wurm per E-Mail Anhang einfangen kann.

Golem schrieb:
Wie das Sicherheitsunternehmen Kaspersky berichtet, verbreitet sich das Erpresserprogramm nicht nur über infizierte E-Mails. "Zudem haben wir auch einige legitime Websites entdeckt, auf denen die Locky-Schadsoftware platziert wird. Besucht ein Nutzer - mit entsprechenden Software-Schwachstellen auf seinem Rechner - eine solche Seite, versucht sich Locky automatisch auf diesem Rechner zu installieren", teilte das Unternehmen am Freitag mit.
Krypto-Trojaner Locky: Mehr als 5. Infektionen pro Stunde in Deutschland - Golem.de

Wenn man die Erpresser erwischt, wäre ich für eine IRA-Methode (wenn Tom Clancy da mal in einem seiner Bücher nicht gelogen hat):
Mit ner Kleinkaliberwaffe von hinten die Kniescheiben zerschießen :motz:
Und (von mir aus noch) mit nem Schild a la Die Hard III über IS-Gebiet abwerfen.
Mal kucken wie schnell sie mit kaputten Knien rennen können.
 
Das problem ist vor allem, dass er für firmen eine grosse Gefahr darstellt. Wenn einer der 20.000 Mitarbeiter meiner Firma das ding installiert, dann wird alles gelockt was für den Mitarbeiter zugänglich ist..... und das kann Milliarden kosten.
 
Das problem ist vor allem, dass er für firmen eine grosse Gefahr darstellt. Wenn einer der 20.000 Mitarbeiter meiner Firma das ding installiert, dann wird alles gelockt was für den Mitarbeiter zugänglich ist..... und das kann Milliarden kosten.

Dann solltest du die IT-Abteilung deiner Firma dringend ersetzen. Die ist nämlich scheinbar komplett unfähig.
 
Locky....weia....wer kommt auf den Namen? Dieses Teil ist schon seit Monaten im Umlauf und dieses Locky Ding ist wahrscheinlich nur die achthundertdrölfste Variante. Naja, wie heisst es so schön "Jeden Tag steht ein blöder auf.". Wer immer noch auf sowas reinfällt ist selber schuld.
 
Dann solltest du die IT-Abteilung deiner Firma dringend ersetzen. Die ist nämlich scheinbar komplett unfähig.

Wenn ich von "meiner" Firma rede, dann meine ich dass ich da Mitarbeiter bin, nicht dass sie mir gehört :)

Und prinzipiell habe ich erstmal kein problem mit den Mitarbeitern unserer IT (man kann ja auch schlecht 500 IT Mitarbeiter aus 30 verschiedenen Standorten und Ländern über einen Kamm scheren).
Ich bin ja kein ITler......ich habe lediglich diesen freundlichen warnhinweis von unserer IT als email erhalten.
Womöglich war dass aber auch etwas pberdramatisiert um den DAU eben etwas stärker zu sensibilisieren. :)
 
Was passiert eigentlich bei einer Liveversion (mit und ohne HDD) und bei einer VM ohne shared Ordner?

Die Entwickler von Lucky sind pros, davon ausgehend werden diese Vorsichtsmaßnahmen ergriffen haben. Wird die exe in einer virtuellen Umgebung ausggeführt, wird sich diese zu 99.9% einfach schließen.(Sind paar zeilen progcode um zu erkennen ob ich auf einer virtullen umgebung bin oder nicht ;) )
Weiters wollen die Entwickler ja nicht das man Locky reversengeered somit wird da genung "obfuscating" begangen sein. Viel spaß die ganzen cals und routienen durch zugehen, es gibt zwar software die ein bisschen den unnützen programm schrott entfernt, nur bis man den sauberen quellcode einmal hat, wirds bisschen dauern !!!!
 
Die Entwickler von Lucky sind pros, davon ausgehend werden diese Vorsichtsmaßnahmen ergriffen haben. Wird die exe in einer virtuellen Umgebung ausggeführt, wird sich diese zu 99.9% einfach schließen.(Sind paar zeilen progcode um zu erkennen ob ich auf einer virtullen umgebung bin oder nicht ;) )
Weiters wollen die Entwickler ja nicht das man Locky reversengeered somit wird da genung "obfuscating" begangen sein. Viel spaß die ganzen cals und routienen durch zugehen, es gibt zwar software die ein bisschen den unnützen programm schrott entfernt, nur bis man den sauberen quellcode einmal hat, wirds bisschen dauern !!!!

Anscheinend nicht, denn wie man bei SemperVideo sehen kann, funktioniert der Virus auch auf deren VM. :D

Video findest du hier: Krypto-Trojaner Locky - YouTube

Ist sehr interessant, sie schauen dort von wo überhaupt der Virus geladen wird, wenn das Makros ausgeführt wird und die Quelle sind irgendwelche geknackten Server im Netz.
 
und dann isses nen 3-Zeiler :ugly:
Mach drei Nullen dran :ugly:

Denke schon das die ordentlich was aufm Kasten haben.
Und es funktioniert ja auf VMs wie man bei SemperVideo gut sehen kann. Und ich wette einer der Kollegen war wieder auf P*rn seiten :D

Wie dem auch sei, die sollen sich da mal dran hocken und dafür sorgen das man die Dateien auch wieder entschlüsseln kann ^^
 
Anscheinend nicht, denn wie man bei SemperVideo sehen kann, funktioniert der Virus auch auf deren VM. :D

Video findest du hier: Krypto-Trojaner Locky - YouTube

Ist sehr interessant, sie schauen dort von wo überhaupt der Virus geladen wird, wenn das Makros ausgeführt wird und die Quelle sind irgendwelche geknackten Server im Netz.

Epic fail von den Entwicklern, die logs sind alle offen da wird einem nichts erschwert :lol: Man muss bald eher annehmen das Lockys Kern von eine anderen Quelle programiert wurde. Das Deployment wird warscheindlich wiederum eine andere Quelle gemacht haben, aber irgendwie nicht zu verstehen. Der aufwand ist sowas von minimal, aus entwicklersicht nicht nachvollziehbar warum virtual machin erkennung nicht vorhanden ist .
Aber abwarten, Locky war ein massiger Erfolg wird leider sicher bald eine neuere version geben, da viele Viernscanner die signatur jetzt kennen :(
M.m nach müssten inhaber des Webspaces auch mal in die pflicht genommen werden, es ist vollkommen verständlich das jede webpage gehacked werden kann, nur was man in dem YOUTUBE video gesehen hat ist leider alles nur als grob fahrlässig zu betrachten :(
 
Zurück