Ransom gefällig? Ja, bitte, Locky!

Und weiter geht’s: Mit dieser neuen Variante von Ransomware geht die Evolution erneut eine Stufe weiter.

Es tauchen immer mehr Berichte auf, nach denen am Montag Nachmittag offenbar auf mehreren Systemen zeitgesteuert ein bisher schlafender Cryptotrojaner namens Locky geweckt und aktiv worden ist. Gemäß der üblichen Vorgehensweise seiner Art durchsucht auch er die persönlichen Dateien und verschlüsselt diese. Die Liste der Endungen, die der Verschlüsselung zum Opfer fallen, wird jedoch immer länger. So umfasst sie bei Locky über 150 Einträge.

Die tickende Zeitbombe ist dabei aber nicht einmal die schlimmste Eigenart dieser Ransomware. Viel gravierender ist die Tatsache, dass Locky nach der Verschlüsselung das Programm vssadmin.exe mit den Parametern „Delete Shadows /All /Quiet“ aufruft. Dies vernichtet alle auf dem System vorhandenen Volumenschattenkopien, die in der Vergangenheit das ein oder andere Opfer eines Cryptotrojaners gerettet haben. So konnten sie, wenn sie diesen Dienst nutzten, nach der Säuberung des Systems über den Dialog „Vorgängerversion wiederherstellen“ ihre Dateien auf den Stand vor der Infektion/Verschlüsselung zurücksetzen. Dies verhindert Locky wirkungsvoll!

//matthias.p

Quellen (Stand 17.02.2016):

www.heise.de Bleeping Computer

TeslaCrypt3 schaltet einen Gang hoch

Dass die Programmierer der RansomWare TeslaCrypt nicht schlafen, lässt sich allein an der Versionsnummer bereits gut ablesen. Was sich nun aber als neues Derivat in freier Wildbahn zeigt, ist noch ein mal schlimmer.

Die nun immer häufiger gesichtete, neue Version von TeslaCrypt3 versieht die Dateien nach der Verschlüsselung nicht nur verwirrender Weise mit der Endung .mp3. So verschlüsselt er auch nicht mehr nur die Eigenen Dateien seines Opfers sondern jetzt gleich jede Datei, auf die der betroffene Nutzer bzw. Account Schreibrechte besitzt.

Dies bedeutet zum einen eine akute Gefahr für das laufende System, sofern der betroffene Account Systemadministrator ist. Das Betriebssystem wird dabei unangetastet bleiben, damit die Erpresser weiter ihr Lösegeld fordern können. Jedoch kann dies für installierte Anwendungen natürlich völlig anders aussehen. Zum anderen sind durch dieses Vorgehen natürlich auch Freigaben und entfernte Laufwerke wie beispielsweise Dropboxen gefährdet, gerade wenn ein Synchronisierungsdienst genutzt wird.

//matthias.p

Quellen (Stand 13.02.2016):

www.heise.de Bleeping Computer

Kreditkartenbetrug 2.0

Kontrollieren Sie regelmäßig Ihre Kreditkartenrechnungen? Nein? Nun, das sollten Sie grundsätzlich tun. Außerdem sind momentan Betrüger mit geklonten Karten in europäischen Städten unterwegs. Und das trotz des laut den Kreditinstituten sicheren Chip+PIN-Konzeptes.

c’t und der Zeit gelang es, die Vorgehensweise der Betrüger nachzuvollziehen. Zentraler Punkt ist das im Untergrund für etwa 20.000€ gehandelte Werkzeug MacGyver. Dies wird zusammen mit weiteren Daten – wie sie in Datenbanken gestohlener Kreditkartendaten aus diversen Fällen vorhanden sind – auf im Internet frei zu kaufende Java-Smartcards geschrieben. Die farblosen Karten werden danach bedruckt und geprägt, sodass sie nur noch äußerst schwer von regulären Kreditkarten zu unterscheiden sind.

Beim Zahlvorgang verhält sich MacGyver gegenüber dem Bezahlterminal wie eine Visa-, Mastercard- oder American-Express-App. Dabei akzeptiert sie eine beliebige PIN wie „0000“. Im Anschluss sendet die App gemäß des EMV-Standards kryptographisch gesicherte Daten zur Transaktion sog. Authorization Request Cryptogram (ARQC) an das die Karte herausgebende Kreditinstitut. c’t gibt hier an, ihre Analysten entdeckten, dass MacGyver nicht in der Lage ist, korrekte ARQCs zu erzeugen. An dieser Stelle sparen die Banken offenbar an der aufwändigen Prüfung der kryptographisch gesicherten Informationen und autorisieren die Transaktion dennoch.

//matthias.p

Quellen (Stand 23.01.2016):

www.heise.de c’t 03/2016

Support von Windows 8 beendet

Am Dienstag, 12.01.2016 hat Microsoft den Support für Windows 8 gemäß seines Lebenszyklus‘ beendet.

Wen das jetzt über alle Maßen wundert, dem sei gesagt, dass ein Update auf Windows 8.1 genügt, um weiter mit Updates versorgt zu werden. Dies liegt in erster Linie daran, dass Microsoft das Update auf Windows 8.1 als Service Pack für Windows 8 versteht. Wie bei den Vorgängerbetriebssystemen auch ist das Service Pack Grundvoraussetzung für die weiteren Updates.

  • Der grundlegende Support für Windows 8.1 endet laut Microsoft derzeit am 9. Januar 2018.
  • Der erweiterte Support endet planmäßig fünf Jahre später, somit am 10. Januar 2023.

Des weiteren sollte man wissen, dass ein Upgrade auf Windows 10 ebenfalls nur mit installiertem „Service Pack“, also von Windows 8.1 aus möglich ist!

//matthias.p

Quellen (Stand 13.01.2016):

www.heise.de windows.microsoft.com

Ransom32 kommt via JavaScript

Es zeigt sich wiedereinmal, dass die bösen Jungs nicht schlafen und auch sie ihre Schadprogramme weiterentwickeln: Als erste Ransomware seiner Art nistet sich Ransom32 per JavaScript auf dem Rechner des Opfers ein.

Ransom32 soll dazu das NW.js-Framework nutzen. Die Entwickler erstellen damit JavaScript-Applikationen, die aufgrund der Cross-Plattform-Eigenschaften auch problemlos für Linux und Mac OS X angepasst werden können. Weiter ermöglicht eine mit NW.js-Framework erstellte Anwendung weitaus tiefere Eingriffe in die Betriebssysteme als eine in einer Sandbox laufende App im Webbrowser.

Das Hauptproblem stellt derzeit aber die Tatsache dar, dass Virenscanner aufgrund der Legitimität des NW.js-Frameworks nicht Alarm schlagen. Sie erkennen die Fingerprints der damit erstellten Anwendungen nicht als Grund, diese als bösartig einzustufen.

Da auch andere Anwendungen die Einbettung von HTML- und JavaScript-Code erlauben und nutzen, ist nicht nur der Browser ein Einfallstor: Der Kryptologe Fabian Wosnar stieß so z.B. auf ein selbstentpackendes RAR-Archiv. Dieses enthielt seinen Angaben nach Ransom32 mitsamt zugehöriger Laufzeitumgebung. Entpacken durch Doppelklick startete somit auch die Ransomware selbst.

//matthis.p

Quellen (Stand 09.01.2016):

www.threadpost.com blog.emisoft.com www.heise.de