News Neuer und sehr aggressiver Typ von Erpresserprogrammen ist „Online“

[User-News]

Neuer und sehr aggressiver Typ von Erpresserprogrammen ist „Online“

http://img.trojaner-board.de/verschluesselungstrojaner.png
​

Die bekannten GEMA und Bundestrojaner sind hinreichend bekannt und die Entfernung bzw. Wiederherstellung des System, Dank der Initiative wie von Forenseiten wie „www.trojaner-board.de“ nicht mehr völlig unmöglich.
Seit gut zwei Monaten ist ein neuer Typ von Erpresserprogramme aufgetaucht, der sich vorwiegend (noch) per Mail verbreitet, und in der Funktionsweise zum Teil noch unbekannt ist.

Beispielmails:
„…Sie haben gerade bei TERRAPflanzenhandel die Premiummitgliedschaft erworben. Die Zahlung in Höhe von 127,89 EUR wird in den folgenden Tagen von Ihrem Girokonto abgeschrieben.

Sie sind jetzt für die nachfolgenden 18 Monate Star-Mitglied und können in voller Größe die Starangebote nutzen.

Zahlungsaufforderungen sind aus Vorsichtsgründen laut dem $ 6f, 8d BDSG, aus dem beigefügtem Anhang zu konrollieren.
Die Stornierung der Sonderdienste, ist mit der im zugefügtem Zip Ordner mitgelegten Wiederrufungserklärung an Jonas@Heinrich-kanzlei.de zu mailen.

Ihr E-Mail-Support

Buzzcube GmbH
Bergmannring 53
66808 München

Tel: (+49) 126 93657286
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 9.00 bis 17.00 Uhr)
Gesellschaftssitz: Bad Berleburg
Umsatzsteuer-Id: DE651662247 Geschäftsfuehrer: David Lang…“

oder auch:
„…Sehr geehrte Damen und Herren,

Danke für Ihre Bestellung bei macXperts, nachfolgend finden Sie Ihre Antragsbestätigung.

Ihre Bezahlnummer: 319000144285
Artikel: Coluco 9320473443 5051,08 Euro
Rechnungsname: Wie in Bestelldetails abgebildet


Zahlungsmethode: Mastercard

Versandadresse und detaillierte Rechnungsdaten finden Sie wegen Sicherheitsgründen im Zusatzordner.

Die Überweisung wurde autorisiert und wird innerhalb 4 Tage entzogen.
Kaufauflistung und Storno Möglichkeiten finden Sie im Zusatzordner in der E-Mail.


Ihr E-Mail-Support

Seeberg GmbH
Culinstrasse 66
49914 Hannover

Telefon: (+49) 786 2283478
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Bad Bentheim
Umsatzsteuer-ID: DE214313877
Geschäftsfuehrer: Frieda Mayer…“

Die Vorgehensweise ist dabei gleich. Aus „Angst“ will man den Auftrag sofort stornieren und öffnet den Anhang. Diese Datei ist eine ZIP Datei worin sich die eigentliche Schadsoftware befindet und muss, z. T. dann mit einen beigefügten Passwort, geöffnet werden. Das Zip –Format soll dabei den Trojaner vor den Virenscannern verbergen.
falls man den Fehler macht und diesen Anhang öffnet, dann installiert sich das Programm und lädt umgehend, soweit möglich, aus dem Internet weitere Programme hoch und installiert diese.
Größtes Problem bei diesem Trojaner ist, dass es sofort mit der Verschlüsselung persönlicher Daten und Programme beginnt.
Besonders brisant: Vorher zur Datensicherheit angelegte Festplattenimages oder Backup-Dateien sind mit die ersten Opfer dieser aggressiven Software .
Noch können die Dateien nicht wiederhergestellt werden.
Darum gilt beim Infekt:
SOFORT DEN STECKER ZIEHEN (Notebook PC`s etc. auch den Akku entfernen), je schneller desto besser!!!
Auf keinen Fall, Zeit zum studieren des Textes oder womöglich der Beschaffung eines Ukash Guthabens vergeuden!.

Zur Zeit wird noch an einer Lösung zur Wiederherstellung der verschlüsselten Daten gearbeitet. Bis es soweit ist, empfiehlt es sich die Festplatte auszubauen und die darin befindlichen Daten (Word, Excel, Jpeg etc.) über z.B. ein Linux System zu sichern und das Betriebssystem anschließend neu aufzusetzen.
Es ist nur eine Fragen der Zeit bis diese Art von Trojanern sich Zutritt auf den PC über andere „Zugänge“ wie z.B. per Flash/Webseite verschafft. Sinnvolle Apps wie „Ghostery“ oder „NoScript“ für Firefox könnten dann vielleicht für zusätzliche Sicherheit beim browsen im Internet sorgen.

Wie immer: „Aktuelle Virensoftware ist kein Garant für sicheres Arbeiten mit dem PC“.

Aktuelle Hilfe und Tipps zum Trojaner findet sich auf den Seiten von „trojaner-board.de“:
http://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf.html



Viele Grüße,
stolpi

 

[OBrian]

Danke für den Hinweis, er wird leider nicht die ernsthaft Gefährdeten erreichen. Wer Anhänge von unangeforderten e-Mails öffnet, ist sowieso schon so vertrauensselig bzw. naiv, daß nach dem Öffnen wohl kaum plötzlich heilsame Paranoia einsetzt, die einen sofort die Kiste abschalten läßt.

 

[Lord Bainzer]

Ich kriege zur Zeit auf einer meiner Mailaddis so viel Spam, da würde eine etwaige Mail mit unbekannten Absender sowieso umgehend gefiltert und gelöscht, egal ob die da 100.000€ von meinem Konto abbuchen wollen.

Wie du schon sagtest, eine aktuelle Virensoftware bietet heutzutage keinen 100%igen Schutz. Das Hirn muss man auch mal einschalten...

 

[aalerich]

Aber, aber, Windows 7 ist doch sooo sicher ...

Duck und weg ...

 

[Metalhead85]

Wie wat?! Selbst wenn man ein Image auf einer anderen Partition der Platte hat und das dann über (bei mir) den Acronis Loader wiederherstellen will, gibt es Probleme? Oder habe ich das falsch verstanden.
Aber ansonsten ist dieser Text einfach zum Schießen......

 

[Dymas]

Wie wat?! Selbst wenn man ein Image auf einer anderen Partition der Platte hat und das dann über (bei mir) den Acronis Loader wiederherstellen will, gibt es Probleme? Oder habe ich das falsch verstanden.
Aber ansonsten ist dieser Text einfach zum Schießen......

so wie ich das seh stürzt sich die Schadsoftware auf etwaige Images, die es erreichen kann. Ich denke wenn man von einer Rettungscd bootet und ein Image von einem externen Laufwerk (das vorher nicht am PC angeschlossen war) läd, kann es gar keine Probleme geben.

 

[Santas Little Helper]

Immer wieder witzig, dass in diesen "Ihr Rechner wurde gesperrt, weil..." Texten, die einem dann erzählen, dass man 100€ für dieses ominöse Sicherheitsupdate zahlen soll, immer und immer wieder die das/dass Regel verletzt wird. Auch hier wieder schön zu sehen. Keiner der Vollpfosten, die solche Betrügertexte verfassen, hat genügend Schulbildung um an der entsprechenden Stelle ein "dass" einzufügen. Nein, da steht immer wieder "das".
Muss ich jedes Mal schmunzeln drüber.

Und wer wirklich auf solcherlei billige Tricks reinfällt, der muss schon echt unbedarf sein in Sachen Internetnutzung.
Schon allein eine Zahlung per Mastercard würde bei mir den Betrugssensor extrem in die Höhe schnellen lassen, weil ich gar keine Mastercard besitze.

Oder auch angebliche Abbuchungen von meinem Konto lassen mich kalt, wenn ich genau weiß, dass ich mich nirgends angemeldet habe.
Und selbst wenn ne Abbuchung käme, kann ich die sofort zurück buchen lassen.

Also mal wieder ausgelegt auf die absolut Ahnungslosen Internetnutzer.

 

[otti503]

Vielleicht anstatt eines Virenscanners einfach ein Rechtschreibprüfungsprogramm drüberlaufen lassen und ab in die Tonne.. oder eben Brain 1.0

 

[Emploi]

Wäre natürlich interesant ob ThreatFire diesen Knaben zur Strecke bringt. Es springt jedenfalls recht häufig an.

Gibt es den irgendwo zu testen?

 

[[MTB]JackTheRipper]

Wenn das klappt bekommen das meine Eltern installiert.

Ich kenne leider die Verhaltensweise des Programms nicht. Kann es mögliche Schadsoftware an einer weiteren Ausführung des Schadcodes ohne eingreifen des Benutzers hindern, dann könnte es klappen. Je nachdem ab wievielen auffälligen Aktionen die Software Alarm schlägt. Wenn sofort nach Ausführung der Schadsoftware der Windowsstart manipuliert und der Sperrbildschirm kommt, könnte ThreatFire eventuell zu langsam sein.

 

[Gast30082015]

Also mal wieder ausgelegt auf die absolut Ahnungslosen Internetnutzer.

Die mit Abstand größte Risiko-Gruppe.

 

[stolperstein]

.....
Also mal wieder ausgelegt auf die absolut Ahnungslosen Internetnutzer.

Moin Moin,

natürlich wird es wohl hier kaum einen aus dem Board treffen, aber im Bekanntenkreis gehört sicherlich doch der ein oder andere zu dieser Risikogruppe ...
Vor kurzem ist ja auch der GMX Maildienst angegriffen worden und mit den erspähten Mailadressen lassen sie sich sicherlich gut für solche Angriffe missbrauchen.

Wegen der Backup-Frage ist es wohl so, dass das Programm alle in Reichweite, also auch angeschlossene externe Festplatten danach durchforstet und mit seiner Arbeit umgehend beginnt.
Vornehmlich zielt der Trojaner auf die Verschlüsselung vonl Bilder, Image Dateien, Word usw. aber auch auf div. Programme.


Grüße,
stolpi

 

[Onkel_Dithmeyer]

Ich finde es sehr interessant, ich habe mehrfach Mahnungen in letzter Zeit erhalten und ich solle den Anhang öffnen. Die Verweise liefen alle auf existierende Onlineshops. Die Mailadressen des Absenders lag aber immer im Ausland. z.B. @ntl.sympatico.ca; @ctsabah.com.my; @MIT.EDU. Jedesmal wurden unterschiedliche Texte andere Ware und Beträge die noch zu zahlen seien genannt. Die genauen Daten lägen im Anhang. Eine Zip-Datei mit einer ausführbaren *.com im Anhang. Die Briefköpfe am Ende sind ebenfalls realistisch und auf existierende Online-Shops zurückzuführen, die allerdings bestimmt nichts mit dem Fall zu tun haben. Ich habe mir die *.com mal mit einem Hex-Editor angeschaut und er ruft direkt im System32-Ordner Prozeduren auf bzw. legt diese an. (Soweit ich dies als Laie beurteilen kann)

Was dem ganzen aber eine besondere Brisanz gibt. Ich werde mit meinem richtigen Vor- und Zunamen angesprochen. Vielleicht hat es tatsächlich mit dem "GMX-Hack" zu tun, denn dort ist meine Mail-Adresse angelegt über die ich diese Mails bekomme.

Spoiler

Sehr geehrter YYY,

Sicher ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf unsere Mahnungsschreiben haben Sie ebenfalls nicht reagiert.

Ihre Bestellung: Lenovo 3Gen AX
Artikelnummer: 2815406167418
Stück: 2
Zwischensumme: 915,56 Euro

Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 10.- Euro inkl. MwSt.

Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Ansonsten sehen wir uns leider gezwungen, ein Gerichtsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Schreiben mit der Zahlung des ausstehenden Betrags zeitlich überschnitten haben, so betrachten Sie dieses Mahnungsschreiben bitte als gegenstandslos.

Beilagen:
- Rechnungsübersicht
- Lieferschein

Mit besten Grüßen

XXX

Spoiler

Hallo YYY,

Sicher ist es Ihnen entgangen, dass die Zahlfrist der nachfolgenden Rechnung abgelaufen ist. Auf unsere Schreiben haben Sie auch nicht reagiert.

Artikel: Toshiba Ultra HF
Artikelnummer: 6850383079052
Mänge: 4
Summe: 744,10 Euro

Durch entstandene zusätzliche Unkosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 90.- Euro inkl. MwSt.

Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Ansonsten sehen wir uns leider gezwungen, ein Betreibungsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Mahnungsschreiben mit der Bezahlung des ausstehenden Betrags zeitlich überschnitten haben, so betrachten Sie dieses Mahnungsschreiben bitte als gegenstandslos.

Anlagen für Kunde YYYY:
- Zahlschein
- Lieferschein

Mit besten Grüßen

sdass GmbH
asdasd 24
asdasd

Telefon: 12561564
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist asdasd
Umsatzsteuer-ID: asdasd
Geschäftsfuehrer: sadsad

Spoiler

Sehr geehrte Damen und Herren,

wohl in unserem Schreiben vom 09.06.2012 wurden Sie in Kenntnis gesetzt, dass die nicht beglichene Rechnung von 1472,35 Euro noch nicht überwiesen wurde. Mit diesen Brief bitten wir Sie Ihrer Pflicht nachzukommen.

Da dies die zweite Forderung ist, die Sie über Ihren Rückstand warnt, sind wir verplichtet Ihnen leider die Kosten von 20,00 Euro ebenfalls zu der noch offenen Forderung als Mahnung in Rechnung stellen.

Wir bitten Sie, die nicht bezahlten Kosten bis zum 18.07.2012 auf das angegebene Konto zu übersenden.

Sonst sehen wir uns gezwungen, unsere Forderung Inkassounternehmen einzuklagen.

Rechnung und Artikel Liste finden Sie in dem angefügten Schreiben.


Mit verbindlichen Grüßen

asgsadasd GmbH
Geschaeftssitz ist asdasdasd
Steuer-Nummer asdasd
Leiter: asdasd

Bei der letzten war mein Name "nur" im Betreff eingetragen.

Für mich als Linux-Nutzer ist vor allem die Weitergabe meines Namens ein Problem. In einer Ubuntu-VM konnte der Virus auch mit Wine keinen Schaden anrichten.

 

[burki_pdm]

Der Tip mit dem ziehen des Steckers ist wohl nicht ernst gemeint.

Das hat bei Virenbefall oder ähnlichem noch NIE Sinn gemacht. Das ist ein Ausdruck blanker Panik.

 

[Gast29012019_2]

Wenn man den Rechner sofort abschaltet, sofern der PC infiziert ist, kann das Virus keinen weiteren Schaden anrichten, als den weiter laufen zu lassen um zu schauen ob man noch was machen kann, da bis dahin das Virus dann alle Dateien infiziert hat.

 

[[MTB]JackTheRipper]

Naja, herunterfahren lässt sich das System nicht mehr und im Hintergrund werden deine Daten verschlüsselt.

Edit: Oh, etwas spät

 

[Ramius]

Vor kurzem ist ja auch der GMX Maildienst angegriffen worden und mit den erspähten Mailadressen lassen sie sich sicherlich gut für solche Angriffe missbrauchen.

Als Spammer braucht man gar keine Mailadresse.

Es reicht einfach emails an 1@<provider>, 2@<provider>, ... zu schicken. Die email Adresse a.b@<provider> ist ja nur ein alias, der auf eine Nummer abgebildet wird.

 

[Thomaswww]

Der Tip mit dem ziehen des Steckers ist wohl nicht ernst gemeint.

Das hat bei Virenbefall oder ähnlichem noch NIE Sinn gemacht. Das ist ein Ausdruck blanker Panik.

Hi Burki,

doch, das ist ernst und auch voll zu empfehlen! Sobald der PC aus ist, werden keine Dateien mehr verschlüsselt.
So kann man Glück haben und es ist nur ein kleiner Teil der Daten verschlüsselt. Jede Sekunde zählt bei solch einem Virenbefall. Empfiehlt u.a. auch Kaspersky.

 

[stolperstein]

....
Was dem ganzen aber eine besondere Brisanz gibt. Ich werde mit meinem richtigen Vor- und Zunamen angesprochen. Vielleicht hat es tatsächlich mit dem "GMX-Hack" zu tun, denn dort ist meine Mail-Adresse angelegt über die ich diese Mails bekomme.

.....

Wie ich eben feststellen dürfte wurde wohl auch versucht, in einen meiner "Fake"-gmx Adressen einzubrechen.
Jedenfalls zeigte er mir drei "fehlgeschlagene Loginversuche" an . Ist das einzigste Konto von mir bei gmx was diese Warnung anzeigt.
Normalerweise hole ich die Mails per Thunderbolt ab und logge mich nie über den Browser ein.
Habe das jetzt nur zur Kontrolle gemacht gehabt, und siehe da...Bingo!

Weiterhin gibt es leider noch keine Chance die Dateien zu entschlüsseln.
Die Passwörter liegen mit ein klein wenig Glück auf einen C&C Server der nur noch Beschlagnahmt werden muss
Also weiterhin: Rechner aus-SOFORT! und Daten sichern per Image usw. und hoffen das noch was passiert.
Dazu auf alle Fälle Anzeige erstatten, je mehr desto höher die Wahrscheinlichkeit das der Server vielleicht doch mal gecatch wird.
Und Finger weg von dubiosen Mails und seinen Anhängen!

Weitere Infos siehe hier:
http://www.delphipraxis.net/1169769-post147.html
und auch hier:
http://www.trojaner-board.de/116851-daten-retten-verschluesselungstrojaner.html#post842337


Viele grüße,
stolpi

 

[JKuehl]

Wie immer gilt: wer keine echten dezentralen offline - Backups hat ist der gelackmeierte.

 

[stolperstein]

Wie immer gilt: wer keine echten dezentralen offline - Backups hat ist der gelackmeierte.

Oh ja, blöd ist nur das sie das immer dann merken wenn es zu spät ist .
In meinen Familienkreis ist das kein Thema, aber selbst bei mir auf der Frima stehen mir die Haare manchmal zu Berge...und ich treffe immer noch welche, die von diesen Trojaner keine Ahnung haben...trotz Aushang usw.
Ist nur eine Frage der Zeit bis der da Aufschlägt...


Grüße,
stolpi

 

[stolperstein]

Moin Moin,

habe heute Mittag ein Anruf von der Telekom bekommen, auf keinen Fall die Anhänge von "Rechnungsmails" in ihren Namen zu öffnen...

Habe zwar noch keine Zeit gehabt, mir die Mails anzugucken aber es ist natürlich nicht schön zu hören, dass selbst große Anbieter mit Sicherheitslücken zu kämpfen haben.

Nett ist allerdings natürlich die telefonische Warnung.

Grüße,
stolpi

 

[Ge0rgy]

Deshalb hab ich meine Eltern instruiert die E-Mails nur von innerhalb der VM abzufragen und auch nur dort drin einen Mailclient installiert.
Soll der Virus doch das VM system attackieren, ein Mausklick und der letzte Snapshot wird wieder verwendet und der ist Virenfrei.
Es gibt durchaus Wege solche Bedrohungen noch weiter einzudämmen. Und vom Aufwand her gesehen ist selbst ein Acronis Image wiederher zu stellen immernoch in immens höherer Aufwand als ein paar klicks im VirtualBox Manager

 

[[MTB]JackTheRipper]

Dann solltest du aber auch so konsequent sein und bei denen jegliche Verbindungen nach außen, also auch das Surfen über ne VM laufen zu lassen.

 

[stolperstein]

Dann solltest du aber auch so konsequent sein und bei denen jegliche Verbindungen nach außen, also auch das Surfen über ne VM laufen zu lassen.

Das wäre vielleicht eine gute Maßnahme um größeren Schaden abzuwenden.
Welche Programme empfehlen sich da?


Grüße,
stolpi

EDIT:
Wahrscheinlich so etwas hier

Muss zugeben, dass ich mich damit überhaupt noch nicht beschäftigt habe ...wird sich nun ändern .