BKA- oder Bundespolizei-Fake – Erpressungstrojaner entfernen

Ransomware-Trojaner effektiv entfernen – wer im Internet ohne entsprechenden Sicherheitsvorkehrungen surft, läuft Gefahr sein PC-System zu gefährden und zu infizieren. Hat man aber die nötigen Schritte unternommen, besteht leider immer noch die Möglichkeit, dass bestimmte Viren den Computer befallen können. Die gefährlichste Art von diesen ist vielleicht die Trojaner Ransomware. Ransom, was sich aus dem Englischen als Lösegeld übersetzen lässt, wird dabei dafür verlangt, dass man das System, das von dem Virus angegriffen wurde, wieder entsperrt. Die Meldung, dass man den Computer aus sicherheitsbetreffenden Gründen gesperrt hat, kommt meistens im Namen von der Bundespolizei, des Bundeskriminalamts (BKA) oder der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU). Aber nicht nur diese „Adressaten“ werden von den Kriminellen benutzt. Inzwischen gibt es Tausende an verschiedenen Behörden, die angeblich den Computer sperren und nach Geld verlangen. Dazu gehören auch Bundesamt für Sicherheit in der Informationstechnik, Die Gesellschaft für musikalische Aufführungs- und mechanische Vervielfältigungsrechte (GEMA) und sogar Windows. In der Wahrheit, wird der Text von den Erpressern verfasst, die die entsprechende Software entwickelt haben. Wie man sich von dieser schützen und im Falle einer Infektion den Virus entfernen kann, erfahren die Leser im folgenden Artikel.

Wichtige Schritte

Was man vielleicht als erstes erwähnen sollte, ist das derjenige, der dazu aufgefordert wird eine bestimmte Summe zu zahlen, dies auf keinen Fall tut. Man verliert dabei nicht nur sein Geld, das System wird dabei auch nicht entsperrt. Wie auch bei anderen Erpressungsversuchen, seien diese nun digital oder physisch, sollte man diese der Polizei melden. Dafür wäre es angebracht eine Anzeige bei der Polizei zu erstatten und diese mit Fotos von der Erpressungsnachricht zu belegen. Dabei erhöhen sich die Chance, dass die Verantwortlichen von den staatlichen Sicherheitsdiensten gefunden werden können.

Erpresser-Trojaner bekämpfen

Leider entwickeln sich die Entwickler, sowie ihre Malwares immer weiter, sodass es schwieriger wird, eine geeignete Lösung gegen das Problem der Ransomware zu finden. Was aber in allen Fällen ratsam wäre, ist eine komplette Neuinstallation des Systems. Die Gefahr, dass der Virus alle „lebenswichtigen“ und vor allem private Bereiche des Gerätes befallen hat ist sehr. Wenn man diese also entfernen und komplett neu aufsetzen würde, gäbe es keine Möglichkeit für die Erpresser die Lösegeld-Sperrmeldung erneut anzuwenden. Wenn keine Datensicherung vorhanden ist, kann man versuchen den Computer durch ein Live-System (also ein Systemstart ermöglichen ohne vorinstalliertes Betriebssystem) zu starten und dadurch wichtige Informationen zu sichern.

Ransomware mit HitmanPro entfernen

Wer es aber mit anderen Mitteln versuchen will, kann auf entsprechende Programme greifen, die zur Beseitigung von Trojanern geeignet sind. So gibt es unter anderen den sogenannten „HitmanPro„, ein kostenloses Programm, das man gegen die Viren benutzen kann. Um das zu machen, sollte man es auf den USB Stick laden und folgende Schritte unternehmen:
  1. das Programm auf dem Stick starten
  2. im erschienen Fenster das „Männchen-Symbol“ unten anklicken
  3. individuellen Reinigungs-USB-Stick erstellen
  4. den infizierten Computer mithilfe des erstellten Sticks und über dem Bootmenü starten
  5. die Option „Bypass Master Boot Record“ betätigen
  6. Comupter mithilfe von HitmanPro auf Viren überprüfen (auf „Weiter“ bei dem Programm klicken)
  7. die schädlichen Elemente werden gescannt und, wenn diese gefunden werden, gelöscht (ebenfalls auf „Weiter“ klicken oder per Hand einzeln löschen

Trojaner per „Antiviren-CD“ beseitigen

Ebenso kann man auf die Hilfe von den sogenannten „Rettungs-CDs“ greifen, die von den Antiviren-Herstellern entwickelt werden und es dem Nutzer erlauben den Computer von Viren zu befreien. Damit es einwandfrei funktioniert, sollte man Folgendes machen:

  1. Rescue CD von dem passenden Antivirus Programm auf eine CD brennen lassen
  2. CD in den CD-ROM des befallenen Computers einlegen und durch Bootmenü starten
  3. den von dem Antivirus gegebenen Schritten folgen und das System von Viren befreien

Systemwiederherstellung

Auch mit einer einfachen Systemwiederherstellung kann man in einigen Regeln den Computer von Trojanern befreien. Folgende Vorgehensweise muss beachtet werden:

  1. Windows im sicheren Modus mithilfe von F8 Taste starten
  2. die Option „Abgesicherter Modus mit Eingabeaufforderung“ wählen
  3. den Befehl „rstrui.exe“ eingeben und bestätigen
  4. Systemwiederherstellungspunkt, zu dem das System problemlos funktioniert hat, auswählen

Schutzmaßnahmen beachten

Damit es in erster Linie nicht zu Trojaner-Angriffen kommt, lohnt es sich für die Internetnutzer bestimmte Schutzmaßnahmen, die für mehr Sicherheit im Netz sorgen, zu beachten. Dazu gehören folgende Punkte:

  1. E-Mails richtig verwalten: sollte man eine Mail von einem unbekannten oder dubiosen Kontakt erhalten, empfehlt es sich diese nicht zu öffnen. Auch sollte jeglicher Anhang, der zu solchen Mails gehört, zusammen mit der Nachricht löschen. In der Regel kann die schädliche Mail in Form einer Rechnung verfasst sein. In solchen Fällen ist es ratsam die Mail bzw. den Anhang mithilfe des Antivirus-Programms (zum Beispiel „VirusTotal“ auf Malware zu überprüfen bzw. scannen)
  2.  Browser Einstellungen anpassen: auch können die Viren über Sicherheitslücken den Computer befallen. So werden insbesondere Flash und Java dafür benutzt. Um das zu vermeiden, sollten die Standardeinstellungen des Browsers geändert und Ausführen aktiver Inhalte wie ActiveX-Steuerelemente, Java und Flash verboten werden.
  3. Antivirus und Virenscanner nutzen: hier gilt die einfache Regel, einen sicheren Antivirus zu installieren, sodass dieser bei jeglichen Versuchen das System anzugreifen, den Nutzer von unerwünschter Malware schützt!

Verschlüsselungs-Trojaner

Weitere Gefahren stellen auch die sogenannten „Verschlüsselungs-Trojaner“ dar. Bei diesen handelt es sich um Ransomware-Programme, die alle Windows Versionen – von XP bis Windows 10 – befallen können. Dabei werden allerlei Daten auf der Festplatte verschlüsselt, sodass dem Nutzer Zugriff auf diese verweigert wird. Nach dem die Verschlüsselung ausgeführt wird, erscheint der schon besprochene Sperrbildschirm mit der Zahlungsforderung. Auch hier gilt: nicht zahlen, sondern dokumentieren! So werden vor allem die Dateien befallen, die folgende Dateierweiterungen aufweisen:

3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx

Zu den Verschlüsselungs-Trojaner gehören unter anderen solche Viren wie Lock, CryptoLocker und der schon berüchtigte WannaCry, der im Jahr 2017 dafür sorgte, dass die Computer zahlreicher Unternehmen – Telefónica, FedEx, Renault etc. – infiziert wurden. Daher ist es besonderes wichtig darauf zu achten, dass man sich im Internet vorsichtig verhält und immer von Virenattacken geschützt bleibt.

Schädlicher Cryptominer tarnt sich als falsche Zoom App

Schädlicher Cryptominer tarnt sich als falsche Zoom App – Zoom wird derzeit sehr gerne für Videokonferenzen genutzt, der reale Meeting sind aufgrund der Corona-Pandemie derzeit in den meisten Fällen nicht mehr möglich. Auf diese Weise kommen auch Nutzer mit der Zoom App in Kontakt, die bisher wenig mit dem System zu tun hatten und dies machen sich auch Kriminelle zu Nutze. Es gibt mittlerweile auch falsche Zoom-Apps, die nur vorgeben Videokonferenzen anzubieten und stattdessen Schadsoftware auf dem eigenen System installieren. Konkret haben die Sicherheitsexperten von SonicWall einen Cryptominer gefunden, der sich als Zoom App tarnt. Nach der Installation wird dann die Leistung des Rechners genutzt im Cryptowähungen zu minen und so das Konto der Kriminellen zu füllen.

Das Unternehmen schreibt im Original dazu:

The Sonicwall Capture Labs threat research team has analyzed several different coronavirus-related malicious online schemes since more people are connecting online from home with typically more relaxed security measures and cybercriminals are certainly taking advantage.

One videoconferencing software has gained so much popularity lately that cybercriminals have seen that as a perfect vector for their malicious activity. Zoom has become so popular that it is one of the most downloaded software applications. A malicious installer bundled with a crypto currency miner has been making the rounds online preying on unsuspecting users wanting to install this videoconferencing program.

Man sollte diese Software (und auch jede andere App) daher nur aus sicheren Quellen installieren und auf Handys und Smartphones beispielsweise dne Playstore oder den App-Store dafür nutzen. Nur dann kann man sicher sein, dass man tatsächlich bekommt, was man auch haben wollte.

Im Zuge der Corona-Infektionen tauchen immer mehr schädliche Programme auf, die als Spam oder Fake-Webseite getarnt sind und mit dem Thema Corona versuchen, die Nutzer zur Installation zu bewegen. Man sollte daher auch beim Thema Corona kritisch sein und die bekannten Hinweise zum Umgang mit Emails und Spam beachten.

 

 

Immer auf den Laufenden bleiben: Tech News und Meldungen direkt auf das Handy oder in den Sozialen Netzwerken: Appdated Telegramm Channel | Appdated bei Facebook | Appdated bei Twitter

Banking-Trojaner Ginp: Geld für Infos zu COVID-19-Infizierte in der Nähe

Banking-Trojaner Ginp: Geld für Infos zu COVID-19-Infizierte in der Nähe – Die Sicherheitsexperten von Kaspersky haben einen neuen Trick gefunden, mit denen Kriminelle die Besorgnis der Menschen vor Corona ausnutzen wollen. Dazu hat der  Ginp-Banking-Trojaner einen neue Funktion bekommen, mit der gefälschte SMS direkt im Posteingang platziert werden können. Diese SMS verweisen auf eine Webseite, auf der man sich angeblich Covid-19 Fälle in der eigenen Nachbarschaft anzeigen lassen kann.

„Cyberkriminelle versuchen seit Monaten, die Coronavirus-Krise auszunutzen, indem sie Phishing-Angriffe starten und Malware mit Coronavirus-Bezug entwickeln. Dies ist jedoch das erste Mal, dass ein Banking-Trojaner versucht, von der Pandemie zu profitieren. Es ist alarmierend, zumal Ginp ein so effektiver Trojaner ist. Wir empfehlen Android-Nutzern, jetzt besonders wachsam zu sein – Popups, unbekannte Webseiten und spontane Nachrichten über das Coronavirus sollten immer mit Skepsis betrachtet werden.“

Kaspersky schreibt selbst zu Webseite mit den falschen Corona-Informationen:

Um zu erfahren, wo sich diese Personen aufhalten, wird das Opfer aufgefordert 0,75 Euro zu bezahlen. Wenn das Opfer zustimmt, wird es auf eine Zahlungsseite weitergeleitet. Sobald die Zahlungsdetails eingegeben wurden, wird dem Opfer jedoch weder dieser Betrag in Rechnung gestellt, noch erhält es Informationen über die „Infizierten“. Allerdings erhalten die Angreifer die eingegebenen Kreditkartendetails.

Ginp ist ein Trojaner, der sich seit seinem Erscheinen rasant weiterentwickelt und ständig neue Funktionen erhält. Zunächst befanden sich die Ziele hauptsächlich in Spanien (83 Prozent); Zum derzeitigen Zeitpunkt stammen zudem zusätzlich rund 2 Prozent der Opfer aus Deutschland und Frankreich (jeweils 1,97 Prozent) sowie aus Polen (2,22 Prozent).

Die Daten auf der Webseite stimmen natürlich nicht und sind Fakes. Es gibt derzeit keine Datenbank, die diese Informationen enthalten würde, wenn liegen die Informationen nur bei den örtlichen Gesundheitsämter vor. Daher würde man hier für eine Leistung zahlen, die gar keine ist und unter Umständen die Besorgns und die Ängste noch verstärkt, wenn angebliche Fälle angezeigt werden, die es gar nicht gibt.

Sicherheitsprobleme: Corona-Thema wird von Malware aufgegriffen

Sicherheitsprobleme: Corona-Thema wird von Malware aufgegriffen – Das Thema Corona-Pandemie wird derzeit auf allen Kanälen gelesen und auch Schadprogramme nutzen mittlerweile die Aufmerksamkeit um das Thema aus, um neue Verbreitungsmöglichkeiten zu finden. Die Techniken dahinter sind dabei nicht neu und reichen vom Verschlüsselungstrojaner bis zu Spionage-Apps, die Daten der infizierten Smartphones weiter geben. Neu ist dagegen, dass die Malware konkret das Thema Corona Virus nutzt und teilweise wurden um diese Schadsoftware neue Webseiten erstellt, die angeblich Informationen zur Pandemie liefern.

Die Security-Experten der SonicWall Capture Labs haben zwei besonders aggressive Varianten identifiziert:

  • Zur Zeit infiziert eine Spionage-Software zahlreiche Android Mobiltelefone: Das Android Remote Administration Tool (RAT) wird über eine Webseite zum Download angeboten, die augenscheinlich eine App mit Informationen zum Coronavirus anbietet. Nach der Installation sammelt das Tool sensible Geräteinformationen inklusive Passwörtern und Zugangsdaten.
  • Des Weiteren gibt die sogenannte Covid-19 Hoax Scareware vor, Dateien auf dem Rechner des Empfängers zu verschlüsseln und fordert ihn über diverse Warnmeldungen auf, Zahlungen zu leisten. Meldungen wie „Just because you’re home doesn’t mean you’re safe“ greifen dabei die Befürchtungen der PC-Nutzer gegenüber Covid-19 auf.

Die Webseiten sehen dann oft so oder vergleichbar aus und versprechen Hilfe oder gar Lebensrettung – letztendlich lädt man sich aber nur Malware auf die Geräte und im schlimmsten Fall muss man die Modelle dann komplett auf Werkseinstellungen zurück setzen:

Die Vorgehensweise ist natürlich in der aktuellen Situation besonders perfide, denn viele Verbraucher sind auch zuverlässige Informationen rund um die Pandemie angewiesen und oft gibt es täglich neue Entwicklungen und Regelungen, so dass viele Nutzer mittlerweile überfordert sind. Prinzipiell gilt aber auch hier, dass man für Installationen nur zuverlässige Seiten (also beispielsweise den Playstore) nutzen sollte und die Informationen rund um Corona sollte man auch nur von seriösen Seiten entnehmen. Das wäre beispielsweise das Robert Koch Institut oder auch die lokalen Behörden vor Ort (wenn es um neuen Entwicklungen oder neuen Einschränkungen geht)

Loapi – neuer Trojaner kann Smartphones zerstören

Die Sicherheitsexperten von Kasperksy weisen darauf hin, dass derzeit im Bereich der Android Handys und Smartphones ein neuer Trojaner sein Unwesen treibt, der sehr aggressiv ist und dazu in der Lage ist, auf den betroffenen Geräten fast alle möglichen Funktionen auszuführen. Der neue Virus hört dabei auf die Bezeichnung Loapi und wurde mittlerweile schon auf einigen Geräten gefunden. Er kann sic auch tarnen und nutzt verschiedene Möglichkeiten zur Verschleierung um sowohl vom Nutzer als auch von Sicherheitsprogrammen nicht so leicht als Schadsoftware erkannt zu werden. Das Arsenal des neuen Schädlings ist dabei sehr umfangreich und man kann davon ausgehen, dass wohl die Möglichkeit für Dritte besteht, einzelne Funktionen zu buchen und die entsprechenden Angriffe ausführen zu lassen:

  • ein Adware-Modul für aggressive Werbeeinblendungen auf dem Gerät des Nutzers;
  • ein SMS-Modul für Aktionen auf Basis von SMS-Nachrichten;
  • ein Web-Crawler-Modul, das den Nutzer heimlich bei Bezahldiensten anmeldet. Das SMS-Modul verbirgt Nachrichten vor dem Nutzer, beantwortet diese gegebenenfalls und entfernt dann wieder alle Spuren;
  • ein Proxy-Modul, mit dem das Gerät HTTP-Zugriffe für DDoS-Attacken ausführen kann;
  • ein Monero-Mining-Modul zum Mining der Kryptowährung Monero (XMR).

Besonders das letzte Modul dürfte aktuell sehr interessant sein, denn durch den hohen Kurs der Bitcoin Krypto-Währung ist es auch wesentlich lukrativer geworden, per Malware-Angriff diese Währung schürfen zu lassen. Durch die weitgehend anonyme Struktur von Bitcoin lassen sich solche Transaktionen auch nur extrem schwer bis zum tatsächlichen Verursacher zurück verfolgen.

Kaspersky Lab hat zudem eine sehr ungewöhnliche, weitere Eigenschaft von Loapi entdeckt. Auf einem zufällig ausgewählten Gerät erzeugte die Malware eine derartige Auslastung, dass sich dessen Akku bis zu seiner Deformation aufheizen kann. Vermutlich war dieser selbstschädigende Nebeneffekt von den Initiatoren der Malware nicht beabsichtigt, trotzdem ist die natürlich für die Nutzer ein echtes Problem, denn damit kann der Virus befallene Geräte auch physisch zerstören. Im schlimmsten Fall ist dann ein mehrere hundert Euro teures Smartphone komplett zerstört. Selbst wenn dies keine Hauptfunktion der neuen Malware ist – eine beunruhigende Entwicklung ist es auf jeden Fall, wenn auf einmal die Funktionsfähigkeit der Geräte selbst im Vordergrund steht. Viele Viren verschlüsselten die Geräte um nur gegen Bezahlung den Zugriff auf die Daten wieder frei zu geben. Nun kann man sich diese Form der Erpressung auch direkt mit der Hardware vorstellen: Entweder zahlen oder das Gerät wird zerstört.

„Loapi ist ein interessantes Beispiel für eine Android-Malware, denn das Design des Trojaners erlaubt nahezu jede Funktionalität“, erklärt Nikita Buchka, Sicherheitsexperte bei Kaspersky Lab. „Der Grund dafür ist simpel: Das Gerät muss nur einmal infiziert werden und kann dann für ganz unterschiedliche schädliche und betrügerische Aktionen genutzt werden. Äußerst überraschend ist allerdings die Tatsache, dass Loapi die Möglichkeit hat, das Gerät zu zerstören. Selbst von einem ausgeklügelten Android-Trojaner würde man so etwas nicht erwarten.“

Kaspersky selbst empfiehlt zu Schutz (natürlich) die Nutzung von Sicherheitssoftware, darüber hinaus gegen die Experten aber auch den Tipp keine Apps aus unsicheren Quellen zu installieren und jeweils die neusten Sicherheitsupdates zu nutzen.

BankBot-Trojaner fälscht Apps von Citibank, Comdirekt, Commerzbank, DKB und Postbank

Wer das mobile Banking per App auf seinem Android-Smartphone nutzt, sollte prüfen, ob er in den letzten Tagen und Wochen eine manipulierte App aus dem PlayStore von Google herunter geladen hat. In mehreren unverdächtig wirkenden Apps hatte sich der Trojaner BankBot versteckt und das wurde durch Google auch nicht sofort bemerkt.

Der Trojaner installiert dabei bei mehreren verbreiteten Banking-Apps (unter anderem Citibank, Comdirekt, Commerzbank, DKB und Postbank) eine neue Benutzeroberfläche, die täuschend echt wirkt. Der Kunde glaubt, seinen normalen Bankgeschäfte abzuwickeln und stattdessen werden die Daten aus der App direkt an die Hintermänner des Trojaners geschickt. Dazu werden auch SMS abgefangen um so an die TANs zu kommen – auf diese Weise haben die Macher des Trojaner Zugriff auf den Account und können selbst Transaktionen durchführen.

Die Sicherheitsexperten von Avast schreiben dazu:

Google entfernte erst kürzlich ältere Versionen des BankBot aus dem Play Store; mehrere Versionen blieben jedoch bis zum 17. November 2017 aktiv. Dies genügte, um Tausende von Nutzern zu infizieren. Google hat auch Scan- und Prüfmaßnahmen für alle Apps eingeführt, die in den Play Store übermittelt werden, um sicherzustellen, dass in Zukunft keine schädlichen Programme in den Play Store gelangen. In letzter Zeit haben die Autoren von Mobile-Banking-Trojanern jedoch begonnen, spezielle Techniken anzuwenden, um die automatischen Erkennungsdienste von Google zu täuschen. So führt BankBot beispielweise bereits zwei Stunden, nachdem ein Nutzer der App Administratorrechte für das Gerät erteilt, schädliche Aktivitäten durch. Außerdem veröffentlichten die Cyberkriminellen die Apps unter verschiedenen Entwicklernamen, was eine gängige Taktik zur Umgehung der Überprüfung durch Google ist.

Der Trojaner hat sich dabei in verschiedenen anderen Apps versteckt. So gab es den bankBot als Taschenlampen-Apps aus, danach als Solitaire-Spiele und als Cleaner-App – alles Apps, die häufig und meistens ohne Verdacht installiert werden. Google hat zwar an sich Sicherheitssperren, um solche Tricks zu enttarnen, aber auch hier nutzte der Trojaner verschiedene Techniken, um diese Sicherheitssysteme zu umgehen. So wurde die App auf Handys beispielsweise erst nach 2 Stunden aktiv und erregte so weniger Aufmerksamkeit.

Der Trojaner wurde dabei zum ersten Mal am 13. Oktober entdeckt und von Google in der letzten Version erst am 17. November aus dem Store entfernt. Die manipulieren Apps waren also eine längere Zeit online. Wer in dieser Zeit Apps dieser Form geladen hat, sollte prüfen, ob diese noch online zu finden sind und sie unter Umständen durch Versionen ersetzen, die es nach wie vor im Google Play Store gibt.

Notlandung wegen Erpressungs-Trojaner

Wir hatten gestern bereits davon berichtet, dass der aktuelle Petya-Trojaner, der die Windows Systeme verschlüsselt, gerade in vielen Ländern die technische Infrastruktur angreift. Mittlerweile gehen die Probleme aber noch weiter und es sind auch die ersten Fälle bekannt geworden, wonach Petya auch Flugzeuge befallen hat. Dabei wurde nicht nur die Unterhaltungselektronik angegriffen, sondern das Flugzeug musste notlanden, was dafür spricht, dass auch die reguläre Bordelektronik betroffen war.

Auf Twitter heißt es dazu:

Betroffenen von Petya sind derzeit vor allem Russland und die Ukraine. Es ist aber natürlich nicht auszuschließen, dass die Software (oder eine veränderte Version davon) früher oder später auch auf andere Länder übergreift. Die Sicherheitsexperten von Avira haben auch bereits in anderen Ländern Fälle beobachtet. Nach ihren Zahlen (von 27. Juni 16 Uhr) gab es folgende Vorfälle:

  • Russland: 1.512
  • Ukraine: 918
  • Portugal: 13
  • England: 7
  • Deutschland: 2
  • Frankreich: 1

Mittlerweile dürfte die Zahl noch höher liegen. Bei McAfee sieht man deutlich Parallelen zur WannaCry Infektion, aber die Ziele liegen bei Petya anders. Hier sind nicht private Nutzer im Fokus, stattdessen sucht sich Petya vor allem Industrie und Behörden. Die Experten von McAfee schreiben dazu:

Steve Grobman, CTO bei McAfee:

„Wir glauben, dass die heutigen Vorkommnisse Teil der natürlichen Evolution der Ransomware-Technologie sind, aber auch ein Testlauf für einen viel größeren und ausgeprägteren Angriff in der Zukunft.

Das einzigartige Element von Petya ist, dass es auf der Wurm-basierten Technik aufbaut, die WannaCry etabliert hat und ein neues Element hinzugefügt hat, das die Infektion von eigentlich sicheren Maschinen ermöglicht. Es stiehlt Anmeldeinformationen von infizierten Maschinen und verwendet diese, um Maschinen, die auf dem neuesten Sicherheitsstandard sind, zu infizieren. Dieser Hybridansatz verstärkt drastisch den Einfluss und das Ausmaß des Angriffs.

Raj Samani, Head of Strategic Intelligence bei McAfee:

„Dieser Ausbruch scheint nicht so groß wie WannaCry zu sein, aber die Zahl der betroffenen Unternehmen ist bedeutsam. Jeder, der Betriebssysteme ausführt, die nicht für die Sicherheitsanfälligkeit gepatched sind und die durch WannaCry bereits genutzt wurden, könnten anfällig für diesen Angriff sein.“

Petya basiert wie auch WannaCry auf einer Sicherheitsheitlücke in Windows (auch ältere Systeme sind betroffen) die EternalBlue genannt wird. EternalBlue ist ein Exploit, der auf eine Entwicklung des us-amerikanischen Geheimdienstes NSA zurück geht und speziell dafür entwickelt wurde, Windows System zu infiltrieren. Dieser Exploit wurde Anfang 2017 im Zuge der Shadow Brokers geleakt und kann damit mittlerweile von vielen Gruppen eingesetzt werden. Mittlerweile hat Mircosoft dafür auch bereits einen Patch veröffentlicht, aber es gibt immer noch viele Systeme, bei denen dieser Patch nicht eingespielt wurde. Die entsprechenden Rechner sind damit immer noch anfällig für Angriffe mit dem Exploit.

Wer genau hinter den aktuellen Angriffen steckt ist allerdings unklar. Auch die Sicherheitsexperten von Avast können dies nicht sagen. Stattdessen weist man darauf hin, dass im Internet diese Technik mittlerweile auch als eine Art Service angeboten wird.

Cyberangriffe in der Ukraine – Avast geht von Petya Trojaner aus

Derzeit laufen besonders in der Ukraine (aber auch in anderen Ländern) wieder Angriffe auf Unternehmen und die behördliche Infratstuktur, bei denen die Rechner verschlüsselt werden und nur gegen ein Lösegeld in Höhe von 300 US Dollar wieder freischaltbar sind. Das Geld muss dabei in Bitcoin überwiesen werden. Betroffen sind auch Banken und Energieunternehmen, so dass man durchaus von einem Angriff auf die Infrastruktur der betroffenen Länder reden kann.

Sicherheitsexperten gegen mittlerweile davon aus, dass es sich bei der Malware um eine Version des Erpressungstrojaner Petya handelt, der sich auf Sicherheitslücken in ungepatchten Windows Systemen spezialisiert hat. Jakub Kroustek, Threat Lab Team Lead bei Avast, meint dazu im Original:

This modification of Petya seems to be spreading using the EternalBlue vulnerability, which was the same vulnerability used to spread WannaCry. We have seen 12,000 attempts today by malware to exploit EternalBlue, which we detected and blocked. Data from Avast’s Wi-Fi Inspector, which scans networks and can detect if an Avast PC or another PC connected to the same network is running with the EternalBlue vulnerability, shows that 38 million PCs that were scanned last week have not patched their systems and are thus vulnerable. The actual number of vulnerable PCs is probably much higher. We strongly recommend Windows users, regardless if consumer or business users to update their systems with any available patches as soon as possible, and ensure their antivirus software is also up to date.

EternalBlue ist ein Exploit, der auf eine Entwicklung des us-amerikanischen Geheimdienstes NSA zurück geht und speziell dafür entwickelt wurde, Windows System zu infiltrieren. Dieser Exploit wurde Anfang 2017 im Zuge der Shadow Brokers geleakt und kann damit mittlerweile von vielen Gruppen eingesetzt werden. Mittlerweile hat Mircosoft dafür auch bereits einen Patch veröffentlicht, aber es gibt immer noch viele Systeme, bei denen dieser Patch nicht eingespielt wurde. Die entsprechenden Rechner sind damit immer noch anfällig für Angriffe mit dem Exploit.

Wer genau hinter den aktuellen Angriffen steckt ist allerdings unklar. Auch die Sicherheitsexperten von Avast können dies nicht sagen. Stattdessen weist man darauf hin, dass im Internet diese Technik mittlerweile auch als eine Art Service angeboten wird. Man kann also Angriffe mit Ransomware auch mieten:

While we don’t know who is behind this specific cyber attack, we know that one of the perfidious characteristics of Petya ransomware is that its creators offer it on the darknet with an affiliate model which gives distributors a share of up to 85% of the paid ransom amount, while 15% is kept by the malware authors. The malware authors provide the whole infrastructure, C&C servers, and money transfer method. This type of model is called “ransomware  as a service (RaaS)”, which allows malware authors to win over non-tech savvy customers to distribute their ransomware.

Banking-Trojaner Acecard kann 50 Banking Apps knacken

Kaspersky Lab warnt derzeit vor einem sehr gefährlichen Banking-Trojaner, der unter Android sein Unwesen treibt und es vor allem auf die bekannteren Banking-Apps abgesehen hat. Acecard soll dabei um die 50 bekannte Anwendungen für Online-Banking und Online-Payment angreifen um die Daten abzufangen. Dabei werden die Anwendungen oft mit einem eigenen identischen Fenster überlagert, so dass Kunden gar nicht merken, dass sie Zugangsdaten in eine fremde App eingeben. Dazu soll der Trojaner auch die Sicherheitsmaßnahmen von Google Play umgehen können.

In der Meldung heißt es zur Verbreitung:

Neben Banking-Apps richtet sich Acecard mit seinen Phishing-Fenstern auch gegen bekannte Messaging-Dienste (unter anderem auch WhatsApp) und Soziale Netzwerke (wie Facebook und Twitter), Gmail, PayPal sowie Google Play und Google Music. Acecard gelangt via Download unter dem Deckmantel anderer Apps auf die Android-Geräte der Anwender – unter anderem getarnt als Flash-Player- oder PornVideo-App. Am 28. Dezember 2015 fanden die Experten von Kaspersky Lab die Version Trojan-Downloader.AndroidOS.

Acecard.b bei Google Play im offiziellen Angebot, getarnt als Spiel. Nach dem Download können Anwender den Trojaner nicht als solchen erkennen, da er sich hinter dem bekannten Icon von Adobe Flash Player versteckt.

Insbesondere die Kompromittierung des Play Stores stellt ein Problem dar, da man hier auch nicht mehr sicher sein kann, schadecode-freie Software zu bekommen. Die Empfehlung ist daher auch im Play Store nur Anwendungen herunter zu laden, die man kennt und deren Quellen bzw. Macher man kennt. Bei unbekannten Apps und Herstellern besteht die Gefahr, dass man statt der App Malware bekommt.

via securelist

Neue Android Ransomware sperrte Smartphone per PIN und erpresst 500 Dollar

Neue Android Ransomware sperrte Smartphone per PIN und erpresst 500 Dollar – In den USA ist ein Android Trojaner aufgetaucht, der betroffene Smartphones sperrt, in dem die PIN der Geräte verändert wird. Die gesperrten Geräten zeigen danach einen FBI Sicherheitshinweis sowie die Aufforderung 500 Dollar zu bezahlen um das Gerät wieder zu entsperren.  Die Malware mit der Bezeichnung „Android/Lockerpin.A“ findet sich derzeit in erster Linie in den USA, es dürfte aber nur eine Frage der Zeit sein, bis es auch Versionen für Europa und Deutschland gibt. Die neue Ransomware ist aus zwei Gründen gefährlicher als bisherigen Varianten:

  • Die Sperrung über die Veränderung der PIN ist kaum aufzuheben und daher ist eine Wiederherstellung der Geräte kaum möglich. Einzige praktikable Möglichkeit ist ein Root oder Werksreset der aber natürlich auch alle gespeicherten Daten löscht. Bisher wurden die Geräte in erster Linie über Fenster über den Sperrbildschirmen blockiert – die neue Sperre ist deutlich wirkungsvoller.
  • Die Malware blockiert aktiv Sicherheitssoftware wie ESET, Avast und Dr.Web. Diese Schutzlösungen bieten also (zumindest derzeit) keine Sicherheit gegen Lockerpin.A
4-576x1024
FBI Warnung des Trojaners (Klicken für ganzes Bild)

Die Installation erfolgt dabei in erster Linie über unsichere Drittquellen für Apps und Foren. Über den Playstore wird die Software nicht verteilt. Bei der Nutzung von Drittanbieter-Apps außerhalb des Appstores sollte man daher besonders Vorsicht walten lassen. Die Zugriffsrechte werden mit einem Trick erschlichen. Es werden zwei Fenster übereinander geöffnet woebi das untere nicht sichtbar ist und die eigentlichen Rechte (Adminrechte für das Gerät) enthält. Im oberen Fenster wird ein gefakter Update Hinweis für Android eingeblendet. Wird dieser bestätigt hat die App Admin-Rechte auf dem Gerät und das Handy ist gesperrt. Nutzer werden die Zugriffsrechte sozusagen untergeschoben.

Konkrete Sicherheitstipps gegen die neue Malware gibt es noch nicht, es hilft natürlich in jedem Fall Software nur aus bekannten und sicheren Quellen zu installieren. Weitere allgemeine Sicherheitstipps gibt es unter anderem beim Bundesamt für Sicherheit in der Informationstechnik (BSI):

Es ist auch zu erwarten, dass die Sicherheitssoftware Hersteller auf die neue Form des Selbstschutzes des Tojaners reagieren werden und dagegen Sicherheitsmechanismen entwickeln. Bisher sollte man aber davon ausgehen, das auch eine Antivirenlösung keinen ausreichenden Schutz bietet.