News Erpressungstrojaner: Verschlüsselung der Ransomware Petya geknackt

@ der|pate
Es war ein Link zu einem Dropbox-Ordner enthalten. In dem Ordner lag ein Bild des Bewerbers und eine "Bewerbungsmappe-gepackt.exe".
Man musste die Anwendung ausführen und die Benutzerkontensteuerung wegklicken.
Danach wurde der MBR umgeschrieben und mit einem Bluescreen ein Neustart erzwungen.
Erst dann ging es mit der Verschlüsselung los.

Aber ich muss recht geben. Hätte jedem passieren können. Zumal es den Anschein gemacht hat, als seinen die Angriffe gezielt, oder zumindest lagen dem Angreifer entsprechende Informationen vor.
Die Mail war sehr professionell gestaltet und gut formuliert, mit voller Anrede des Opfers und genauer Stellenbezeichnung. Die Bewerbungsmappe sei für den Anhang zu groß und wurde dementsprechend auf der Dropbox abgelegt, hieß es weiter.
 
Zuletzt bearbeitet:
Das klingt doch super.

Ich hänge mich die Tage auch mal an einen befallenen Rechner. Werde euch informieren.

Hat funktioniert und der Laptop funktioniert wieder. Hoffe jetzt ist man vorsichtiger im Netz.
 
Zuletzt bearbeitet:
updater14 schrieb:
Super, dass sich da etwas tut.
Aber mal Hand aufs Herz, wer von euch hat mit den Verschlüsselungstrojanern schon zu tun gehabt?
Und wodurch eingefangen?
Ich kenne bislang keinen aus dem Bekanntenkreis...
Klar in der Firma haben wir gewisse Vorsichtsmaßnahmen getroffen, doc, xls, zip, rar etc. Dateien
laufen durch eine manuelle Prüfung, da kommt schon etwas Dreck rein, aber privat?

Bei mir hatte es mal einen Bekannten erwischt. Müsste noch einer dieser komischen ersten Trojaner gewesen sein, die den PC verschlüsselt hatten, weil man angeblich illegal Filme geguckt hatte.
Hatte er sich irgendwo beim surfen eingefangen, wo genau kann er nicht sagen, weils dann einfach irgendwann kam.
 
Bei uns in der Firma (ca. 20 Rechner) hat sich auch ein Rechner einen Cryptotrojaner eingefangen (dürfte eine neue Variante von Cryptowall sein). Der Schaden hat sich in Grenzen gehalten, da ich einfach den infizierten Rechner neu aufgesetzt habe und mein letztes Backup ca. eine Stunde alt war, somit also kein Datenverlust vorhanden und der Arbeitsaufwand ca. 1 Tag. Ohne Backup wäre der Verlust der Hälfte der Netzlaufwerke allerdings katastrophal gewesen.
 
Stimmt, hätte jedem passieren können. Ist ja bei seriösen E-Mails gang und gäbe, dass Bewerbungsunterlagen als .EXE-Dateien gepackt werden! Ist klar....
 
Die Endung ist je nach Einstellung nicht immer ersichtlich, aber das muss man dir ja nicht sagen...
 
der|pate schrieb:
Es war kein Anhang sondern ein täuschend echt (wirkender) Dropbox Link, ein leeres Browserfenster, sonst nichts.

Täuschend echt. Das ich nicht lache. Generell sollte doch heutzutage jeder Durchschnitts-PC-User wissen, das man weder Dateien im Anhang nicht öffnet und/oder Links nicht anklickt, sondern die Adresse selber im Browser eingibt.

Ein Schwenk mit der Maus über die Links verrät die meisten Versuche schon direkt, wenn es zB nicht nach paypal.com geht sondern secure-now.papaI.ru ... Haha... Ich find die Mails manchmal ja noch lustig. Oft genug erkennt man am schlechten Deutsch schon, das es nichts gutes ist ;)

Wer sich unsicher ist, sollte so lange vom PC die Finger lassen, bis er "geschult" wurde. Beim DAU hilft die beste Antimalware nicht!

lixxbox schrieb:
Die Endung ist je nach Einstellung nicht immer ersichtlich, aber das muss man dir ja nicht sagen...

Was auch immer! Wer Anhänge öffnet, ist selber Schuld.

Bei sowas sollte selbst Ome Koslowski mit -5,75 Dioptrin stutzig werden, oder?

c7a10591315a0cf0661e1e50879153ad.png

Oh man - ich hab noch ein besseres Beispiel:

0817bec22622d1be4ab1309df3d69067.png

Der Link führte auf eine russische Seite - Ziel war script.php...

Gut, die Mail war sehr leicht zu enttarnen. Aber auch da klicken ein paar Volldeppen drauf.
 
Zuletzt bearbeitet:
Wolfsrabe schrieb:
Da bleiben die Fragen im Raum: Wenn sie dieses bösartige Verschlüsselungsprogramm nach wenigen Monaten (?) knacken lässt, liegt das dann an mangelhafter Implementation einer an sich nicht knackbaren Verschlüsselungsmethode?

nicht die Verschlüsselung wurde geknackt, sondern die Generierung des Passworts.
Das ist ein riesen unterschied.
 
wahlmeister schrieb:
Verschlüsselungsprogramme lassen sich nur knacken wenn die eine Backdoor haben (Bitlocker z.B.)
Ich bin mindestens genauso gespannt wie M@rsupil@mi und alle anderen hier. Lass uns doch bitte an deinem Wissen teilhaben.
 
Das Problem ist doch, dass viel zu viele User bei Windows mit Adminrechten ausgestattet sind. 95% der Anwender sind zu dumm für die Benutzung eines PCs, die fallen auf solche Mails rein und öffnen Anhänge im .Exe-Format und klicken die UAC weg. Dümmer geht es nicht mehr. Solche User sollten grundsätzlich nur noch mit Userrechten ausgestattet sein, wie bei Android und IOS und damit ausschließlich aus einem AppStore signierte Apps installieren dürfen. Alle unbekannten und nicht signierten .exe-Dateien, die nicht aus dem Störe stammen, müssten verboten werden.

@IT des Restaurants: Sorry, aber User auf ihren PCs Adminrechte zu geben ist ein NoGo und muss zwangsweise bestraft werden.
 
Vielleicht hatten die User ja gar meine Adminrechte? Petya funktioniert in dem Fall vielleicht nicht, aber allen Trojanern, die auf Dateiebene arbeiten (also Locky, TeslaCrypt,...) ist ein Admin Account herzlich egal. Das macht sie ja so gemein. Lang empfohlene Best Practices sind einfach nicht mehr ausreichend als Schutz heutzutage.
 
wahlmeister schrieb:
Gutartige Verschlüsselungsprogramme lassen sich nur knacken wenn die eine Backdoor haben (Bitlocker z.B.)
Sagt deine Glaskugel?
Ich habe ja auch kein sonderlich großes Vertrauen gegenüber Microsoft und würde denen eine Backdoor durchaus zutrauen. Aber bislang gibt es meines Wissens keinerlei Belege dafür (zumindest habe ich mich vor kurzem damit eine Weile beschäftigt, und konnte nichts stichhaltiges finden). Vermutungen als Tatsachen darstellen ist mal absolut daneben. Auch wenn die Vermutungen begründet sind.

lixxbox schrieb:
In dem Ordner lag ein Bild des Bewerbers und eine "Bewerbungsmappe-gepackt.exe".
[...]
Aber ich muss recht geben. Hätte jedem passieren können.
Hätte jedem passieren können?! Ähm... nein. :lol:
"Bewerbungsmappe-gepackt.exe". Die Masche ist sowas von abgedroschen, viel offensichtlicher gehts kaum. Und selbst wenn man die Endung mal übersieht: Spätestens dann, wenn sich beim öffnen einer Bewerbung die Benutzerkontensteuerung meldet, sollten endgültig sämtliche Alarmglocken schrillen. Wenn man noch auf sowas reinfällt, ist wohl mal ne Runde Computer-Grundlagen-Kurs angesagt.
 
Mach dir keine Sorgen, du bist ein Schlaufuchs, du warst also nicht das Ziel. :freak:
 
lixxbox schrieb:
Die Endung ist je nach Einstellung nicht immer ersichtlich, aber das muss man dir ja nicht sagen...

Das ist eine der größten Unsitten überhaupt und die schlimmste Funktion, die Windows zu bieten hat.
"Erweiterungen bei bekannten Dateitypen ausblenden" sollte eigentlich sofort von MS aus dem Betriebssystem entfernt werden, oder aber zumindest nicht die Standardeinstellung sein. In meinem Umfeld ist es das erste, das ich allen Leuten sofort deaktiviere.

Nicht nur, dass es eben gefährlich ist, weil man im Zweifel nicht sieht, was für eine Datei man hier anklickt, es führt auch zu einer völligen Verblödung der User, die keinerlei Verständnis von Dateitypen haben, einem - wie ich finde - elementar wichtigen Grundwissen im Umgang mit Computern im Allgemeinen.

Insgesamt ein völlig überflüssiges Feature, das keinerlei Vorteile hat und nur Nachteile. Es führt bei DAUs immer wieder zu Diskussionen auch bspw. wenn man Ihnen dann Nomenklaturen für Dateinamen vorschreibt, die dann in X.pdf.pdf etc enden.
 
Was das FBI/CIA und co nicht schaffen, muss ein einzelner pfiffiger Nutzer schaffen ;)
 
OldboyX schrieb:
...ein völlig überflüssiges Feature, das keinerlei Vorteile hat und nur Nachteile...

Sag das mal dem DAU der gerade seine .pdf ein ein unbrauchbares Dateiformat verstümmelt hat und sich wundert warum sich da nix tut wenn er draufklickt.
Natürlich kann man die Dateiendung wiederherstellen wenn man's einfach wieder umbenennt, aber mMn ist bei dieser Einstellung für die Masse der User eine Opt-in Lösung die besse Wahl.
In den wenigsten Fällen würde diese Einstellung einen Schadensfall verhindern.
 
lixxbox schrieb:
@ der|pate
Es war ein Link zu einem Dropbox-Ordner enthalten. In dem Ordner lag ein Bild des Bewerbers und eine "Bewerbungsmappe-gepackt.exe".
Man musste die Anwendung ausführen und die Benutzerkontensteuerung wegklicken.
Danach wurde der MBR umgeschrieben und mit einem Bluescreen ein Neustart erzwungen.
Erst dann ging es mit der Verschlüsselung los.
Frage: wenn man in einem Benutzerkonto ohne Adminrechte angemeldet war, hätte man bei der Nachfrage der Benutzerkontensteuerung sicher auch noch das Paßwort für das Adminkonto (bzw. allgemein für ein Konto mit Adminrechten) eingeben müssen? Oder war die ganze Sch.... auch direkt aus einem Nicht-Admin-Konto heraus wirksam?
 
Zurück
Oben