CryptoLocker in E-Mails

[Lemon with Ice]

CryptoLocker werden gerade durch neue gefälschte E-Mails verteilt. Sie schauen wie von seriösen Unternehmen aus um gefälschte FedEx und UPS -Tracking -Meldungen zu verbreiten. Einmal geöffnet , installiert CryptoLocker sich unter " Dokumente und Einstellungen ", durchsucht die Festplatte und verschlüsselt dann bestimmte Dateitypen , einschließlich Dokumenten mit Microsoft Word und Adobe Photoshop. CryptoLocker startet dann ein Popup- Fenster mit einem 100 -Stunden- Countdown und bietet Informationen, wie man das Lösegeld zu zahlen hat.


Wenn das Lösegeld vor Ablauf der Frist bezahlt wird, wird ein Schlüssel zum Entschlüsseln der Dateien gegeben . Wenn nicht, wird der Schlüssel zerstört und die Dateien werden effektiv für immer verloren sein. Auch fortschrittliche Software von Sicherheits-Unternehmen haben keine Möglichkeit um die gesperrte Festplatte wiederherzustellen. Die Hacker die hinter CryptoLocker stecken sind zur Zeit der einzige Weg die Dateien wieder frei zu geben.

Die Hacker versuchen ihre Spuren zu verwischen , indem Bitcoins , eine digitale Währung die entwickelt wurde um so anonym Bargeld zu erhalten verwendet wird. Die Zahlungen werden mit einem MoneyPak einer aufladbaren Kreditkarte gemacht .

Es ist ein wachsender Trend dieser Art von Malware , auch bekannt als " Ransomware ", aber CrytpoLocker ist die gefährlichste.

Die gute Nachricht ist, dass die Zahlung des Lösegeldes die Dateien entschlüsselt und die Hacker die hinter CryptoLocker stehen sind bisher ehrlich und haben den Computer nicht erneut infiziert nachdem das Lösegeld gezahlt wurde.

Security-Unternehmen arbeiten bereits an einem Schutz, aber es gibt noch keinen. Anwender sollten sehr wachsam bleiben im Bezug auf Online-Sicherheit, man sollte eine doppelte Kontrolle von eingehenden Links in E-Mails und Social-Media-Netzwerken durchführen.

 

[Randy89]

CryptoLocker werden gerade durch neue gefälschte E-Mails verteilt. Sie schauen wie von seriösen Unternehmen aus um gefälschte FedEx und UPS -Tracking -Meldungen zu verbreiten. Einmal geöffnet , installiert CryptoLocker sich unter " Dokumente und Einstellungen ", durchsucht die Festplatte und verschlüsselt dann bestimmte Dateitypen , einschließlich Dokumenten mit Microsoft Word und Adobe Photoshop.

Nur allein über die E-Mail oder muss man sich die "Rechnung.jpg.exe" erst im Anhang herunterladen?

Security-Unternehmen arbeiten bereits an einem Schutz, aber es gibt noch keinen.

Neuaufsetzen oder Backup, falls das klappt. Oder muss man wegen der Verschlüsselung wirklich die Festplatte ersetzen, bzw. sich auf dieses Geschäft einlassen?

edit: Vor allem sind 100 Dollar nicht dasselbe wie 100€ und bei 100€ kann man sich ja lieber gleich eine neue Festplatte kaufen...

 

[Lemon with Ice]

Es ist natürlich im Anhang versteckt und sobald man diese öffnet geht es los. Sobald der Anhang geöffnet ist werden weiter Dateien aus dem Internet geladen und der eigentliche CryptoLocker kommt auf die Festplatte. Ob man es entfernen kann indem man die HDD Formartiert glaube ich nicht da es wie gesagt Dateien verschlüsselt. Es kommt also darauf an ob es bereits ein Säuberungstool gibt mit welchem man den Müll entfernen kann.

Dazu muss man dann in den Abgesicherten Modus mit Netzwerkunterstützung gehen und dann das Tool falls bereits vorhanden aus dem Internet herunterladen, intsallieren und dann die Säuberung durchführen.

Das Problem ist halt das die Verschlüsselung mit AES + RSA besteht. RSA ist ein asymmetrischer Kryptographieschlüssel. Das bedeutet, er nutzt zwei Schlüssel, sodass einer die Daten verschlüsselt und der zweite sie entschlüsselt (ein Schlüssel steht jedem Teilnehmer zur Verfügung – öffentlicher Schlüssel – der andere bleibt beim Nutzer – privater Schlüssel). AES wiederum setzt auf symmetrische Schlüssel (ein Schlüssel wird für die Ver- und Entschlüsselung genutzt).

 

[Randy89]

Dazu muss man dann in den Abgesicherten Modus mit Netzwerkunterstützung gehen und dann das Tool falls bereits vorhanden aus dem Internet herunterladen, intsallieren und dann die Säuberung durchführen.

Wenn, dann wäre es sinnvoller, das passende Tool vorher offline auf einem USB-Stick oder einer DVD (und am besten noch davon bootbar) zu haben.
Wenn eine Formatierung nicht geht, funktioniert wenigstens ein Überschreiben mit einem Image/Backup?

Der einzige "Lichtblick" den ich aus diesem Thread bisher herauslese, ist, dass man man den Anhang erst öffnen muss und es somit keine Drive-By-Infektion ist, wenn ich dich richtig verstanden habe.

 

[Lemon with Ice]

Der einzige "Lichtblick" den ich aus diesem Thread bisher herauslese, ist, dass man man den Anhang erst öffnen muss und es somit keine Drive-By-Infektion ist, wenn ich dich richtig verstanden habe.

Das würde ich nicht Unterschreiben. Ich bin auch kein Fachmann und kann dazu auch nicht viel sagen. Ich hab die Meldung auf einer Seite für AV Lösungen gefunden und wollte nur drauf Aufmerksam machen.

 

[purzelbär]

Interessant und zugleich erschreckend diese Ransom Software. Dazu gibt es schon einiges per Google und wie es scheint sind Sophos: http://translate.google.de/translat...=firefox-a&hs=xNS&rls=org.mozilla:de:official und Bleeping Computer in Kooperation mit Emsisoft dran an CryptoLocker: http://translate.google.de/translat...=firefox-a&hs=xNS&rls=org.mozilla:de:official wenn ich die 2 Berichte richtig gelesen habe. Ich meine auch gelesen zu haben das man mit erstellte Backups zurückspielen kann und wenn CryptoLocker gelöscht wurde, das dann die Dateien nicht mehr verschlüsselt werden können. Meine Angaben hier bitte ohne Gewähr auf Richtigkeit beurteilen. Die Finger weglassen sollte man meiner Meinung nach von SpyHunter das hier: http://de.pcthreat.com/parasitebyid-34852de.html angeboten wird.

 

[Randy89]

Laut einem Forumbericht sollte es möglich sein, per Rechtsklick auf den Dateien und "Vorgängerversionen" die alten Dateiversionen herauszukopieren und wieder in ein sauberes System wiederherzustellen.

Ich bin auch kein Fachmann und kann dazu auch nicht viel sagen.

Ja, aber vielleicht meldet sich noch jemand mit Ahnung hier im Thread. So wie ich das gelesen habe, schützt "Brain.exe" noch, solange man nicht die "Rechnung.pdf(.exe)" oder die "Lieferung.pdf(.exe)" im Anhang öffnet und somit ausführt. Wenn das Antivirenprogramm oder HIPS anschlägt und den Schädling vollständig abhalten kann, umso besser.

 

[Lemon with Ice]

Wenn ich das richtig verstanden habe wird diese Ransomware auch über Links im Internet verteilt. Wichtig ist auch das es jemanden gelingt die Kommunikation von diesem File mit dem Internet zu verhindern damit es nicht zu der Verschlüsselung kommt.

 

[davidbaumann]

Die Festplatte kann man ganz sicher nach der Infektion wieder löschen, und ist dann auch die Infektion los.
Es geht vielmehr um die Daten die verschlüsselt sind, und dann für immer weg sind, wenn der Key gelöscht wurde.

 

[Randy89]

Wichtig ist auch das es jemanden gelingt die Kommunikation von diesem File mit dem Internet zu verhindern damit es nicht zu der Verschlüsselung kommt.

Bleibt dann die Frage, ob eine normale Firewall, die entsprechend scharf genug eingestellt ist, schon ausreicht, ob es unbedingt eine mit Verhaltenserkennung sein muss oder ob Online Armor, Comodo und Co. in solchen Fällen auch machtlos wären.

Es geht vielmehr um die Daten die verschlüsselt sind, und dann für immer weg sind, wenn der Key gelöscht wurde.

Wenn man regelmäßige Backups/Datensicherungen gemacht hat, würde ich das nicht mehr ganz so schlimm sehen. Klar, die neuesten Daten wären weg und es wäre mit etwas Aufwand/Zeitverlust verbunden, die alten Daten wiederherzustellen. Allerdings "beruhigt" dies insofern, als dass man sich nicht gleich eine neue Festplatte kaufen oder auf die "Lösegeldforderungen" eingehen muss.
Unter "verschlüsselt" hatte ich fälschlicherweise noch "(über-)schreibgeschützt" verstanden.

 

[Chibi88]

Gibt es die Datei zum Download? Möchte das Ganze mal testen.

 

[purzelbär]

Die Festplatte kann man ganz sicher nach der Infektion wieder löschen, und ist dann auch die Infektion los.
Es geht vielmehr um die Daten die verschlüsselt sind, und dann für immer weg sind, wenn der Key gelöscht wurde.

Sehe ich auch so davidbaumann. Wenn man also ein Backup der Systempartition oder der ganzen Festplatte hat und das zurückspielt ist die infizierte Partition bzw Festplatte wieder sauber und wenn man zusätzlich seine persönlichen Dateien regelmäßig sichert, kann man die auch wieder aufspielen und die Gefahr durch Cryptlocker ist gebannt/weg.

 

[Lemon with Ice]

@purzelbär hat Recht.

Habe das hier noch im Internet gefunden.

Wer regelmäßig Backups seiner Daten anlegt, kann über derartige Schadprogramme dagegen nur müde lächeln. Denn dann reicht es, den PC zu desinfizieren und die Dateien zurückzuspielen, um dem Spuk ein Ende zu bereiten.

Noch besser ist freilich, Schad-Software vom eigenen PC fernzuhalten. Dazu gehört unter anderem, keine Mails und Mail-Anhänge unbekannter Herkunft zu öffnen.

 

[purzelbär]

@purzelbär hat Recht.

Habe das hier noch im Internet gefunden.

Wer regelmäßig Backups seiner Daten anlegt, kann über derartige Schadprogramme dagegen nur müde lächeln. Denn dann reicht es, den PC zu desinfizieren und die Dateien zurückzuspielen, um dem Spuk ein Ende zu bereiten.

Im Idealfall hat man finde ich ein aktuelles Systembackup und private Dateien zusätzlich extern auf zum Beispiel einer USB Festplatte gesichert. Dann spielt man beides zurück und man muss keine Scanner bemühen.

 

[davidbaumann]

Denke früher oder später werden auch Windows Backup und Acronis TrueImage Dateien mit verschlüsselt, falls zum Zeitpunkt der Infektion auf dem PC.
Wenn man Dateien von fremden Personen geschickt bekommt ist es gut möglich, dass der installierte Virenscanner mit der aktuellen Signatur diesen nicht erkennt.
Bekommt ihr eine Rechnung von 1und1 z.B. und seid euch nicht sicher, dann ruft dort an (Nummer über deren Webseite, nicht über einen Link in der E-Mail!) und fragt nach.
Die Schadprogramme werden immer durchdachter, und UEFI wird komplexer. Deswegen kann es gut sein, dass bald auch das UEFI mit infiziert wird.

Gruß.

 

[purzelbär]

Denke früher oder später werden auch Windows Backup und Acronis TrueImage Dateien mit verschlüsselt, falls zum Zeitpunkt der Infektion auf dem PC.

Falls du damit die erstellten Backups von denen meinst, die gehören nicht auf die im PC verbaute Festplatte sondern auf eine externe USB Festplatte die man zudem nur anschliessen sollte wenn sie benutzt wird.

 

[davidbaumann]

Die USB Platte ist ja auch manchmal verbunden? Oder das Backup liegt auf einem NAS...

 

[purzelbär]

Natürlich ist auch mal die Festplatte verbunden, ist bei mir dauerhaft an einem USB Port angeschlossen, aber eingeschaltet wird die nur wenn ich Backups erstellen will oder ein Backup zurückspielen will mit der Paragon Boot CD. Ich handhabe das so das ich Backups unter Windows erstelle aber Bakups nur mit der Paragon Boot CD zurückspiele, fahre gut damit.