Zum Inhalt wechseln


Foto
- - - - -

PC: Aktuelle Gefahrenmeldungen


  • Bitte melde dich an um zu Antworten
22 Antworten in diesem Thema

#1 Steeler

Steeler

    ShoOterKinGmaZtaH

  • Mitglied
  • PIPPIPPIP
  • 3699 Beiträge
  • OrtKamurocho
  • PSN ID:USSFSteeler

Geschrieben 22 January 2015 - 10:31 Uhr

Wie Heise gestern berichtete, nutzen aktuell Hacker den Flashplayer um Zugriff auf euren Rechner zu bekommen. "Es wäre eine gute Idee den Flashplayer für ein paar Tage zu deaktivieren!", sagt Virenforscher "Kaffeine".

 

Hier der genaue >Link<


yakuza6forumsig5kswh.png


#2 Steeler

Steeler

    ShoOterKinGmaZtaH

  • Mitglied
  • PIPPIPPIP
  • 3699 Beiträge
  • OrtKamurocho
  • PSN ID:USSFSteeler

Geschrieben 28 January 2015 - 10:22 Uhr

Adobe hat das Sicherheitsleck im Flashplayer beseitigt. Vorsorglich wird allen PC-Nutzern dazu geraten ihre Flashplayersoftware zu aktualisieren.

 

>LINK<


yakuza6forumsig5kswh.png


#3 Steeler

Steeler

    ShoOterKinGmaZtaH

  • Mitglied
  • PIPPIPPIP
  • 3699 Beiträge
  • OrtKamurocho
  • PSN ID:USSFSteeler

Geschrieben 07 February 2015 - 06:35 Uhr

Eieiei, Adobe hat aber auch einen Lauf zur Zeit. leider nur im negativen Sinne. Nachdem das eine Leck gestopft war, kam wenige Tage die nächste Hiobsbotschaft und der rat den Flashplayer erneut für unbestimmte Zeit zu deaktivieren.

 

Nun kam das erwartete Update und man hat gleich ACHTZEHN Sicherheitslücken geschlossen. Also der recht dringliche Rat, den Flashplayer auf den neuesten Stand zu bringen.

 

>LINK<

 

Aber auch der VLC-Player weist aktuell Sicherheitslücken auf:

 

>LINK<


yakuza6forumsig5kswh.png


#4 Steeler

Steeler

    ShoOterKinGmaZtaH

  • Mitglied
  • PIPPIPPIP
  • 3699 Beiträge
  • OrtKamurocho
  • PSN ID:USSFSteeler

Geschrieben 10 February 2015 - 11:09 Uhr

Heute ist der "Safer Internet Day". Zu diesem Anlaß hat BSI (Bundesamt für Sicherheit in der Informationstechnk) diverse herunterladbare Poster zur Verfügung gestellt, auf welchem man sich erkundigen kann, wie man sicher im Netz unterwegs sein kann:

 

>LINK<


yakuza6forumsig5kswh.png


#5 Steeler

Steeler

    ShoOterKinGmaZtaH

  • Mitglied
  • PIPPIPPIP
  • 3699 Beiträge
  • OrtKamurocho
  • PSN ID:USSFSteeler

Geschrieben 16 February 2015 - 15:09 Uhr

"Carbanak": Cyber-Bankräuber erbeuten 1 Milliarde US-Dollar

Gemeinsam haben Interpol, Europol, Kaspersky Lab und andere Institutionen den bisher größten Cyber-Raubzug aufgedeckt. Seit dem Jahr 2013 habe die "Carbanak"-Gang Angriffe auf Banken in über 20 Ländern gestartet.

 

>LINK<


  • Wearl gefällt das

yakuza6forumsig5kswh.png


#6 Steeler

Steeler

    ShoOterKinGmaZtaH

  • Mitglied
  • PIPPIPPIP
  • 3699 Beiträge
  • OrtKamurocho
  • PSN ID:USSFSteeler

Geschrieben 16 April 2015 - 16:49 Uhr

Analysiert: PS3-Emulator im Schafspelz

Quelle: Heise.de

 

Werbefalle anstatt Spielspaß

Analysiert: Das trieb ein Playstation-3-Emulator wirklich

Im Rahmen der losen heise-Security-Serie "Analysiert:" werfen Experten einen Blick hinter die Kulissen von aktuellen Schädlingen, Betrugsmaschen oder anderen Tricks, die Sie um Ihre Daten bringen sollen. Im zweiten Teil untersucht die Malware-Analystin Olivia von Westernhagen einen kostenlosen Playstation-3-Emulator.

Olivia von Westernhagen - 31.03.2015

Emulatoren für die Playstation 2 – allen voran der kostenlose PCSX2 – erfreuen sich trotz einiger Einschränkungen bezüglich der Performance sowie einer begrenzten Auswahl an kompatiblen Spielen großer Beliebtheit. Anders sieht es bei Playstation-3-Emulatoren aus; selbst das am weitesten fortgeschrittene Projekt in diesem Bereich (RPCS3) steckt trotz großer Fortschritte im vergangenen Jahr noch in den Kinderschuhen.

Doch wie ist es möglich, dass die Online-Suche nach "Playstation 3 Emulator" so viele Treffer liefert? Was sind die Absichten derer, die unter dieser Überschrift fragwürdige Downloads zur Verfügung stellen? Da muss doch eigentlich was faul sein.

 

Spurensuche

Meine Suche nach Antworten startet auf der Internetpräsenz playstation3emulator.net, auf welcher die Entwickler den Emulator PSeMu3 anpreisen. Gestaltung und Struktur der Webseite wirken professionell; Screenshots der grafischen Oberfläche sowie angeblich im Emulator ausgeführter Spiele steigern die Glaubwürdigkeit des Produkts. Wüsste ich nicht bereits, dass die auf der Startseite prangende Ankündigung, Grand Theft Auto V sei mit PSeMu3 spielbar, nicht der Wahrheit entsprechen kann, würde ich glatt darauf hereinfallen. Nun gut – ich tue einmal so, als wüsste ich dies nicht und klicke – wohlgemerkt im Schutze einer virtuellen Maschine (Windows 8 x64 in der VirtualBox) – auf den Download-Button.

 

Ich führe die PSeMu3_Setup.exe jedoch nicht aus, sondern öffne sie zunächst in PEiD, einem kleinen Tool, welches etwaige Packer, Crypter und Installer erkennt und anzeigt. Postwendend erscheint "Nullsoft PiMP Stub" in einem kleinen Fenster auf der Oberfläche. Somit weiß ich nun, dass es sich beim Setup um einen Nullsoft Installer (Nullsoft Scriptable Install System, kurz: NSIS) handelt. Das Open-Source-System bietet eine kostenlose und sehr umfangreiche Möglichkeit, Windows-Installer zu erstellen. Im Malware-Bereich werden mit NSIS erstellte Installer dementsprechend auch gern als Dropper für weitere Schadsoftware verwendet.

Ich möchte im nächsten Schritt herausfinden, welche Dateien auf der Festplatte landen und ob nicht noch andere, über die Installation hinausführende Aktionen im Hintergrund laufen. Dafür öffne ich das in den Windows Sysinternals enthaltene Monitoring-Tool ProcMon (Process Monitor). Dieses listet alle Systemaktivitäten von Windows, etwa Registry-Zugriffe und Lese- und Schreibzugriffe auf. Dabei wird im Grunde die komplette Windows-API durchleuchtet. Für eine gezielte Analyse ist das natürlich zu unübersichtlich und ich gebe als Filter den Prozessnamen PSeMu3_Setup.exe an; alle anderen laufenden Prozesse blende ich aus. Ich starte zudem Wireshark zum Aufzeichnen des Netzwerk-Traffics und erstelle, bevor ich das Setup ausführe, einen Sicherungspunkt in VirtualBox. So kann ich die dynamische Analyse bei Bedarf wiederholen oder die gewonnenen Erkenntnisse mit Hilfe weiterer Werkzeuge vertiefen.

 

[... weiterlesen ...]


yakuza6forumsig5kswh.png


#7 Steeler

Steeler

    ShoOterKinGmaZtaH

  • Mitglied
  • PIPPIPPIP
  • 3699 Beiträge
  • OrtKamurocho
  • PSN ID:USSFSteeler

Geschrieben 07 May 2015 - 08:24 Uhr

Vorsicht vor Malware: Rombertik-Trojaner löscht Festplatten
Sicherheitsexperten warnen

 

[Quelle: Netzwelt.de]

 

Der Trojaner "Rombertik" löscht die Festplatte, sobald die Malware einen Virus-Scan erkennt. Der Schadcode gelangt über Spam-E-Mails auf den Computer und liest persönliche Daten. Darunter fallen auch Bankinformationen.

 

Besonders komplex soll die Malware sein, führt das IT-Unternehmen Cisco auf dem Blog seines Talos-Sicherheitsteams aus. Rombertik gelangt über Spam- und Phishing-E-Mails auf den Rechner eines Nutzers.

In diesen Nachrichten fordern die Absender den Empfänger auf, Dokumente aus dem Anhang zu öffnen – etwa um geschäftliche Angelegenheiten zu klären. Diese Dateien könnten im PDF-Format vorliegen und die Malware enthalten. Generell empfiehlt netzwelt, Spam-E-Mails erst gar nicht zu öffnen. Sie sollten umgehend gelöscht werden.

 

Malware: Rombertik liest auch Bankdaten

Denn ist Rombertik erst aktiv, liest er Informationen aus dem Browser aus allerlei Bereichen. Diese umfassen neben anderen sensiblen Daten eben auch Bankinformationen.

Besonders ausgeklügelt zeigt sich die Malware bei Erkennung einer Antivirus-Software. In diesem Fall versucht der Trojaner, die Festplatte zu überschreiben. Gelingt dies nicht, zerstört die Malware alle Dateien aus dem Administrator-Ordner.


yakuza6forumsig5kswh.png


#8 Steeler

Steeler

    ShoOterKinGmaZtaH

  • Mitglied
  • PIPPIPPIP
  • 3699 Beiträge
  • OrtKamurocho
  • PSN ID:USSFSteeler

Geschrieben 25 June 2015 - 11:37 Uhr

Aktuell schickt Adobe wieder Sicheitsupdates für den Flash Player heraus. Es wird erneut darum gebeten, dieses auch sobald wie möglich zu installieren, um die Sicherheitslecks schließen zu können.

 

Oder aber man verzichtet gänzlich auf den Flash Player, was von Experten inzwischen schon empfohlen wird, da die aktuellen Webseiten dieses eh nicht mehr unbedingt benötigen würden.


yakuza6forumsig5kswh.png


#9 Sadgasm

Sadgasm

    Nerd and proud of it

  • Mitglied
  • PIPPIPPIP
  • 1169 Beiträge
  • PSN ID:Sadgasm742

Geschrieben 25 June 2015 - 13:01 Uhr

Das mit Adobe ist ja nun auch schon ein Running Gag. Es hat schon Gründe, warum ich das Ding eine gefühlte Ewigkeit nicht mehr nutze. Jede Woche ein riesiges Update, was die riesigen Sicherheitslücken schließen soll, nur damit 3 Tage später erneut die Meldung kommt, dass man an einem Sicherheitsupdate arbeite. 


  • Steeler gefällt das

Sage nicht alles, was du weißt, aber wisse immer, was du sagst.

- Matthias Claudius


#10 Steeler

Steeler

    ShoOterKinGmaZtaH

  • Mitglied
  • PIPPIPPIP
  • 3699 Beiträge
  • OrtKamurocho
  • PSN ID:USSFSteeler

Geschrieben 25 June 2015 - 13:05 Uhr

Ohja, das wird langsam aber sicher zu einer Lachnummer. Ich glaube, es ist an der Zeit dem Flash Player den letzten Sargnagel zu verpassen. ;)


yakuza6forumsig5kswh.png


#11 RBr

RBr

    Stammgast

  • Mitglied
  • PIPPIPPIP
  • 265 Beiträge
  • OrtBavaria

Geschrieben 25 June 2015 - 20:41 Uhr

Vielleicht eine blöde Frage, aber was wäre die Alternative? Oder gibts da keine?



#12 Steeler

Steeler

    ShoOterKinGmaZtaH

  • Mitglied
  • PIPPIPPIP
  • 3699 Beiträge
  • OrtKamurocho
  • PSN ID:USSFSteeler

Geschrieben 21 July 2015 - 17:57 Uhr

Windows-Notfall-Update: Patch für alle Windows-Versionen

[Quelle: Heise.de]

 

Außerplanmäßig hat Microsoft ein kritisches Sicherheitsloch in Windows gepatcht, durch das Angreifer Schadcode einschleusen können. Ein passender Exploit kursiert bereits – im öffentlich zugänglichen Fundus des Spionagesoftware-Herstellers Hacking Team.

Mit dem Notfall-Update MS15-078 stopft Microsoft ein kritisches Sicherheitsloch in sämtlichen Windows-Versionen, durch das Angreifer auf vielfältige Weise Schadcode ins System einschleusen können. Die Schwachstelle stammt von vor zwei Wochen aus dem Fundus der italienischen Spionagesoftware-Herstellers Hacking Team, der selbst Opfer eines Hackerangriffs wurde.

Alle Windows-Versionen verwundbar

Nach Angaben von Microsoft betrifft die Lücke sämtliche derzeit unterstützen Windows-Versionen: von Vista SP2 über die Server-Ausgaben bis hin zu 8.1 (einschließlich RT). Berichten Zufolge ist auch die aktuelle Build von Windows 10 anfällig – und die Wahrscheinlichkeit ist sehr hoch, dass auch ältere Windows-Versionen wie XP verwundbar sind, die der Hersteller nicht mehr mit Patches versorgt.

 

[...weiterlesen...]


yakuza6forumsig5kswh.png


#13 Steeler

Steeler

    ShoOterKinGmaZtaH

  • Mitglied
  • PIPPIPPIP
  • 3699 Beiträge
  • OrtKamurocho
  • PSN ID:USSFSteeler

Geschrieben 28 July 2015 - 09:37 Uhr

95 Prozent aller Android-Smartphones sollen via MMS hackbar sein

 

[Quelle: Computerworld.ch]

 

 

Es könnte die grösste Gefahr sein, der sich Android-Nutzer bisher gegenübersahen: Ein Sicherheitsforscher behauptet, via MMS könne praktisch jedes Gerät in eine Wanze verwandelt werden. Google hat die Lücke bestätigt, die Handy-Hersteller sind in der Pflicht.

 

[...weiterlesen...]


yakuza6forumsig5kswh.png


#14 Steeler

Steeler

    ShoOterKinGmaZtaH

  • Mitglied
  • PIPPIPPIP
  • 3699 Beiträge
  • OrtKamurocho
  • PSN ID:USSFSteeler

Geschrieben 27 August 2015 - 09:56 Uhr

Aktuell ist wieder ein äußerst aggressiver Virus im Umlauf, welcher sich hauptsächlich über eMails verbreitet. Es wird von Sicherheitsexperten nochmals ausdrücklich davor gewarnt, sowohl fremde als auch eMails von Bekannten mit Anhang zu öffnen. In besagtem Fall würde sich nach dem öffnen der Zipdatei im Anhang ein Virus auf dem Rechner verbreiten, welcher Dokumente verschlüsselt und nur nach einer Zahlung eines Lösegelds wieder entschlüsseln würde. Meistens sind befallene Dateien unwiderruflich zerstört.


yakuza6forumsig5kswh.png


#15 Steeler

Steeler

    ShoOterKinGmaZtaH

  • Mitglied
  • PIPPIPPIP
  • 3699 Beiträge
  • OrtKamurocho
  • PSN ID:USSFSteeler

Geschrieben 21 October 2015 - 08:43 Uhr

Online-Banking: Neue Angriffe auf die mTAN

[Quelle: heise Security]

 

Betrüger haben wieder einmal eine Methode gefunden, um Daten von Kunden beim Online-Banking abzugreifen und das mTAN-System auszuhebeln.

 

"Im mitteleren zweistelligen Bereich" liegt die Zahl der neuen Fälle, bei denen Betrüger die Daten von Online-Banking-Kunden abgegriffen und über einen neuen Trick das mTAN-System ausgehebelt haben. Dies erklärte ein Sprecher der Deutschen Telekom gegenüber der Süddeutschen Zeitung, die über die neue Welle von Betrügereien berichtet.

 

Beim System mit mTAN (mobile Transaktionsnummer) wird die TAN, die zur Bestätigung einer Online-Transaktion bei der Bank benötigt wird, über einen zweiten Kanal übertragen: Der Kunde erledigt das Online-Banking etwa am PC, die notwendige TAN zum Abschluss des Vorgangs wird aufs Handy geschickt. Dieses Verfahren gilt als weitgehend sicher.

 

[...weiterlesen...]


yakuza6forumsig5kswh.png


#16 Steeler

Steeler

    ShoOterKinGmaZtaH

  • Mitglied
  • PIPPIPPIP
  • 3699 Beiträge
  • OrtKamurocho
  • PSN ID:USSFSteeler

Geschrieben 17 December 2015 - 11:46 Uhr

Die Vorweihnachtszeit ist auch wieder ein perfekter Nährboden für Spam- und Fishingmails. Auch diverse Hijacking Programme treiben ihr Unwesen.

 

An dieser Stelle nochmals ausdrücklich die Warnung, das man eMails von unbekannten Absendern am besten ungelesen direkt löscht. Auf KEINEM Fall sollte man bei eMails Anhänge öffnen. Das kann auch bei vermeintlich seriösen eMails pasieren, welche von euren Freunden kommen. Bitte generell diverse eMails erst einmal skeptisch in Augenschein nehmen. Ein Hilfsmittel ist das öffnen des "Headers / Kopfzeile" wo man in manchen Fällen sehen kann, das eine komische eMail-Adresse hinter derselbigen steckt.

 

Aber auch Spammails werden immer perfekter. So kann man teilweise keinen augenscheinlichen Unterschied mehr zu den echten eMails erkennen. Beispiele sind Fakemails von PayPal oder DHL, welche den Empfänger dazu auffordern in welcher Form auch immer einem Link zu folgen und persönliche Daten anzugeben. Das sind alles gefälschte eMails.

 

Ich persönlich trage die eMail in den Spamfilter des eMail Clients ein und schicke diese eMail auch sicherheitshalber zur Spamerkennung ein. Seriöse Firmen werden euch niemals zur Eingabe irgendwelcher persönlicher Daten aufrufen. Im Zweifelsfall lieber den Anbieter telefonisch oder über die offizielle Homepage direkt kontaktieren. Sicher ist sicher.

 

Ein weiterer Ausläufer sind Hijackingprogramme, welche diverse Teile eures Computers sperren und zu einer Lösegeldzahlung auffordern. In vielen Fällen sind diese Dateien verloren. Selbst das FBI äußerte vor kurzem das sie noch keine zuverlässige Möglichkeit gefunden haben, diese verschlüsselten Daten wieder zu entschlüsseln. Es ist in Einzelfällen gelungen, was allerdings nur auf schlampige Arbeit der Hacker zurückzuführen sei. Auch in diesen Fällen, Finger weg von unbekannten eMails und keine Anhänge öffnen!

 

Schade, das man sich um so einen Rotz Gedanken machen muss, aber die Machenschaften dieser Onlinekriminellen werden immer perfider. :(


  • Bendter gefällt das

yakuza6forumsig5kswh.png


#17 Steeler

Steeler

    ShoOterKinGmaZtaH

  • Mitglied
  • PIPPIPPIP
  • 3699 Beiträge
  • OrtKamurocho
  • PSN ID:USSFSteeler

Geschrieben 16 January 2016 - 09:24 Uhr

Betrifft zwar nicht den PC, aber alle UNITYMEDIA-Kunden. Welche nun aufgefordert werden am besten ihr WLAN-Passwort zu ändern, nachdem ein Sicherheitsleck gefunden wurde, welches die Router angreifbar macht.

 

Auch Standard-Passwörter von Unitymedia-Routern leicht knackbar

 

Unitymedia-Kunden sollten das Standard-Passwort ihres WLAN-Routers ändern, denn Angreifer können dieses vergleichsweise leicht knacken und so im Netzwerk schnüffeln. Der österreichische Provider UPC kämpft mit dem gleichen Problem.

 

Angreifer sollen "mit spezieller Software und technischen Kenntnissen" in der Lage sein, das Standard-Passwort von WLAN-Routern von Unitymedia herauszufinden. Davor warnt der Provider auf Facebook. Kunden, die das Standard-Passwort verwenden, welches auf der Rückseite eines Geräte aufgedruckt ist, sollten dieses so schnell wie möglich ändern.

 

Wer schon ein anderes als das Standard-Passwort benutzt, soll nicht bedroht sein. Zudem sind Bussines-Produkte nicht betroffen, versichert Unitymedia. Welche Geräte genau betroffen sind, erläutert der Provider nicht. Eine Anfrage von heise Security wurde lediglich damit beantwortet, dass alle Breitbandkunden ihr WLAN-Passwort ändern sollten.

 

[...weiterlesen...]

 

(Quelle: Heise)


yakuza6forumsig5kswh.png


#18 Steeler

Steeler

    ShoOterKinGmaZtaH

  • Mitglied
  • PIPPIPPIP
  • 3699 Beiträge
  • OrtKamurocho
  • PSN ID:USSFSteeler

Geschrieben 29 March 2016 - 16:12 Uhr

Der Cyberkampf geht immer weiter.

 

Erpressungstrojaner werden tagtäglich immer dreister und längst sind nicht mehr nur eMail Anhänge betroffen. So verteilen sich diese Viren schon über ganz legitime Webseiten (bsp. Spiegel Online bsp.)

 

Es gibt aber sowohl gute, als auch weniger gute Nachrichten. Zum einen ist es wohl zum ersten Mal geglückt, das der TeslyCrypt Trojaner entschlüsselt werden konnte.

 

Die schlechte Nachricht: Dabei handelt es sich lediglich um einen von inzwischen vielen Verschlüsselungsskripten. Das ganze gleicht also einem Kampf gegen Windmühlen.

 

Dabei werden die Vorgehensweisen immer perfider. Verschlüsseln gewisse Trojaner wahllose Dateien, so gehen andere gezielter vor und suchen direkt in eurem "Eigenen Dateien" Ordner nach privaten Videos oder Bildern. Nach einer Infektion drohen Sie damit diese Bilder, sowie weitere persönliche Daten von euch online zu stellen, wenn ihr das Lösegeld inform von Bitcoins rechtezeitig bezahlt.

Nun ist ein weiterer aggressiver Trojaner aufgetaucht, namens Petya. Dieser geht sogar soweit, das er ganze Festplatten tiefgreifend verschlüsselt und sich euer Rechner garnicht mehr herauf fahren lässt.

 

In allen Fällen wird zu regelmäßigen Backups vor dem Befall geraten. Zudem sollten sensible Daten garnicht erst auf der temporären, sondern lieber auf einem externen Speichermedium abgesichert werden. Dieses Speichermedium sollte danach sofort wieder vom Rechner getrennt werden, da auch dieser andernfalls mit verschlüsselt wird.


yakuza6forumsig5kswh.png


#19 Guest_aragami2k_*

Guest_aragami2k_*
  • Gast

Geschrieben 30 March 2016 - 09:43 Uhr

 

So verteilen sich diese Viren schon über ganz legitime Webseiten (bsp. Spiegel Online bsp.)

 

 

Na, also soooo arg vertrauenserweckend war der Spiegel für mich noch nie :)

Eine von den Seiten die ich meide wie der Teufel das Weihwasser.


  • Steeler gefällt das

#20 Steeler

Steeler

    ShoOterKinGmaZtaH

  • Mitglied
  • PIPPIPPIP
  • 3699 Beiträge
  • OrtKamurocho
  • PSN ID:USSFSteeler

Geschrieben 30 March 2016 - 16:03 Uhr

Da hast Du recht. Eine dieser Axel Springer Zeitschriften. Was schade ist, da der SPIEGEL mal eine wirklich gute Publikation WAR.

 

--- --- ---

 

Neuer Tag, neue Meldung, leider. Es vergeht kein Tag ohne neue Hiobsbotschaften.

 

Wie Heise.de/Security berichtet, gibt es nun eine weitere Betrugsmasche. Hierbei machen sich die Hacker richtig Mühe, suchen Schlupflöcher in einem ausgewählten System, untersuchen dieses zuerst und wählen dann von Hand Dateien aus, welche zuletzt verschlüsselt werden.

 

Hier ein paar Auszüge aus dem Heise-Bericht:

 

 

Nach einem Einbruch in ein Netz erkunden die Macher von Samsa zunächst die Infrastruktur und verbreitern ihre Operationsbasis. Erst danach starten sie dann manuell den Verschlüsselungsvorgang mit den vorgefundenen Daten auf allen kompromittierten Systemen.

 

Herkömmliche Erpressungs-Trojaner fängt man sich üblicherweise über Mails mit Dateianhängen oder Drive-by-Downloads ein; sie verrichten ihr Werk vollautomatisch und verschlüsseln alle wichtigen Daten, die sie erreichen können. Bei Samsa-Infektionen gehen die Angreifer anders vor. Sie brechen gezielt in verwundbare Netze ein – die dafür eingesetzten Methoden variieren. Ein beliebtes Angriffsziel sind laut Ciscos Bericht zu SamSam Lücken in verwundbaren JBoss-Installationen, die sie mit dem Open-Source-Tool JexBoss aufspüren und ausnutzen

 

Anschließend verschaffen sich die Einbrecher mit weiteren Tools einen Überblick und versuchen weitere Systeme im Netz zu übernehmen. Dabei kommt nach Microsofts Samas-Analysen unter anderem ein Remote Adminstration Toolkit (RAT) namens MSIL/Bladabindi zum Einsatz. Erst im letzten Schritt schreiten die Erpresser zur Datenverschlüsselung. Sie starten diese auf den erreichbaren Systemen übers Netz mit dem Sysinternals-Tool psexec. Zum Einsatz kommt offenbar eine Mischung aus AES und RSA-2048; die verschlüsselten Dateien erhalten dabei die Endung encedRSA oder auch encrypted.RSA.

 

Darüber hinaus löschen die Erpresser wie man es von Locky und & Co kennt via vssadmin.exe Schattenkopien. Besonderes Augenmerk legen die Kriminellen laut Intel Securitys Bericht zu Targeted Ransomware allerdings auch noch auf Backups, die entweder gelöscht oder ebenfalls verschlüsselt werden.

 

Eine solche Samsa-Infektion kann richtig teuer werden, weil sich das Lösegeld teilweise an der Zahl der infizierten Systeme orientiert. Bis zu 1,5 Bitcoins, also umgerechnet 550 Euro pro PC fordern die Erpresser dann. Bei pauschaler Berechnung fallen bis zu 50 Bitcoins an, was umgerechnet rund 18.500 Euro ergibt.

Palo Alto (derzeit nicht erreichbar; via Google Cache) beobachtete auf einer Samsa-Wallet einen Zahlungseingang über 40 Bitcoins, der von der Höhe und dem Datum mit dem kürzlich große Wellen schlagenden Erpressungs-Trojaner-Falls beim Hollywood Presbyterian Medical Center in Los Angeles zusammen fällt. Das war offenbar nicht der einzige Volltreffer der Samsa-Gang. Laut Cisco Talos finden sich in den als Zahlungsempfänger angegebenen Bitcoin-Wallets insgesamt bereits 115.000 US-Dollar.

 


yakuza6forumsig5kswh.png





Besucher die dieses Thema lesen: 0

Mitglieder: 0, Gäste: 0, unsichtbare Mitglieder: 0