Neues Thema schreiben   Antworten     zurück Suche   Druckansicht  
Thema: Erpresser-Virus "Locky" infiziert 5300 Rechner pro Stunde
Das Thema hat 38 Beiträge:
Gehe zu Seite: 1   2  oder alle Beiträge zeigen
 
22028 Am: 21.02.2016 15:00:05 Gelesen: 17408# 14 @  
@ Richard [#13]

Was der Leiter der IT-Abteilung nicht sagt (oder verschweigt) ist was für Virenscanner / Virenabwehr die auf den Workstations / Server haben und wie die aktualisiert werden!
 
Cantus Am: 21.02.2016 16:01:21 Gelesen: 17375# 15 @  
Bei mir kam letzte Nacht eine Mail von einem mir unbekannten Absender mit einem Anhang an, der angeblich eine Rechnung beinhaltete. Ich habe die Mail mit ungeöffnetem Anhang an den Absender zurückgesandt, dabei aber das passende Kästchen angeklickt, damit mir eine Empfangsbestätigung übermittelt wird. Wenige Sekunden später hatte ich die Information, dass der angebliche Absender und nun Adressat nicht existiert. Also habe ich das Ganze sofort gelöscht.

Bemerkenswert dabei finde ich, dass diese Mail vom System nicht als Spam erkannt worden war. So besteht bei unbedarften Absendern durchaus die Gefahr, dass solche Anhänge geöffnet werden und die bekannten negativen Folgen eintreten. Und wenn ich mir dann anschaue, wie leichtfertig viele Menschen hier in unserem dörflichen Umfeld mit dem Schutz ihrer PCs oder Handys umgehen, verwundert es nicht, wenn von mehr als 5.000 Neuinfektionen täglich die Rede ist.

Viele Grüße
Ingo
 
Holzinger Am: 21.02.2016 16:34:41 Gelesen: 17354# 16 @  
@ Cantus [#15]

Lieber Ingo,

und schon könntest Du auf das nächste Sicherheitsproblem mit Deiner Antwortmail herein gefallen sein. Es werden auch Mails (pauschal/an offene auffindbare ADR usw.) verschickt und dann registriert, ob jemand antwortet. Nun weiß der Absender mit Bestimmtheit das die angewählte ADR tatsächlich existiert und kann sie gezielt selbst nutzen oder für besseres Geld weiter verkaufen. Konkrete ADR erzielen höhere Preise!

Es hatte in Deinem Falle auch prinzipell keinen Zweck. Es wäre doch sonst mit der Rückverfolgung viel zu einfach :-).

Ohne Reaktion löschen ist das Gebot der Stunde.
 
Cantus Am: 21.02.2016 16:48:03 Gelesen: 17345# 17 @  
@ Holzinger [#16]

Hallo Holzinger,

im Herbst letzten Jahres hatte ich in einer ähnlichen Situation die Polizei eingeschaltet, die mir dann nach Monaten mitteilte, dass der Absender (Mailende = .cz) nicht zu ermitteln sei, es sich vermutlich um Spam handele und das Verfahren deshalb eingestellt worden wäre. Im Übrigen verstecke ich meine Mailadressen in aller Regel nicht, wechsle sie allerdings regelmäßig aus. Im Moment habe ich sechs verschiedene Mailadressen, über die ich theoretisch erreichbar bin, öffentlich gemacht habe ich davon aber nur zwei.

Viele Grüße
Ingo
 
Francysk Skaryna Am: 22.02.2016 12:28:14 Gelesen: 17230# 18 @  
@ 22028 [#12]

Moin,

Moderne Virenscanner haben aber einen Ransomware-Schutz ...

... und Du offenbar ein grenzenloses Vertrauen. Aktuelle Ransomware verändert sich ständig, um die signaturbasierte Erkennung der Kommunikation zu umgehen. Dadurch entsteht immer ein gewisser Vorsprung der Kriminellen gegenüber den Antivirenprogrammen, auch wenn man regelmässig aktuelle Signaturen einspielt.

Gruss
 
Redfranko Am: 22.02.2016 14:27:05 Gelesen: 17176# 19 @  
@ Detlev0405 [#9]

Voll und ganz meine Meinung. Ich bin selbständig und trotzdem öffne ich nicht eine angebliche Rechnung im Anhang, wenn mir die Domain des Absenders nichts sagt, denn ich weiß selber am besten, ob ich dort etwas bestellt habe oder nicht. Schon seit Wochen werde ich mit ähnlichen Mails überschwemmt, aber es hat bei mir noch nicht einmal im Finger gezuckt, so einen Anhang zu öffnen, sondern: LÖSCHEN.
 
Francysk Skaryna Am: 29.02.2016 10:17:30 Gelesen: 17014# 20 @  
Moin,

@ Redfranko [#19]

Ich bin selbständig und trotzdem öffne ich nicht eine angebliche Rechnung im Anhang

Was sicher auch gut so ist. Wie heise.security berichtet [1] kommt ein neuer Virus sehr unverfänglich daher, da er in bereits einmal erhaltenen Mails steckt, die mit einem Passwort versehen scheinbar von einem bekannten Absender erneut versendet werden. Durch das Passwort geschützt versteckt er sich vor den gängigen Virenscannern. Dem Empfänger wird der Eindruck vermittelt, eine echte, ungefährliche Mail ein zweites Mal erhalten zu haben. Das Ganze wirkt auch deshalb plausibel, weil Absender ja mitunter tatsächlich im ersten Anlauf vergessen, einen Anhang beizufügen und Mails daher samt Anhang ein zweites Mal versenden.

Ferner wird von einem trun-Trojaner berichtet [2], der derzeit vor allem via Mail verbreitet wird und Windows-Systeme befällt. Anders als bei Locky oder TeslaCrypt stellen die Erpresser nicht gleich Lösegeld-Forderungen, sondern bieten Hilfe durch Experten an. Letztlich wollen sie dann aber doch für die Entschlüsselung der gekaperten Daten Geld in Form von nicht zu ihnen verfolgbaren Bitcoins.

Es handelt sich bei dem Trojaner-Code im Wesentlichen um Skript-Dateien, die das Verschlüsselungsprogramm gpg.exe nachladen, damit Schlüssel erzeugen und dann anfangen, alle erreichbaren Dateien mit interessanten Daten damit zu verschlüsseln. Die Originale überschreibt der Trojaner mit den verschlüsselten PGP-Dateien, die dann die Endung .trun erhalten.

Gruss

[1] http://www.heise.de/security/meldung/Neuer-Virus-schützt-sich-mit-einem-Passwort-3119562.html
[2] http://www.heise.de/security/meldung/Erpressungs-Trojaner-verschlüsselt-mit-PGP-3116677.html
 
Copski Am: 08.03.2016 22:16:18 Gelesen: 16914# 21 @  
Mit dem Locky Virus ist schwer. Mein Bruder hat das eingefangen - nichts geholfen. Ich mache jetzt immer online Backups und habe die wichtigsten Dokumente auf die Wiederherstellungspunkte gesetzt. Man kan viel hier darüber nachlesen:

http://nabzsoftware.com/types-of-threats/locky-file

Am besten keine Emails öffnen, die unbekannt sind und keine Anhängerdateien anklicken. In den meisten Fällen sind das Word Dateien, soweit ich weiss.
 
Francysk Skaryna Am: 10.03.2016 11:44:34 Gelesen: 16903# 22 @  
@ Copski [#21]

Moin,

Mein Bruder hat das eingefangen - nichts geholfen.

Seid Ihr mal über die Wiederherstellungspunkte gegangen? Die setzt Windows regelmässig. Ist vielleicht eine - wenn auch sehr kleine - Möglichkeit, an einen Teil der Daten heran zu kommen.

Gruss
 
22028 Am: 10.03.2016 11:59:41 Gelesen: 16898# 23 @  
Ein Wiederherstellungspunkt ist doch nur für Programme und Betriebssystem wirksam, nicht aber für Nutzerdaten, noch dazu wenn die verschlüsselt sind.
 
filunski Am: 10.03.2016 12:43:37 Gelesen: 16940# 24 @  
@ Alle

Verehrte Forumsmitglieder,

ich möchte hier auf einen Umstand aufmerksam machen und allen zur Kenntnis bringen, um klare Verhältnisse anzuzeigen und um nicht bestehende Zusammenhänge zu vermeiden.

Ihr alle kennt mich unter meinem Forumnamen "filunski" und viele von euch auch persönlich.

Seit wann, weiß ich nicht, aber heute bemerkte ich es, dass unter Verwendung dieses Namens (der im übrigen weder geschützt noch sonst etwas ist) ein anderes, auch dem Einen oder Anderen Philaseitenmitglied bekanntes Forumsmitglied eine Internetseite und auch eine E-Mail Adresse angemeldet hat [1].

Ich weise hier und jetzt ausdrücklich darauf hin, dass dies absolut nichts mit mir oder meiner Person zu tun hat.

Das Pseudonym "filunski" verwende ich selbst nur als Forumname und sonst nicht, weder in E-Mails, Anhängen, Domains o.ä.

Beste Grüße,
Peter

[1] http://www.philaseiten.de/cgi-bin/index.pl?SU=350054
 
Cantus Am: 10.03.2016 14:15:27 Gelesen: 16870# 25 @  
Es sollte doch für jeden PC-Nutzer selbstverständlich sein, in regelmäßigen Abständen von höchstens einigen Monaten alle wesentlichen Daten zusätzlich zum PC auf externen Speichermedien zu sichern. Wenn dann wirklich - durch meistens Dummheit oder Unerfahrenheit - so ein gefährlicher Virus die Daten auf dem PC beschädigt oder unlesbar macht, dann wird der PC eben "nackig" gemacht und neu aufgebaut. Das dauert meistens zwar einige Stunden, bis alle wesentlichen Programme und auch die zuvor extern gesicherten Daten wieder eingespielt worden sind, aber letztlich hat man außer einer Menge Arbeit kaum Datenverluste.

Viele Grüße
Ingo
 
Briefmarken-Museum Am: 10.03.2016 15:08:23 Gelesen: 16886# 26 @  
@ Holzinger

Hei Wolfgang, nach unserem netten Telefonat hat sich wohl jede weitere Erörterung hier erledigt.

@ filunski [#24]

Hei Peter, Du weißt seit längerer mehrjähriger Zeit, dass mir die Domain http://www.filunski.de gehört - ich habe es Dir persönlich m.E. am Telefon gesagt.

In meinem Spam-Ordner liegt seit 10.18 Uhr heute eine Email von einem Franz Josef Koch [FranzJosefKoch@cagc.ca] sieh selbst:



Da ist bzw. sind mehrere Philaseiten Email-Adressen abgegriffen worden und zirkulieren im Netz.

Ich habe mich sofort entschlossen eine andere noch nie verwendete Email-Adresse zu erzeugen, um zu gucken wie schnell die "Buschtrommel" ist. Um 11.33 Uhr kam die Bestätigung seitens der Philaseiten AG und um 12.43 Uhr erschien bereits Dein Beitrag.

Also ich danke Dir für Deinen Beitrag, der mir zeigt dass die Buschtrommel flott funktioniert.

Durch Weiterleitung kommt man/frau von http://www.filunski.de wieder zum http://www.briefmarken-museum.de und es kann sich jeder im Impressum mein fröhlich lächendes Gesicht mit einer anderen Email-Kontaktadresse ansehen.

Die ewigen Spammer und Häcker-Angriffe machen Phantasie und Strategie zur Abwehr notwendig ... das dürfte lieber Peter Dir als gelernter Abfangjäger in der Logik vertraut sein.

Wünsche allen Mitlesern einen schönen Tag
JoWaGo
 
Silesia-Archiv Am: 10.03.2016 15:19:43 Gelesen: 16876# 27 @  
@ Briefmarken-Museum [#26]

Ich hatte heute früh auch eine ähnliche oder gleiche Email von einem Franz Josef Koch in meinem "normalen" Eingang. Diese habe ich, um möglichst jeden Schaden abzuwenden, sofort ungelesen gelöscht.

Beste Grüße
Michael
 
Briefmarken-Museum Am: 10.03.2016 15:47:50 Gelesen: 16856# 28 @  
@ Silesia-Archiv [#27]

Hei Michael, Danke für Deinen Beitrag, der mir zeigt, daß in der Tat eine Rundumattacke gelaufen ist.

Der Name Wittkowski ist mir sofort ins Auge gestochen, wir kennen uns etwas über unsere Netzaktivitäten aber nicht persönlich.

Also ich klicke die unbekannte Email an, um den Absender zu ermitteln und wenn ich den nicht kenne, dann gehen die Alarmpfeifen an und ich lösche die zugehörige Emailadresse bei meinem Provider. Das bedeutet, dass die Spam-Mail in der Zukunft reflektiert wird bzw alle späteren Spam-Emails reflektiert werden.

Also ich verwende jede Emailadresse von mir nur einmal im Netz zu einer speziellen Aktion, hier hat meine Email seit meiner primären Anmeldung ca. 2008 funktioniert (neudeutsch: gefunzt).

Beste Grüße zurück
Jochen
 
Silesia-Archiv Am: 10.03.2016 15:55:41 Gelesen: 16837# 29 @  
Hei Jochen,

danke. Mir kam es etwas komisch vor, weil ich mal von einem "Franz Josef Koch" etwas ersteigert hatte.

Beste Grüße

Michael
 
Briefmarken-Museum Am: 10.03.2016 18:02:26 Gelesen: 16799# 30 @  
Hei Michael, also das ist ja gut, der Deal mit F.J. Koch - aber da kann man/ich/wir keine Rückschlüsse draus ziehen, denn niemand weiß, auf welchem Server beim Email-Transpot das von wem abgegriffen wurde.

Es gab eine Zeit vor ein paar Jahren, da habe ich pro Woche bis zu 1000 Anmelde und Statusmeldungen per Emails von Profi-Spammern in mein häusliches Postfach erhalten.

So halbwgs bewährt hat sich ein Netz von Weiterleitungs-Adressen, da kann man/ich im Umkehrschluss orten, wo abgegriffen wurde.

Von dieser Plattform hätten nur bestimmte Statusmeldungen kommen dürfen, aber nicht dieser Email-Inhalt - mit anderen Worten die Email hat sich selbst als Spam oder Fisching-Aktion entlarvt.

Soviel für heute - schönen Abend an alle
JoWaGo
 
Silesia-Archiv Am: 10.03.2016 19:38:09 Gelesen: 16756# 31 @  
@ Briefmarken-Museum [#30]

Hallo Jochen,

da bist Du ein Profi. So gut kenne ich mich im www bzw. in SPAMS nicht aus.

Beste Grüße, auch schönen Abend -auch an alle-
Michael
 
Richard Am: 11.03.2016 09:31:29 Gelesen: 16657# 32 @  
@ alle Leser

Zur Klarstellung:

(1) Es gibt ein Mitglied Franz Josef Koch, aber nicht mit dieser Mail-Adresse.

(2) Die Mail kam anscheinend von einem russischen Server, der für Spam bekannt ist, die Mail-Adresse bezieht sich auf eine in Kanada registrierte Seite [1].

(3) Die Auswertung der Empfänger-Adressen aus dieser Spam-Mail ergab, dass etwa die Hälfte davon in unserer Mitgliederverwaltung oder beim Versand des Philaseiten Briefs bei uns unbekannt sind. Die anderen betreffen aktive Sammler, die über vielfache Kontakte im Internet verfügen und in vielen privaten Servern gespeichert sind.

Schlussfolgerung:

(4) Der Philaseiten Server, mehrfach abgesichert, ist mit an Sicherheit grenzender Wahrscheinlichkeit nicht betroffen, sonst müssten tausende von Mail verschickt worden sein.

(5) Vermutlich ist ein Server eines Mitglieds infiziert und missbraucht worden, der ein Sammler und Philaseiten Mitglied ist.

Mail dieser und ähnlicher Art, insbesondere ohne Anrede, kommen hier nahezu täglich an und werden sofort gelöscht. Selten wurde früher beim Absender, wenn Philaseiten Mitglied, nachgefragt, ob dieser eine Mail geschickt hat - bisher war dies nie der Fall. Gefährliche Mails sind unter anderem an fehlendem Betreff und und fehlender Anrede zu erkennen, teilweise an mangelhafter Rechtschreibung.

Schöne Grüsse, Richard

[1] https://www.cagc.ca/
 
alemannia Am: 11.03.2016 09:40:33 Gelesen: 16648# 33 @  
Hallo zusammen,

habe die Mail auch bei mir im Spam-Ordner gefunden und gelöscht.

Gruß

Guntram
 
Briefmarken-Museum Am: 11.03.2016 13:16:34 Gelesen: 16595# 34 @  
@ Richard [#32]

Hei Richard, so sehe ich das auch, die Attacke kommt nicht aus unserem direkten Kreis.

Beste Grüße an alle

Jochen Wanderer aus Gotha (JoWaGo), denn es gibt noch einen mir persönlich bekannten Namensvetter und Verwandten Jochen Wanderer in Bad Münder
 
DerLu Am: 12.03.2016 07:51:15 Gelesen: 16500# 35 @  
@ Richard [#32]

Hallo Richard,

>>gefährliche Mails sind unter anderem an fehlendem Betreff und und fehlender Anrede zu erkennen, teilweise an mangelhafter Rechtschreibung.

Wenn du dich da mal nicht täuscht: Ich habe schon mehrfach falsche Mails zu meinem Packstation-Account bzw. angebliche Telekom-Rechnungen bekommen, die so täuschend echt aussahen (Layout, Anrede, Sprache), daß ich wirklich dreimal nach geschaut habe ob Sie echt waren! Die Kriminellen im Netz lernen schnell. :-(

Meistens lassen sich diese Mails aber durch eine Blick in den Mail Header dann doch schnell identifizieren.

Gruß DerLu
 
Francysk Skaryna Am: 17.03.2016 09:07:20 Gelesen: 16387# 36 @  
@ Richard [#32]

Moin,

Gefährliche Mails sind unter anderem an fehlendem Betreff und und fehlender Anrede zu erkennen, teilweise an mangelhafter Rechtschreibung.

Locky lauerte wohl eine Weile auf den infizierten Systemen, ehe es gleichzeitig bei mehreren Opfern mit der Verschlüsselung persönlicher Dateien begonnen hatte [1]. Der Umstand, dass die Verschlüsselung in vielen dokumentierten Fällen zeitgleich geschah, lässt auf einen Befehl von ausserhalb schliessen. Und das könnte durchaus System haben: Die Täter hatten so die Möglichkeit, ihre bis Dato unbekannte Schad-Software auf möglichst viele Rechner zu verteilen, ehe sie zuschlagen. Dabei werden Schädlinge nicht nur über Mailanhänge verteilt, mittlerweile werden auch Werbe-Netzwerke kompromittiert, um darüber manipulierte Werbe-Anzeigen an Webseiten auszuliefern [2]. Die Gefährdung ist mittlerweile doch komplexer, als die bislang altbekannten Muster.

Gruss

[1] http://www.heise.de/security/meldung/Erpressungs-Trojaner-Locky-schlägt-offenbar-koordiniert-zu-3104069.html
[2] http://www.heise.de/security/meldung/Malvertising-Kampagne-Webseiten-von-AOL-BBC-und-MSN-verteilten-Erpressungs-Trojaner-3139150.html
 
Franz-Josef Am: 17.03.2016 11:06:39 Gelesen: 16352# 37 @  
An alle Philaseiten- Mitglieder,

in letzter Zeit tauchen immer wieder angeblich von mir verschickte emails bei verschiedenen Philaseiten Mitgliedern auf.

Mit diesen emails habe ich gar nichts zu tun, denn es ist auch nicht meine email-Adresse. Wenn ich Philaseiten-Mitglieder anschreibe, geschieht das immer unter meiner hinterlegten email-Adresse.

Viele Grüße
Franz-Josef Koch
 
Briefmarken-Museum Am: 17.03.2016 20:36:22 Gelesen: 16227# 38 @  
@ Franz-Josef [#37]

Hei Franz-Josef,

mir war sofort klar, dass diese Email nicht von Dir war. Allerdings zirkulieren jetzt diverse Email-Adressen unauthorisert im Netz, z.B. meine alte Email-Adresse ist nun "verbrannt" = gelöscht und damit sind alle zuküftigen Spammer-Emails am Reflektieren und gelangt so nicht mehr in mein häusliches Postfach.

Eine eigene Domain bedeutet, Du kannst Dir zig Email-Adressen im Rahmen Deines Vertrages mit Deinem Provider generieren, das hat/bietet einige Vorteile.

Beste Grüße nach Aachen aus dem Vorharz
JoWaGo
 

Das Thema hat 38 Beiträge:
Gehe zu Seite: 1   2  oder alle Beiträge zeigen
 
  Antworten    zurück Suche    Druckansicht  
 
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessen. Durch Deinen Besuch stimmst Du dem zu.