Verschlüsselungs Trojaner (xorthelp@xandex.ru) ähnllich locky

[PowerShellAdmin 169]

Ahoi,

hatte hier bei einem kleiner Kunden jetzt auch einen Vorfall.

Nach Locky sieht das Ganze aber nicht aus, eher nach einem schlechten Trittbrettfahrer.

 

Ähnlich wie bei Locky wurden einige Daten auf dem System und Server verschlüsselt.

Der Schaden war gering, eine Sicherung auf dem Server wurde bereits wiederhergestellt und der Client wird neu eingerichtet.

 

Bei der Untersuchung des betroffenen Clients sind mir jetzt zwei Dateien aufgefallen:

 

 

Dateien werden in .Xort verschlüsselt.

Im Userverzeichnis habe ich den Übeltäter und zwei weitere interessante Dateien gefunden:

confimation.key

xort.key

 

Mein Verdacht ist, dass der Verschlüsselungskey nicht gelöscht wurde und die Daten restaurierbar sind.

 

Würde mich doch interessieren, ob ich da mit vertretbaren Aufwand noch dran komme :)

 

VG

 

[blub 115]

eher nicht, da ja der symmetrische AES-Key, mit dem wahrscheinlich verschlüsselt wurde, wiederum durch einen asymetrischen RSA Public/ Private Keypair verschlüsselt ist. Dieser zugehörige private-RSAKey liegt wahrscheinlich nicht (mehr) auf deinem Rechner.

 

btw1: locky hatte (so ich gelesen habe) immer eine gewisse Karenzzeit zwischen Infektion und Aktion, um sich dazwischen innerhalb des Netzwerkes noch weiter verbreiten zu können. -> Kein Domainadmin meldet sich interaktiv (RDP oder am Gerät) mit seiner Admin-Kennung auf Clients an! Never Ever!

Ich würde die anderen Rechner des Kunden auf die von dir gefundenen Dateien untersuchen und ggf. die Sicherung wichtiger Dateien überprüfen.

 

btw2: es handelt sich um einen kriminellen Erpressungsversuch. Wenn ein Jurist in der Firma greifbar ist, würde ich ihn mal kontaktieren, ob eine Anzeige sinnvoll ist.

[Azharu 119]

Ich glaube auch nicht, dass es was bringt dem hinterher zu gehen.

 

Hauptsache die Systeme sind wieder sauber, dass ist wichtiger denke ich, wenn kein wirklich Datenverlost vorliegt.

 

 

Mit der Anzeige, würde ich zumindest auch versuchen, auch wenn ich glaube, dass die Behörden da sicherlich schon aktiv sind, aber vielleicht gibt es ja neue Hinweise.

[PowerShellAdmin 169]

Moin,

ja Systeme sind soweit alle ok - war ja nur der Client betroffen.

Die anderen Systeme sind sauber.

Freigaben wurden bereits wiederhergestellt.

 

Das mit der Anzeige ist mir bekannt und hatte ich weitergegeben, sollte ja auch Online über das NRW Portal gehen und ohne großen Aufwand.

Allerdings sehe ich das Ganze eher nüchtern.

 

Der Schaden ist in diesem Fall ja zum Glück sehr überschaubar -> ein nur halbversauter Freitag ;)

bearbeitet 18. März 2016 von PowerShellAdmin

[Azharu 119]

Hi,

 

da hast du noch mal Glück gehabt, ein Kollege aus Münster hatte nicht soviel Glück seine Kunden sind Reihenweise betroffen.

 

Gut, dass nicht soviel passiert ist.

 

Bei uns selber ist bisher nichts dergleichen Aufgetaucht. Das wäre auch ziemlich fatal.

[zahni 554]

Und hier wieder ein Beispiel, wie sinnlos Virenscanner sind:

 

https://www.virustotal.com/de/file/ece07a5ff2050fd86d2517b30e509902eafa0060ed8d43a5eef116d5ec176bf9/analysis/1458301083/

 

(frischer Locky, kam via Javascript-Datei hier gerade an, Download-URL:  https://www.virustotal.com/de/url/fb6f719d60662eac5cb56e201e2a3b1b6ca7a39da0b10af889dc3fb12c482dc9/analysis/1458301079/  )

Der Virus "quatscht" übrigens wieder mit einem Server in der Ukraine.

bearbeitet 18. März 2016 von zahni

[Otaku19 33]

nicht sinnlos, nur im konkreten Fall nicht ausreichend.

 

das mit xor und lokal auslesbaren key hab ich schon wo gelesen, das ist wirklich eien Variante bei der man die Daten wiederherstellen könnte. Restore würde ich aber trotzdem vorziehen

[massaraksch 41]

Bezüglich Virenscanner... Ich bin gerade etwas (positiv) überrascht:

 

Habe versucht, die EXE in meiner Test-VM mit Windows 10 herunterzuladen: Der Standard-Defender (mit den Signaturen von gestern) hat den Download sofort geblockt und als "Trojan:Win32/Hacowi.B!plovk" gemeldet.

 

https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Trojan:Win32/Hacowi.B!plock

 

Eventuell Heuristik/Verhaltenserkennung durch den Defender? Scheint jedenfalls nicht so schlecht wie oft behauptet.

 

Die Online-Scanner (Virustotal usw.) machen ja wohl keine Heuristik o.ä., sondern reine Signaturprüfung (hab ich irgendwo mal gelesen).

 

Nachtrag:

Verhaltenserkennung entfällt eigentlich. Hab die Datei ja nicht ausgeführt, sondern nur runtergeladen.

bearbeitet 18. März 2016 von massaraksch

[zahni 554]

Komisch, bei Virustotal findest die Microsoft-Engine nichts.

Über die URL kommt übrigens eine neue Locky-Version:

 

https://www.virustotal.com/de/file/3b4c7214595dde7ad89ec2ddddfd7dfc4fc15f8843133a78b9292fe4e812c85e/analysis/1458325687/

[PowerShellAdmin 169]

Tja Javaskript ist im Web fest verankert.

Doc Dateien immer noch nicht ganz abgewöhnt.

 

Sicherheit ist ja ansich ein Bestreben, man kann es also nur verbessern nicht erreichen.

 

Man darf leider nicht immer wie man will, als Admin ergeben sich daraus immer auch Diskussionen.

 

Der konkrete Fall wäre vermeidbar gewesen - weder ESET ESMX als auch der ESET Client Schutz haben das Virus gefunden.

Allerdings hätte eine einfach Dateiregel diesen Vorfall unterbunden.

 

Ich tendiere immer mehr zum Blockall & Exceptions,aber da fehlt auch oftmals die Akzeptanz.

Wir haben unser Mailing mittlerweile sehr restriktiert, bei akzeptabler Nutzbarkeit.

bearbeitet 19. März 2016 von PowerShellAdmin

[Sunny61 806]

Ich tendiere immer mehr zum Blockall & Exceptions,aber da fehlt auch oftmals die Akzeptanz.

Sicherheit ist unbequem, so höre ich das aus vielen Kommentaren von Benutzern raus.

[Otaku19 33]

so ist das eben, die Bemühen erhöhen meist wirklich die Security, aber immer wird irgendwas dadurch langsamer,komplexer und teurer :) kenne keine Securitymaßnahme die was gegenteiliges bewirkt :)

[PowerShellAdmin 169]

Sicherheit ist unbequem aber das ist alles relativ.

Die Einschränkungen werden zumeist durch Benutzerignoranz erst zu Problemen.

Selbst bei transparenter Informationsplitik wird dann die Info Mail ignoriert und sich dann gewundert, wenn man in Restriktionen läuft.

 

Ich bin kein Freund von Verboten, aber in einer gewissen Form ist es heute notwendig

bearbeitet 20. März 2016 von PowerShellAdmin

[massaraksch 41]

Komisch, bei Virustotal findest die Microsoft-Engine nichts.

 

Eben deshalb ist das reine Schauen auf die Scan-Ergebisse solcher Seiten wie Virustotal auch nicht der Weisheit letzter Schluß.

 

Es kann gut sein, daß bei Virustotal der jeweilige Scanner nichts findet, die lokal installierte Variante aber sehr wohl. Und umgekehrt (was ja noch ärgerlicher wäre).

[zahni 554]

Und das hilft jetzt wie? Was wäre aus Deiner Sicht das richtige Vorgehen? Weiterhin allein den Virenscannern vertrauen?

 

Im Übrigen muss bei Deinem Versuchsaufbau oder bei Dem was Du heruntergeladen hast etwas nicht stimmen.

Microsoft erkennt das Sample jetzt (schon) richtig als "Ransom:Win32/Locky.A" 

 

https://www.virustotal.com/de/file/ece07a5ff2050fd86d2517b30e509902eafa0060ed8d43a5eef116d5ec176bf9/analysis/

bearbeitet 20. März 2016 von zahni