Jump to content

Verschlüsselungs Trojaner (xorthelp@xandex.ru) ähnllich locky


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ahoi,

hatte hier bei einem kleiner Kunden jetzt auch einen Vorfall.

Nach Locky sieht das Ganze aber nicht aus, eher nach einem schlechten Trittbrettfahrer.

 

Ähnlich wie bei Locky wurden einige Daten auf dem System und Server verschlüsselt.

Der Schaden war gering, eine Sicherung auf dem Server wurde bereits wiederhergestellt und der Client wird neu eingerichtet.

 

Bei der Untersuchung des betroffenen Clients sind mir jetzt zwei Dateien aufgefallen:

 

 

Dateien werden in .Xort verschlüsselt.

Im Userverzeichnis habe ich den Übeltäter und zwei weitere interessante Dateien gefunden:

confimation.key

xort.key

 

Mein Verdacht ist, dass der Verschlüsselungskey nicht gelöscht wurde und die Daten restaurierbar sind.

 

Würde mich doch interessieren, ob ich da mit vertretbaren Aufwand noch dran komme :)

 

VG

 

Link zu diesem Kommentar

eher nicht, da ja der symmetrische AES-Key, mit dem wahrscheinlich verschlüsselt wurde, wiederum durch einen asymetrischen RSA Public/ Private Keypair verschlüsselt ist. Dieser zugehörige private-RSAKey liegt wahrscheinlich nicht (mehr) auf deinem Rechner.

 

btw1: locky hatte (so ich gelesen habe) immer eine gewisse Karenzzeit zwischen Infektion und Aktion, um sich dazwischen innerhalb des Netzwerkes noch weiter verbreiten zu können. -> Kein Domainadmin meldet sich interaktiv (RDP oder am Gerät) mit seiner Admin-Kennung auf Clients an! Never Ever!

Ich würde die anderen Rechner des Kunden auf die von dir gefundenen Dateien untersuchen und ggf. die Sicherung wichtiger Dateien überprüfen.

 

btw2: es handelt sich um einen kriminellen Erpressungsversuch. Wenn ein Jurist in der Firma greifbar ist, würde ich ihn mal kontaktieren, ob eine Anzeige sinnvoll ist.

Link zu diesem Kommentar

Ich glaube auch nicht, dass es was bringt dem hinterher zu gehen.

 

Hauptsache die Systeme sind wieder sauber, dass ist wichtiger denke ich, wenn kein wirklich Datenverlost vorliegt.

 

 

Mit der Anzeige, würde ich zumindest auch versuchen, auch wenn ich glaube, dass die Behörden da sicherlich schon aktiv sind, aber vielleicht gibt es ja neue Hinweise.

Link zu diesem Kommentar

Moin,

ja Systeme sind soweit alle ok - war ja nur der Client betroffen.

Die anderen Systeme sind sauber.

Freigaben wurden bereits wiederhergestellt.

 

Das mit der Anzeige ist mir bekannt und hatte ich weitergegeben, sollte ja auch Online über das NRW Portal gehen und ohne großen Aufwand.

Allerdings sehe ich das Ganze eher nüchtern.

 

Der Schaden ist in diesem Fall ja zum Glück sehr überschaubar -> ein nur halbversauter Freitag ;)

bearbeitet von PowerShellAdmin
Link zu diesem Kommentar

Und hier wieder ein Beispiel, wie sinnlos Virenscanner sind:

 

https://www.virustotal.com/de/file/ece07a5ff2050fd86d2517b30e509902eafa0060ed8d43a5eef116d5ec176bf9/analysis/1458301083/

 

(frischer Locky, kam via Javascript-Datei hier gerade an, Download-URL:  https://www.virustotal.com/de/url/fb6f719d60662eac5cb56e201e2a3b1b6ca7a39da0b10af889dc3fb12c482dc9/analysis/1458301079/  )

Der Virus "quatscht" übrigens wieder mit einem Server in der Ukraine.

bearbeitet von zahni
Link zu diesem Kommentar

Bezüglich Virenscanner... Ich bin gerade etwas (positiv) überrascht:

 

Habe versucht, die EXE in meiner Test-VM mit Windows 10 herunterzuladen: Der Standard-Defender (mit den Signaturen von gestern) hat den Download sofort geblockt und als "Trojan:Win32/Hacowi.B!plovk" gemeldet.

 

https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Trojan:Win32/Hacowi.B!plock

 

Eventuell Heuristik/Verhaltenserkennung durch den Defender? Scheint jedenfalls nicht so schlecht wie oft behauptet.

 

Die Online-Scanner (Virustotal usw.) machen ja wohl keine Heuristik o.ä., sondern reine Signaturprüfung (hab ich irgendwo mal gelesen).

 

Nachtrag:

Verhaltenserkennung entfällt eigentlich. Hab die Datei ja nicht ausgeführt, sondern nur runtergeladen.

post-23427-0-33630500-1458328896_thumb.png

bearbeitet von massaraksch
Link zu diesem Kommentar

Tja Javaskript ist im Web fest verankert.

Doc Dateien immer noch nicht ganz abgewöhnt.

 

Sicherheit ist ja ansich ein Bestreben, man kann es also nur verbessern nicht erreichen.

 

Man darf leider nicht immer wie man will, als Admin ergeben sich daraus immer auch Diskussionen.

 

Der konkrete Fall wäre vermeidbar gewesen - weder ESET ESMX als auch der ESET Client Schutz haben das Virus gefunden.

Allerdings hätte eine einfach Dateiregel diesen Vorfall unterbunden.

 

Ich tendiere immer mehr zum Blockall & Exceptions,aber da fehlt auch oftmals die Akzeptanz.

Wir haben unser Mailing mittlerweile sehr restriktiert, bei akzeptabler Nutzbarkeit.

bearbeitet von PowerShellAdmin
Link zu diesem Kommentar

Sicherheit ist unbequem aber das ist alles relativ.

Die Einschränkungen werden zumeist durch Benutzerignoranz erst zu Problemen.

Selbst bei transparenter Informationsplitik wird dann die Info Mail ignoriert und sich dann gewundert, wenn man in Restriktionen läuft.

 

Ich bin kein Freund von Verboten, aber in einer gewissen Form ist es heute notwendig

bearbeitet von PowerShellAdmin
Link zu diesem Kommentar

Komisch, bei Virustotal findest die Microsoft-Engine nichts.

 

Eben deshalb ist das reine Schauen auf die Scan-Ergebisse solcher Seiten wie Virustotal auch nicht der Weisheit letzter Schluß.

 

Es kann gut sein, daß bei Virustotal der jeweilige Scanner nichts findet, die lokal installierte Variante aber sehr wohl. Und umgekehrt (was ja noch ärgerlicher wäre).

Link zu diesem Kommentar

Und das hilft jetzt wie? Was wäre aus Deiner Sicht das richtige Vorgehen? Weiterhin allein den Virenscannern vertrauen?

 

Im Übrigen muss bei Deinem Versuchsaufbau oder bei Dem was Du heruntergeladen hast etwas nicht stimmen.

Microsoft erkennt das Sample jetzt (schon) richtig als "Ransom:Win32/Locky.A" 

 

https://www.virustotal.com/de/file/ece07a5ff2050fd86d2517b30e509902eafa0060ed8d43a5eef116d5ec176bf9/analysis/

bearbeitet von zahni
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...