tpk 10 Geschrieben 12. Mai 2016 Melden Teilen Geschrieben 12. Mai 2016 Hallo Leute, ich wollte euch kurz darüber Informieren das eine neue Ransomware namens "Mischa" im Umlauf ist. Selbst google findet noch nichts dazu, derzeit gibt es dafür KEIN Removal Tool bzw. hat noch keines der bisher getesteten angeschlagen. Ebenso unbekannt ist natürlich ob sich der Virus dann von selbst im Netz verbreitet bzw. was er sonst noch ausser der Verschlüsselung anstellt. Ich stehe bereits mit Kasperky und Trend Micro in Kontakt damit hier so schnell wie möglich abhilfe geboten wird. Vom Text her (siehe auch Screenshot) ist er weitestgehend ident mit Petya (Petya & Mischa, bei James Bond Fans sollte es nun "aha" machen), verschlüsselt allerdings nicht den MBR wie Petya, aber auch hier wird man aufgefordert via Tor & Bitcoin Lösegeld zu bezahlen. Beim betroffenen Kunden ging das Mail mit persöhnlicher Anrede an den Personalleiter und bezog sich im Betreff auf eine ausgeschriebene Stelle -> Bewerbungsunterlagen bitte via Magenta Cloud herunterladen. LG Martin Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 12. Mai 2016 Melden Teilen Geschrieben 12. Mai 2016 Danke für den Hinweis. Aber auch hier gilt: Proxy: Ausführbare Dateien filtern, Mailserver: das Gleiche und am Ende die SRP, welche die Ausführung unerlaubter Programme verhindert. Zitieren Link zu diesem Kommentar
goki 0 Geschrieben 12. Mai 2016 Melden Teilen Geschrieben 12. Mai 2016 Interessanter als ein Bildschirmfoto von regedit ist die auslösende Mail, finde ich jedenfalls. Zitieren Link zu diesem Kommentar
datmox 26 Geschrieben 12. Mai 2016 Melden Teilen Geschrieben 12. Mai 2016 Interessanter als ein Bildschirmfoto von regedit ist die auslösende Mail, finde ich jedenfalls. # Die heruntergeladenen Dateien aus der Cloud wären auch noch gut! War's ne Bewerbung.pdf.exe o. ä.? Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 12. Mai 2016 Melden Teilen Geschrieben 12. Mai 2016 Bekomme hier auch täglich solche Mails. Mit fast jeder Woche werden Sie in Sachen Deutsch und Sache besser. Zitieren Link zu diesem Kommentar
tpk 10 Geschrieben 12. Mai 2016 Autor Melden Teilen Geschrieben 12. Mai 2016 Hallo, eine zweite Fa. mit welcher der Kunde ebenfalls Kontakt hat haben die Infos dazu Online gestellt, allerdings sind sie nicht wie angegeben vor Ort ;) https://www.dotcomsecurity.de/2016/05/11/mischa-ransomware-die-die-noch-keiner-kennt/ LG Zitieren Link zu diesem Kommentar
brauni2102 10 Geschrieben 12. Mai 2016 Melden Teilen Geschrieben 12. Mai 2016 (bearbeitet) hy, ein Kunde von uns hat heute folgendes Mail bekommen. Kunde bekommt täglich min. 50 Bewerbungen für neue Mitarbeiter. Das Mail ist wirklich perfekt auf den Kunden zugeschnitten. Leider hat einer der Mitarbeiter auf den Link geklickt und die Ransomware war schon aktiv und hat begonnen den Server zu verschlüsseln. Mail siehe Anhang! lg christian bearbeitet 12. Mai 2016 von brauni2102 Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 13. Mai 2016 Melden Teilen Geschrieben 13. Mai 2016 wenn man das so mitbekommt...wär es schon bald interessant eine eigene "Quarantänezone" für HR MItarbeiter einzurichten :) Aber über kurz oder lang müsste man dann alle Mitarbieter irgendwo einsperren udn keiner könnte mehr auf geteilte Ressourcen zugreifen. denn nach den Bewerbungen kommen halt Offer an den Einkauf, C-Level oder eben deren Assistenz und weiterhin natürlich Rechnungen aller Art an alle. Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 13. Mai 2016 Melden Teilen Geschrieben 13. Mai 2016 Wird halt immer schwieriger, je besser die Leute die Landessprache beherrschen oder vermutlich sogar Landsleute einsetzen. Habe heute auch grad von einem Bekannten erfahren, dass seine Firma letzte Woche davon betroffen war. Hochpersonalisiert, perfektes Deutsch und eine Offertenanfrage mit einer technischen Zeichnung zum downloaden. Also genau so wie er jeden Tag zich Mails bekommt. Ergebnis war wie so oft eine verschlüsselte Festplatte. Bei grossen Files hat sich in dessen Branche so eingbürgert, dass man die 3D Zeichnungen oft per Download bekommt. Sei es von eine Firmenportal oder auf einem epxliziten Portal. Denke die aktuelle Entwicklung kann man ned nur noch auf Selber-Schuld schieben, da muss man schon fast paranoid sein und einfach jedes einzelne Mail hinterfragen und den Link vorher prüfen. Bei X angestellten mit unterschiedlich hohem Faktor an Misstrauen, kein leichtes Unterfangen. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 13. Mai 2016 Melden Teilen Geschrieben 13. Mai 2016 Ich hab hier grad Spam bekommen, da steht mein kompletter Name, meine Wohnadresse und meine handynummer drin. Das wird langsam echt krank. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 13. Mai 2016 Melden Teilen Geschrieben 13. Mai 2016 ein Kunde von uns hat heute folgendes Mail bekommen. Kunde bekommt täglich min. 50 Bewerbungen für neue Mitarbeiter. Das Mail ist wirklich perfekt auf den Kunden zugeschnitten. Leider hat einer der Mitarbeiter auf den Link geklickt und die Ransomware war schon aktiv und hat begonnen den Server zu verschlüsseln. Interessant wäre die Adresse *unter* dem Link. Als Link kann ich ja schreiben was ich will, die Adresse die dahinter liegt wäre interessant. Hier hilft wohl fast nichts mehr, nur noch mehr die Mitarbeiter zu sensibilisieren und warnen und warnen und sensibilisieren. Zitieren Link zu diesem Kommentar
brauni2102 10 Geschrieben 13. Mai 2016 Melden Teilen Geschrieben 13. Mai 2016 (bearbeitet) Unter dem Link steht das selbe was man sieht. Wir habe die exe Datei vom Virus lokalisiert und auf einen USB Stick kopiert. Hat wer eine Ahnung wohin ich den am besten schicken kann für eine Analyse? bearbeitet 13. Mai 2016 von brauni2102 Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 13. Mai 2016 Melden Teilen Geschrieben 13. Mai 2016 (bearbeitet) Ich hab hier grad Spam bekommen, da steht mein kompletter Name, meine Wohnadresse und meine handynummer drin. Das wird langsam echt krank. Wie ORF hats net abgefangen ;) Hier hilft wohl fast nichts mehr, nur noch mehr die Mitarbeiter zu sensibilisieren und warnen und warnen und sensibilisieren. Genau so sieht es aus - ich reiche seit Wochen regelmäßig Hinweis Emails weiter und weise diese auf die Gefahr hin... Black Swan - Irgendwann erwischt es einen aber ... bearbeitet 13. Mai 2016 von PowerShellAdmin Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 13. Mai 2016 Melden Teilen Geschrieben 13. Mai 2016 Ging an meine private Adresse bei gmx :p Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 13. Mai 2016 Melden Teilen Geschrieben 13. Mai 2016 (bearbeitet) OT: Ging an meine private Adresse bei gmx :p Na denen würde ich mal ein Angebot machen ;) PS: So toll es ist, derzeit ein Nice-To-Have... der Eset-Spamschutz ist zwar furchtbar intransparent und nur bedingt toll konfigurierbar... Aber das Misstding läuft effektiv wirklich gut (habe ja den Vergleich gesehen)... Derzeit bietet es also wenig Mehrwert und ich kann es "noch" nicht argumentieren ... wird noch kommen ;) bearbeitet 13. Mai 2016 von PowerShellAdmin Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.