Viren, Spyware, Datenschutz 11.213 Themen, 94.186 Beiträge

Verfolgung starten Optionen

Locky spricht jetzt Deutsch

mi~we / 20 Antworten / Flachansicht Nickles

Ein neuer Verschlüsselungs-Trojaner macht die Runde und das anscheinend höchst erfolgreich:

http://www.heise.de/newsticker/meldung/Krypto-Trojaner-Locky-wuetet-in-Deutschland-Ueber-5000-Infektionen-pro-Stunde-3111774.html

"....verbreitet sich insbesondere in Deutschland rasend schnell: Über 5000 Neuinfektionen pro Stunde..."

Fleißig, fleißig, der kleine Racker.

"Locky wird aktuell vor allem per Mail verbreitet"

Irgendwie überrascht das schon fast nicht mehr. Also Augen auf bei komischen Mails!Zwinkernd

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
Ja, das Thema verbreitete Heise schon vor 3 Tagen... Man glaubt ja nicht, wie viele so alles anklicken und infiziert ... gelöscht_238890
Prinzipbedingt liegt es doch letztendlich am Betriebssystem Windows , das trotz anscheinend nur scheinbarer Benutzerrechte ... Xdata
Hier geht es auch nicht um einem Browser. Es geht um Office-Anwendungen. Und es geht darum, dass Benutzer dazu verleitet ... mawe2
Microsoft muss Windows, Office und alle Anwendungen, Browser, besonders fremde Tools .. usw. so programmieren damit diese ... Xdata
Die momentan evtl. höhere Sicherheit von Linux hat meiner Meinung nach genau zwei Gründe: Für Linux wird weniger ... mawe2
https://wiki.ubuntuusers.de/Sicherheitskonzepte/ Selbst bei einem theoretisch grösseren Anteil von Linux im ... fakiauso
Genaugenommen kann es bei Linux hart werden falls da Rootrechte erlangt werden. Hab es direkt in einem Linuxkurs erlebt, wo ... Xdata
Nein, nicht einfach so . Das klappt nur über entsprechende Sicherheitslücken in z.B. Browserplugins wie Flash, über die ... mi~we
Danke, ist es C? also die Programmiersprache die die kompromittierbaren Sicherheitslücken verantwortet .. ? Es war doch ... Xdata
Ob man jetzt die verwendete Programmiersprache zum Sündenbock machen kann? Solche Lücken überhaupt zu finden, ist ja ... mi~we
Ja, nobody is perfect ist ein gutes Fazit. Ein Rätsel ist wie einige User Trojaner regelrecht - anziehen wie ein Magnet - ... Xdata
Für mich ist das kein Rätsel: Ich nenne das Digitale Legasthenie . Es gibt einfach Leute, die können mit solchen ... mawe2
ich verstehs nicht, es gibt doktoren die nach eigener definition sich als legastheniker bezeichnen. ich frage mich in ... Alekom
Legasthenie hat nichts mit Dummheit/mangelnder Intelligenz zu tun. Max Payne
ja, aber wird zb die rechtschreibung nicht benotet? ich kann mich noch sehr gut an meine schulzeit erinnern, wo die ... Alekom
Der Umgang mit Legasthenikern sollte sich sowohl in Deutschland wie auch in Österreich in den letzten Jahren deutlich ... mawe2
Wenn der Schüler ein entsprechendes Attest vorlegen kann, wird die Rechtschreibung in dessen Arbeiten nicht benotet. Im ... Max Payne
lexlegis mi~we „Locky spricht jetzt Deutsch“
Optionen

Locky verbreitet sich über Makros in Word-Dateien, aber auch JS-Dateien sind gefährlich.

In meinem eMail-Postfach hatte ich in letzter Zeit drei JS-Dateien bekommen. Es wurde großer Aufwand betrieben, um den Ablauf des Scripts so undurchsichtig wie möglich zu machen. Willkürliche Variablennamen und Codierungs- und Decodierungsfunktionen führten dazu, dass auch nach vier Wochen mein Avast Antivirus nichts gemeldet hat.

Ich hab mich dann mal drangesetzt und versucht herauszufinden, was das Script im Endeffekt macht. Den größten Teil nehmen wie oben gesagt die (De)codierungsfunktionen ein, die Strings wie "fgds+5dsaH" oder "jnN89sad+a2w" in lesbare Zeichenfolgen wie "AdoDB" oder "%TEMP%\" entschlüsseln. Das geschieht mit verrückten Zahlenspielereien in Unicode. Den genauen Decodierungsalgorithmus habe ich nicht herausgefunden; ich habe einfach auf w3schools.com den Code reinkopiert und mir die entschlüsselten Strings anzeigen lassen.

Diese Teil-Strings werden dann zusammengesetzt, um daraus Befehle zu formen, die lediglich zwei URLs mit Verweisen auf exe-Dateien prüfen. Bei mir hieß sie 93.exe. Falls die Datei gefunden wird (HTTP-Status 200), wird sie (die eigentliche Malware) ins Temp-Verzeichnis heruntergeladen und ausgeführt.

 

 

Was sagt uns das?

  • Gehe davon aus, dass dein AV dich nicht immer schützen kann
  • Lade und öffne keine JS-Dateien
  • Lade und öffne auch keine doc-/docx-Dateien! Makrovirengefahr!
Work it harder, make it better, do it faster, makes us stronger
bei Antwort benachrichtigen
Bei DOCX dürften Makroviren eigentlich das geringere Problem sein. mawe2
Nachtrag zu Legasthenie. Bin mir nicht sicher dies teilweise in Bezug auf Zahlenrechnen zu haben. Eher Dyskalkulie als ... Xdata