Crypto, Locky usw... Virenbefall wird heftig

Crash Override

BOfH

Registered: Jun 2005
Location: Germany
Posts: 2951

21.04.2016 - 14:00

Der optimale Schutz bei Cryptovieren sind gegen die Viren selbst AdBlocker. Mir ist keiner bekannt der sich trotz AdBlocker einen Cryptovirus eingefangen hat. Um die Daten zu schützen ist ein ZFS Filesystem mit haufigen Snapshots die beste Vorbeugung, da die Snapshots (Vorgängerversion von Windows aus) read only sind. Wenn man das dann noch per Nagios überwacht mit einer duchschnittlichen Abnahme des freien Speicherplatzes und Alarmierung wenn diese sich beschleunigt, kann man auch einen Befall schnell erkennen und hat maximal die Differenz zwischen 2 Snapshots in einigen Verzeichnissen an Datenverlust. Also maximal ein Paar Minuten.

Bearbeitet von Crash Override am 21.04.2016, 14:00

Garbage

Elder
The Wizard of Owls

Registered: Jul 2000
Location: GR.ch|TI.ch
Posts: 11463

21.04.2016 - 14:21

Vielleicht eine blöde Frage, aber wie siehts unter Linux und OSX aus?
Sprich, ist der Ausgangspunkt dieser Crypto-Viren nur Windows?

Dass es von dort dann auch andere Dinge angreifen kann, solange Schreibzugriff vorhanden ist, habe ich schon halbwegs mitbekommen.

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 9051

21.04.2016 - 14:37

ich weiss zumindest fix von cryptolocker varianten auf OSX!

Cobase

Vereinsmitglied
Mr. RAM

Registered: Jun 2001
Location: Linz
Posts: 17915

21.04.2016 - 14:49

Zitat von Smut
ja. wenn die VM bestmöglich isoliert ist - also keine netzwerkfreigaben/laufwerksmappings etc. vorhanden sind, dann ist das ein guter schutz gegen diese einfachen crypto-viren. ein ultimativer schutz ist es natürlich nicht - man kann auch aus dem hypervisor ausbrechen, hier sind wir aber schon bei einer ganz anderen bedrohung.

Ich dachte da an so etwas:

https://www.qubes-os.org/attachment...h-diagram-1.png

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

21.04.2016 - 16:33

konzept sieht ok aus.
ohne es getestet zu haben, wäre ich bei xen halt vorsichtig - für 0815 bzw. server anwendungen sicher ok. wie gut es mit GPU unterstützung aussieht ist etwas anderes - müsste man wie gesagt testen.

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

21.04.2016 - 16:43

Also "durch Surfverhalten ausgelöst", hat mich doch etwas hochgeschreckt. Die meisten Sachen scheinen sich noch immer "klassisch" zu verbreiten. Locky z.B. vor allem über Mail-Attachments und Office-Macros, zumindest lt. Kaspersky. Und ich muss sagen die Plausibility ist durchaus gegeben, anscheinend sind atm z.B. Mails als Fakes der Post auch im Umlauf http://derstandard.at/2000035426235...pressungs-Troja

Stoni

Little Overclocker

Registered: Apr 2001
Location: Ö
Posts: 50

21.04.2016 - 16:45

gibt es vielleicht schon Infos, Tipps oder HowTos, wie ich es zb meinen Eltern beibringen kann?

weil wenn denen sowas passiert, ist es kein Spaß für mich, es zu erklären und Backups wieder einzuspielen :/

die einfachen Sachen wie Adblocker, Noscript und keine Makros im Office sind schon lange aktiv.

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

21.04.2016 - 16:55

Zitat von Crash Override
Der optimale Schutz bei Cryptovieren sind gegen die Viren selbst AdBlocker. Mir ist keiner bekannt der sich trotz AdBlocker einen Cryptovirus eingefangen hat.

es wird sicher viel über ad-netzwerke ausgeliefert, aber nicht ausschließlich. hier ein link von 2 aktuellen von heute:

z.b. folgende seite hat einen redirect
hxxp://copytermpapers.com/J3s185S/9O16xnCDd.php
auf
hxxp://kx6.delivery-tracker24.net/kfey.php?id=YW5kcmVhcy5nc3RldHRuZXJAb3JmLmF0

ist aktuell ein crypto-trojaner der an vermeintliche post.at kunden verteilt wird. seite 1 (hxxp://copytermpapers.com) ist halt irgendein blog bei dem die .htaccess modifizierbar ist, darüber richten sie dann die weiterleitung ein - per-se ist also keine schadsoftware auf diesem blog, dadurch schützen sie aber ihre eigentlichen fake-seiten im hintergrund.

Bearbeitet von Smut am 21.04.2016, 17:07

wergor

connoisseur de mimi

Registered: Jul 2005
Location: vulkanland
Posts: 4139

21.04.2016 - 18:47

mir ist noch nichts passiert, aber meine mutter hat es schon mal erwischt (petya)

NeM

OC Addicted

Registered: Oct 2004
Location: Austria
Posts: 4887

21.04.2016 - 19:19

Zitat von Stoni
gibt es vielleicht schon Infos, Tipps oder HowTos, wie ich es zb meinen Eltern beibringen kann?

weil wenn denen sowas passiert, ist es kein Spaß für mich, es zu erklären und Backups wieder einzuspielen :/

die einfachen Sachen wie Adblocker, Noscript und keine Makros im Office sind schon lange aktiv.

Da bist eh relativ gut unterwegs. Machen kannst, so wie ich das seh, eigentlich relativ wenig außergewöhnliches. Die Klassiker halt: Hirn benutzen, die Dinge die du erwähnt hast, als letzte Bastion einen aktuellen, gscheiten Antivirus bzw. eine Internet Security und das sollte passen.

Bearbeitet von NeM am 21.04.2016, 19:19

Vinci

hatin' on summer

Registered: Jan 2003
Location: Wien
Posts: 5845

22.04.2016 - 09:57

Zitat von Garbage
Vielleicht eine blöde Frage, aber wie siehts unter Linux und OSX aus?
Sprich, ist der Ausgangspunkt dieser Crypto-Viren nur Windows?

Dass es von dort dann auch andere Dinge angreifen kann, solange Schreibzugriff vorhanden ist, habe ich schon halbwegs mitbekommen.

Anyone?
Infos dazu sind rar gesäht.

XeroXs

Vereinsmitglied
doh

Registered: Nov 2000
Location: Lieboch
Posts: 10353

22.04.2016 - 09:59

Unter OSX gab es kürzlich den ersten größeren Angriff mit einem Crypto-Trojaner.. dabei wurde ein Install-Binary von einem populären Torrent Client infiziert. Wie viel dabei wirklich passiert ist ist aber unklar, gehört hat man in Wirklichkeit nicht viel.

New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer - Palo Alto Networks Blog

On March 4, we detected that the Transmission BitTorrent client installer for OS X was infected with ransomware, just a few hours after installers were initially posted. We have named this Ransomware “KeRanger.” The only…

Link: researchcenter.paloaltonetworks.com

Bearbeitet von XeroXs am 22.04.2016, 10:00

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

22.04.2016 - 10:27

Zitat von Vinci
Anyone?
Infos dazu sind rar gesäht.

Wie üblich ist MS Win natürlich am weitesten verbreitet und daher ein beliebtes ziel.
Soweit ich weiss verwendet der Locky/Crypt-schrott die Windows-Eigene verschlüsselungsmethode oder so, daher is es noch einfacher. Genaueres dazu weiss ich aber nicht.

-=Willi=-

The Emperor protects

Registered: Aug 2003
Location: ~
Posts: 1624

22.04.2016 - 10:49

Linux: die Möglichkeit ist sicher da aber davon gehört hab ich noch nicht. Wahrscheinlich zahlt sich für die Trottln im Hintergrund der Mehraufwand nicht aus. Einmal in ein Linux-System eingedrungen, wird das Verschlüsseln von Daten sogar noch einfacher sein als unter Windows wegen den auf vielen Distros zum Standard-Repertoire gehörenden Tools

.

Smut

takeover&ether

Registered: Feb 2003
Location: VIE
Posts: 16867

22.04.2016 - 10:51

für OS X wurde ein ransomware detection Tool vorgestellt:
http://thehackernews.com/2016/04/ra...n-tool.html?m=1

Crash Override BOfH Registered: Jun 2005 Location: Germany Posts: 2951	21.04.2016 - 14:00 Der optimale Schutz bei Cryptovieren sind gegen die Viren selbst AdBlocker. Mir ist keiner bekannt der sich trotz AdBlocker einen Cryptovirus eingefangen hat. Um die Daten zu schützen ist ein ZFS Filesystem mit haufigen Snapshots die beste Vorbeugung, da die Snapshots (Vorgängerversion von Windows aus) read only sind. Wenn man das dann noch per Nagios überwacht mit einer duchschnittlichen Abnahme des freien Speicherplatzes und Alarmierung wenn diese sich beschleunigt, kann man auch einen Befall schnell erkennen und hat maximal die Differenz zwischen 2 Snapshots in einigen Verzeichnissen an Datenverlust. Also maximal ein Paar Minuten. Bearbeitet von Crash Override am 21.04.2016, 14:00
Garbage Elder The Wizard of Owls Registered: Jul 2000 Location: GR.ch\|TI.ch Posts: 11463	21.04.2016 - 14:21 Vielleicht eine blöde Frage, aber wie siehts unter Linux und OSX aus? Sprich, ist der Ausgangspunkt dieser Crypto-Viren nur Windows? Dass es von dort dann auch andere Dinge angreifen kann, solange Schreibzugriff vorhanden ist, habe ich schon halbwegs mitbekommen.
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 9051	21.04.2016 - 14:37 ich weiss zumindest fix von cryptolocker varianten auf OSX!
Cobase Vereinsmitglied Mr. RAM Registered: Jun 2001 Location: Linz Posts: 17915	21.04.2016 - 14:49 Zitat von Smut ja. wenn die VM bestmöglich isoliert ist - also keine netzwerkfreigaben/laufwerksmappings etc. vorhanden sind, dann ist das ein guter schutz gegen diese einfachen crypto-viren. ein ultimativer schutz ist es natürlich nicht - man kann auch aus dem hypervisor ausbrechen, hier sind wir aber schon bei einer ganz anderen bedrohung. Ich dachte da an so etwas: https://www.qubes-os.org/attachment...h-diagram-1.png
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	21.04.2016 - 16:33 konzept sieht ok aus. ohne es getestet zu haben, wäre ich bei xen halt vorsichtig - für 0815 bzw. server anwendungen sicher ok. wie gut es mit GPU unterstützung aussieht ist etwas anderes - müsste man wie gesagt testen.
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	21.04.2016 - 16:43 Also "durch Surfverhalten ausgelöst", hat mich doch etwas hochgeschreckt. Die meisten Sachen scheinen sich noch immer "klassisch" zu verbreiten. Locky z.B. vor allem über Mail-Attachments und Office-Macros, zumindest lt. Kaspersky. Und ich muss sagen die Plausibility ist durchaus gegeben, anscheinend sind atm z.B. Mails als Fakes der Post auch im Umlauf http://derstandard.at/2000035426235...pressungs-Troja
Stoni Little Overclocker Registered: Apr 2001 Location: Ö Posts: 50	21.04.2016 - 16:45 gibt es vielleicht schon Infos, Tipps oder HowTos, wie ich es zb meinen Eltern beibringen kann? weil wenn denen sowas passiert, ist es kein Spaß für mich, es zu erklären und Backups wieder einzuspielen :/ die einfachen Sachen wie Adblocker, Noscript und keine Makros im Office sind schon lange aktiv.
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	21.04.2016 - 16:55 Zitat von Crash Override Der optimale Schutz bei Cryptovieren sind gegen die Viren selbst AdBlocker. Mir ist keiner bekannt der sich trotz AdBlocker einen Cryptovirus eingefangen hat. es wird sicher viel über ad-netzwerke ausgeliefert, aber nicht ausschließlich. hier ein link von 2 aktuellen von heute: z.b. folgende seite hat einen redirect hxxp://copytermpapers.com/J3s185S/9O16xnCDd.php auf hxxp://kx6.delivery-tracker24.net/kfey.php?id=YW5kcmVhcy5nc3RldHRuZXJAb3JmLmF0 ist aktuell ein crypto-trojaner der an vermeintliche post.at kunden verteilt wird. seite 1 (hxxp://copytermpapers.com) ist halt irgendein blog bei dem die .htaccess modifizierbar ist, darüber richten sie dann die weiterleitung ein - per-se ist also keine schadsoftware auf diesem blog, dadurch schützen sie aber ihre eigentlichen fake-seiten im hintergrund. Bearbeitet von Smut am 21.04.2016, 17:07
wergor connoisseur de mimi Registered: Jul 2005 Location: vulkanland Posts: 4139	21.04.2016 - 18:47 mir ist noch nichts passiert, aber meine mutter hat es schon mal erwischt (petya)
NeM OC Addicted Registered: Oct 2004 Location: Austria Posts: 4887	21.04.2016 - 19:19 Zitat von Stoni gibt es vielleicht schon Infos, Tipps oder HowTos, wie ich es zb meinen Eltern beibringen kann? weil wenn denen sowas passiert, ist es kein Spaß für mich, es zu erklären und Backups wieder einzuspielen :/ die einfachen Sachen wie Adblocker, Noscript und keine Makros im Office sind schon lange aktiv. Da bist eh relativ gut unterwegs. Machen kannst, so wie ich das seh, eigentlich relativ wenig außergewöhnliches. Die Klassiker halt: Hirn benutzen, die Dinge die du erwähnt hast, als letzte Bastion einen aktuellen, gscheiten Antivirus bzw. eine Internet Security und das sollte passen. Bearbeitet von NeM am 21.04.2016, 19:19
Vinci hatin' on summer Registered: Jan 2003 Location: Wien Posts: 5845	22.04.2016 - 09:57 Zitat von Garbage Vielleicht eine blöde Frage, aber wie siehts unter Linux und OSX aus? Sprich, ist der Ausgangspunkt dieser Crypto-Viren nur Windows? Dass es von dort dann auch andere Dinge angreifen kann, solange Schreibzugriff vorhanden ist, habe ich schon halbwegs mitbekommen. Anyone? Infos dazu sind rar gesäht.
XeroXs Vereinsmitglied doh Registered: Nov 2000 Location: Lieboch Posts: 10353	22.04.2016 - 09:59 Unter OSX gab es kürzlich den ersten größeren Angriff mit einem Crypto-Trojaner.. dabei wurde ein Install-Binary von einem populären Torrent Client infiziert. Wie viel dabei wirklich passiert ist ist aber unklar, gehört hat man in Wirklichkeit nicht viel. New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer - Palo Alto Networks Blog On March 4, we detected that the Transmission BitTorrent client installer for OS X was infected with ransomware, just a few hours after installers were initially posted. We have named this Ransomware “KeRanger.” The only… Link: researchcenter.paloaltonetworks.com Bearbeitet von XeroXs am 22.04.2016, 10:00
Guest Deleted User Registered: n/a Location: Posts: n/a	22.04.2016 - 10:27 Zitat von Vinci Anyone? Infos dazu sind rar gesäht. Wie üblich ist MS Win natürlich am weitesten verbreitet und daher ein beliebtes ziel. Soweit ich weiss verwendet der Locky/Crypt-schrott die Windows-Eigene verschlüsselungsmethode oder so, daher is es noch einfacher. Genaueres dazu weiss ich aber nicht.
-=Willi=- The Emperor protects Registered: Aug 2003 Location: ~ Posts: 1624	22.04.2016 - 10:49 Linux: die Möglichkeit ist sicher da aber davon gehört hab ich noch nicht. Wahrscheinlich zahlt sich für die Trottln im Hintergrund der Mehraufwand nicht aus. Einmal in ein Linux-System eingedrungen, wird das Verschlüsseln von Daten sogar noch einfacher sein als unter Windows wegen den auf vielen Distros zum Standard-Repertoire gehörenden Tools .
Smut takeover&ether Registered: Feb 2003 Location: VIE Posts: 16867	22.04.2016 - 10:51 für OS X wurde ein ransomware detection Tool vorgestellt: http://thehackernews.com/2016/04/ra...n-tool.html?m=1

Crypto, Locky usw... Virenbefall wird heftig

Forum Index > Software > Applications, Apps & Drivers

Crash Override

Garbage

Umlüx

Cobase

Smut

Hansmaulwurf

Stoni

Smut

wergor

NeM

Vinci

XeroXs

Guest

-=Willi=-

Smut