Entschlüsselung für den Erpressungstrojaner MegaLocker/NamPoHyu verfügbar

Entschlüsselung für den Erpressungstrojaner MegaLocker/NamPoHyu verfügbar

Gratis-Entschlüsselungstool für aktuelle Ransomware veröffentlicht

Vor kurzem Sicherheitstechniker des Herstellers von Anti-Viren-Software Emsisoft ein Gratis-Entschlüsselungstool für eine aktuelle Ransomware veröffentlicht und damit potentiellen Opfern des Verschlüsselungstrojaners MegaLocker/NamPoHyn eine Möglichkeit eröffnet.

Samba-Server im Visier

Wer auf seinem Computer mit der Dateiendung “.nampohyu” versehene verschlüsselte Dateien vorfindet, sollte sich den Emsisoft Decrypter for MegaLocker herunterladen. Der Schädling hat es seit Mitte April 2019 auf Samba-Server abgesehen.

Insbesondere in den Vorstandsetagen oder bei der Geschäftsleitung – so oft der Vorwurf, meint man nur zu gerne, ausgerechnet an der IT-Ausstattung, -Betreuung und -Sicherheit sparen zu können. Es sind dann immer schlicht die User, die dann unvorsichtig waren oder trotz diverser Hinweise Fehler machen. Man kann auch nicht von jedem erwarten, dass er oder sie mit allen EDV-Wassern gewaschen sind und ständig die neuesten Bedrohungen verfolgen.

Mittlerweile sind insbesondere im Mailbereich einige Fallen so gut gemacht, dass man auch als gewiefter Anwender wirklich sehr genau hinschauen muss.

Das Besondere an MegaLocker ist, dass Angreifer den Trojaner lokal auf dem eigenen Computer laufen lassen und angreifbare Server aus der Ferne verschlüsseln. Um Zugriff zu bekommen, scannen sie nach ungeschützten Samba-Server scannen und rekonstruieren durch Brute-Force-Attacken die erforderlichen Passwörter.

Wie man die Dateien entschlüsseln kann

Damit das Tool funktioniert, müssen von der Ransomware Betroffene über eine Erpresserbotschaft verfügen –  die entsprechende Datei liegt im TXT-Format in mehrfacher Form über den ganzen Computer verteilt vor. Auf Basis dieser Datei kann das Tool den Schlüssel für betroffene Daten errechnet werden. Anschließend wählt man Ordner mit verschlüsselten Dateien aus und startet mit einem Klick auf die Schaltfläche “Start” den Entschlüsselungsprozess.

Die Malware-Entwickler sind frustriert

Ein genereller Tipp für Ransomware-Opfer ist, verschlüsselte Dateien aufzubewahren. Wie in diesem Fall erscheinen oft nach einigen Wochen oder Monaten kostenlose Entschlüsselungstools.

Einen weiteren Artikel mit Links finden Sie hier bei Heise:
https://www.heise.de/security/meldung/Entschluesselungstool-fuer-Erpressungstrojaner-MegaLocker-NamPoHyu-verfuegbar-4415835.html

Nutzen Sie unseren CNE-Service im Bereich

Datensicherheit und Service unter 0201 – 17 1919 7

Ihre
CNE – Computer- und Netzwerktechnik Essen

Brauchen Sie Hilfe oder Unterstützung?

Dann nehmen Sie hier Kontakt auf oder benutzen Sie das nachfolgende Formular. Die Angabe der Emailadresse ist erforderlich, die Angabe Ihrer Telefonnummer nur optional, jedoch hilfreich, um Ihre Fragen schnell beantworten zu können. Optimal ist die Angabe Ihrer Mobilrufnummer.

Wir geben keine Daten an Dritte weiter.

Sichere Kontaktaufname

Hinweis: Bitte lesen Sie VOR dem Absenden die Datenschutzerklärung

6 + 13 =

Ordinypt gefährdet Personalabteilungen – Erpressung durch neuen Trojaner

Ordinypt gefährdet Personalabteilungen – Erpressung durch neuen Trojaner

Ransomware Ordinypt

Erpressungstrojaner Ordinypt infiziert durch FAKE-Bewerbungen an Personalabteilungen vorwiegend Firmen in Deutschland

Heise berichtet, das allem Anschein in Deutschland ein neuer Trojaner umgeht, der bewusst auf Personalabteilungen zielt und Lösegeld erpresst. Der in der eher seltenen Programmiersprache Delphi verfasste Trojaner lässt Opfern allerdings keine Chance, ihre Daten wiederzubekommen.

Ein Erpressungstrojaner grassiert momentan in Deutschland und bedroht vor allem die Daten von Firmen. Laut einem Bericht der Sicherheitsfirma G-Data handelt es sich bei Ordinypt um einen sogenannten Wiper-Trojaner. Dieser gibt vor, wichtige Daten auf dem Rechner des Opfers zu verschlüsseln. Für die Opfer sieht also erst mal alles so aus, als sei das System von einer Ransomware befallen. Allerdings machen sich die Angreifer wohl nicht die Mühe, Daten zu verschlüsseln sondern löschen stattdessen deren Inhalt – das geforderte Lösegeld zu zahlen ist also sinnlos.

Angriff zielt erneut auf Personalabteilungen

Ähnlich wie damals beim Goldeneye-Angriff nutzen die Drahtzieher hinter Ordinypt (auch bekannt als HSDFSDCrypt) sehr sauber verfasste Phishing-Mails in nahezu fehlerfreiem Deutsch, die sie mit Vorliebe direkt an personalverantwortliche Personen in deutschen Firmen schicken. Interessanterweise ist der vermeintliche Erpressungstrojaner in Delphi geschrieben – was eine Programmiersprache für Malware angeht eine eher ungewöhnliche Wahl.

Mehr Informationen sowie Screenshots finden Sie hier bei Heise-Online

Erste Details zu Ordinypt

Wiper-Trojaner versteckt sich im Mail-Anhang

In der per Mail versendeten .zip steckt nach einem IT-Experten eine weitere .zip und in der eine .com, die eigentlich eine umbenannte .exe ist. Das Programm selbst ist laufzeitkomprimiert – wahrscheinlich um die Untersuchung zu erschweren. Irgendwelche Daten werden nachgeladen und die CryptAPI ist auch eingebunden.

Die durch Windows als PDF getarnte Gefahr

Der Anhang tarnt sich als .pdf-Datei, hat aber tatsächlich die Extension .pdf.exe und ist damit von Windows auch ausführbar. Da der normale Anwender in Firmen meistens aber die Standardeinstellung “Dateierweiterungen nicht anzeigen” eingestellt hat, werden die Zeichen rechts vom letzten (!) Punkt als Dateierweiterung betrachtet und nicht angezeigt.

Der Ordinypt-Schreiber hat der Datei das rotweiße Adobe-Icon spendiert, hat sich aber den Fehler geleistet, auch das .pdf an vorletzter Stelle im Dateinamen zu lassen, so dass das angezeigt wird. Bei gewöhnlichen .pdf-Dateien wird das eben NICHT angezeigt, und genau das hätte einem informierten Mail-Empfänger seit “Melissa” auffallen müssen.

Weitere Informationen finden Sie hier.

 

Viren-Gefahren vermeiden

Nutzen Sie einen anderen Browser als den Internet-Explorer um Ihre Standardlinks zu öffnen.

Deaktivieren Sie die Makro-Funktion in Dokumenten, die Sie per E-Mail erhalten. Vor allem bei Nachrichten von fremden Personen sollten Sie vorsichtig sein. “Locky” und andere Ransomware-Trojaner werden nach Angaben von Sicherheitsexperten meist über E-Mail-Anhänge eingeschleust, die sich etwa als harmloses Word-Dokument tarnen, aber im Hintergrund die gefährliche Software ausführen. 

Um Sicherheitslücken zu schließen, sollten Sie möglichst alle Programme auf Ihrem Rechner auf den neuesten Stand bringen. Installieren Sie Patches für den Browser, für Office-Anwendungen und den Flash-Player. Malware-Programme nutzen Sicherheitslücken in dieser Software aus.

Die neuesten Versionen der Erpressertrojaner schaffen es zuweilen auch an aktuellen Sicherheitsprogrammen vorbei, aber schon bekannte Varianten kann ein Virenschutzprogramm abfangen.

Alle “extern” annehmenden Stellen von Unternehmen sind Gefahrenpunkte. Einer der Gründe warum bei vielen HR-Abteilungen die Emails von außen unter Umgehung der DMZ und des Serverparks gesondert empfangen werden. Auf Rechnern ohne Netzanbindung und von dort dann, nach Kontrollen und Checks, einen Transfer erfahren. Es ist aufwändiger und zeitintensiver, aber hat bisher immer jeden “neuen” Angriff vollkommen verhindert.

Brauchen Sie Hilfe oder Unterstützung?

Dann nehmen Sie hier Kontakt auf oder benutzen Sie das nachfolgende Formular. Die Angabe der Emailadresse ist erforderlich, die Angabe Ihrer Telefonnummer nur optional, jedoch hilfreich, um Ihre Fragen schnell beantworten zu können. Optimal ist die Angabe Ihrer Mobilrufnummer.

Wir geben keine Daten an Dritte weiter.

Sichere Kontaktaufname

Hinweis: Bitte lesen Sie VOR dem Absenden die Datenschutzerklärung

11 + 9 =

Erpressungstrojaner – Locky heisst “Diablo6”

Erpressungstrojaner – Locky heisst “Diablo6”

Erpressungstrojaner mit neuem Namen: Diablo6

Eil-Meldung von HEISE

Die Ransomware Locky ist als Diablo6 zurück und verschlüsselt wieder verstärkt die persönlichen Dateien von Opfern auf der ganzen Welt. Erhöhte Vorsicht im Umgang mit E-Mails ist momentan angebracht.

Berichten mehrerer Sicherheitsfirmen zufolge ist der Erpressungstrojaner Locky von den Toten auferstanden. Er verbreitet sich erneut über massenhafte Spam-Mails und nutzt jetzt die Endungen .diablo6 und .lukitus für von ihm verschlüsselte Dateien. Auch die neuen Varianten greifen Anwender nach dem bekannten Locky-Muster an: An einer Phishing-Mail hängt eine Zip-Datei an. Öffnet das Opfer diese, landet eine JavaScript-Datei auf dem Rechner. Wird diese auf einem Windows-System ausgeführt, lädt sie Schadcode aus dem Netz nach, der die Dateien des Opfers verschlüsselt.

Prüfen Sie Ihre eMail genau und handeln Sie nicht zu vorschnell beim Öffnen von gepackten Dateianhängen (z.B.: ZIP/RAR)

Erhöhte Alarmbereitschaft ratsam

Die Sicherheitsfirma Malwarebytes sieht seit Anfang August eine verstärkte Verbreitung der Ransomware. Laut einem früheren Bericht der Firma war Locky nie ganz verschwunden, die Verbreitung des Trojaners war aber zugunsten anderer Erpressungstrojaner stark zurückgegangen. Bisherige Berichte sprechen von englischen Spam-Mails, die hauptsächlich vorgeben, Rechnungen zu enthalten. Deutsche Phishing-Mails sind uns bisher nicht untergekommen. Sollten wir entsprechende Mails feststellen, werden wir diese Meldung aktualisieren.

Mehr Informationen erhalten Sie hier

Zahlreicher Anwender berichten von eMails, in der die echte Anschrift stand. Die Versender müssen Adressdaten aus einem Online-Shop oder etwas ähnlichem haben. Es wird oft berichtet, dass sie vorher noch nie eine so gut gemachte Mail gesehen haben, die Zahlungserinnerung, Signatur von “Rechtsanwalt XYZ” und rechtschreibfehlerfreies Juristen-Deutsch enthält.

“Die detaillierte Forderungsaufstellung XYZ, der sie alle Einzelpositionen entnehmen können, ist beigefügt.”

Laut einigen Virenprogrammen erkannten nur 1/3 aller Virenscanner eine Malware. Es wird also zunehmend schwieriger, eMails schnell und sicher auszusortieren, die Möglichkeit, das man versehentlich einen solchen Anhang öffnet, wird immer größer und die Gefahr Diablo6 auf seinen Rechnern zur Entfaltung zu bringen immer größer.

Deutschland sicher im Netz meldet:

In den Mails geht es in der Regel um angebliche Rechnungen/ Mahnungen, nicht vorgenommene Bestellungen oder Warnhinweise, dass bei einem Shopping- oder Online-Banking-Konto verdächtige Aktivtäten aufgefallen seien. Für mehr Informationen wird auf den Anhang oder einen Link verwiesen, hinter denen sich jedoch mit dem Trojaner präparierte Dateien befinden.

SiBa rät deshalb zu besonderer Vorsicht bei E-Mails und verdächtigen Links. Darüber hinaus sollten weiterhin präventiv alle verfügbaren Schutzmaßnahmen vor Erpressungs-Trojanern zu ergriffen werden. Hierzu zählen insbesondere ein aktueller Virenscanner, die Installation aller Sicherheitsupdates auf Ihren Geräten sowie vor allen Dingen das Erstellen externer Datensicherungen, mit denen im Ernstfall verlorene Daten wieder hergestellt werden können.

 
Den ganzen Artikel lesen Sie hier

Mehr Sicherheit mit Restric’tor

Nützliches Werkzeug – Mit dem von C’t-Programmierern entwickelten Sicherheits-Tool Restric’tor lässt sich das eigene System besser gegen Infektionen von Viren und Angriffe von Trojanern und Ransomware schützen.

Das Programm pflegt unter Home-Versionen von Windows einen Schutz-Mechanismus nach, den die teureren Editionen standardmäßig an Bord haben. Diese bringen die sogenannten “Richtlinien für Softwareeinschränkung” mit – im Englischen “Software Restriction Policies” oder kurz SRP. Restric’tor erlaubt auch unter Windows Home den Zugriff auf diese.

Das Werkzeug unterbindet erst einmal jeglichen Zugriff, den Software auf das System haben will – dann pflegt man mithilfe von Regeln Ausnahmen nach. Darunter findet sich standardmäßig der Windows-Ordner sowie der Programme-Ordner – diese Programme hat man ja üblicherweise selbst installiert. Weitere Ausnahmen kann man selbst definieren – alle anderen Zugriffe werden erst einmal blockiert und benötigen Bestätigung vom Administrator.

Es handelt sich um eine perfekte (gegenüber Microsofts Bedienoberfläche deutlich verbesserte) Fortsetzung der Software Restriction Policies. Neben einer ordentlichen Einrichtung von Zugriffsrechten im Dateisystem, eingeschränkten Benutzerkonten und NoScript im Browser eine weitere, komplettierende Schranke, die von Malware überwunden werden muss, bevor diese wirksam werden kann. Es erspart das Erlernen der Registry-Regel-Syntax für diesen Schutz, wenn man sich eine Home-Edition von Windows erlaubt hat.
 
Den ganzen Artikel lesen Sie hier
 
Grundsätzlich empfehlen wir funktionierende Backups mit einer externen Datensicherung.

Brauchen Sie Hilfe oder Unterstützung?

Dann nehmen Sie hier Kontakt auf oder benutzen Sie das nachfolgende Formular. Die Angabe der Emailadresse ist erforderlich, die Angabe Ihrer Telefonnummer nur optional, jedoch hilfreich, um Ihre Fragen schnell beantworten zu können. Optimal ist die Angabe Ihrer Mobilrufnummer.

Wir geben keine Daten an Dritte weiter.

Sichere Kontaktaufname

Hinweis: Bitte lesen Sie VOR dem Absenden die Datenschutzerklärung

1 + 1 =

Ransomware Jaff

Ransomware Jaff

Erpressungstrojaner durch Mails mit PDF-Anhang

Derzeit landen vermehrt E-Mails mit einem manipulierten PDF-Dokument in Posteingängen. Wer das Dokument unter Windows öffnet, kann sich die Ransomware Jaff einfangen. Diese verschlüsselt Daten und versieht sie mit der Dateiendung .wlu.

Es gibt auch Meldungen von Firmen, die von dem Erpressungstrojaner befallen sind und es per *.ZIP Datei erhalten haben.

In Deutschland infizieren sich dieser Tage gehäuft Windows-Computer mit dem Erpressungstrojaner Jaff. Davor warnt das LKA Niedersachsen. Jaff soll auch offline funktionieren – viele Erpressungstrojaner benötigen eine Internetverbindung, um ihr Schadenswerk zu starten.

Der Trojaner verschlüsselt Daten und verlangt für die Freigabe ein Lösegeld in Höhe von rund 2 Bitcoin (etwa 4200 Euro). Befallene Dateien weisen die Namenserweiterung .wlu auf und lassen sich nicht mehr öffnen  – Ein Foto heißt dann etwa “Firma.jpg.wlu”.

Ransomware “Jaff” – Mehrere Schritte bis zur Infektion

Wie bei Ransomware üblich, setzen die Drahtzieher hinter Jaff auf gefälschte E-Mails, die eine vermeintliche, noch nicht bezahlte Rechnung mitbringen. Doch im Gegensatz zu anderen Kampagnen befindet sich hier statt einem präparierten Word-Dokument eine manipulierte PDF-Datei im Anhang.

Wer auf die Mail hereinfällt und das PDF öffnet, fängt sich “Jaff” aber noch nicht ein.

  1. Erst muss man in der PDF-Anwendung eine Sicherheitswarnung mit einem Klick auf “OK” abnicken.
  2. Anschließend wird ein Word-Dokument mit Makros aus dem PDF extrahiert und geöffnet.
  3. Nun muss ein Opfer noch die Makros aktivieren. Erst dann findet die Infektion mit Jaff statt.

    Eine ausführliche Analyse zu dieser Vorgehensweise lesen Sie in dem Hintergrundartikel “Analysiert: Alte Masche, neue Verpackung – Infektion durch PDFs” von heise Security.

Momentan gibt es Sicherheitsforschern zufolge kein Entschlüsselungstool. Opfer sollten die Webseite ID-Ransomware im Blick haben. Dort kann man regelmäßig prüfen, ob es ein kostenloses Entschlüsselungstool gibt. 

Tipp: JavaScript im PDF-Reader deaktivieren

Sie sollten generell JavaScript abschalten, da man PDF-Dokumente inder Regel nur LESEN und nicht AUSFÜHREN will. eine Anleitung für Adobe Reader erhalten Sie unter dem Nachfolgenden Link von chip.de.

 

So deaktivieren Sie das JavaScript beim AdobeReader

  1. Öffnen Sie den Adobe Reader und anschließend darin den Befehl “Bearbeiten” > “Voreinstellungen” (Shortcut Strg+K)
  2. Wählen Sie dann links die Kategorie “JavaScript” und schalten die Option “Acrobat aktivieren” aus.
  3. Anschließend müssen Sie die Änderung mit “OK” bestätigen.
  4. Falls ein PDF-Dokument später einmal nicht funktioniert, müssen Sie die Skriptfunktion kurzzeitig wieder aktivieren.

http://praxistipps.chip.de/adobe-reader-javascript-deaktivieren_17219

Tipp: Sicherheitsrichtlinien verwenden

Da es sich nicht um ein infiziertes PDF-Dokument handelt, sondern um einen integrierten Macro-Downloader in einer Officedatei, kann man die Ausführung von Usern sichern, in dem deren Office per GPO gelockt nur signierten Macrocode ausführt.

in Group Policy Object (GPO), deutsch Gruppenrichtlinienobjekt, ist unter Microsoft Windows 2000 und dessen Nachfolgern eine digitale Richtlinie für verschiedene Einstellungen. Siehe auch Wikipedia.

Tipp: Regelmäßige Datensicherungen

Wir sind Ihnen gerne behilflich eine angemessene Datensicherung einzurichten. Die Kosten hierfür stehen in keinem Verhältnis im Falle eines Schadens. Grundsätzlich gilt bei Mitarbeitern in Firmen:

  • Vorsicht vor HTML-Mails
  • Vorsicht vor Mail-Anhängen
  • Vorsicht vor Macros
  • Vorsicht vor unsignierten Mails
  • Vorsicht vor [OK]-Buttons

Tipp: Grundsätze zur Sicherheit

  • Verwenden Sie eine aktuelle Antiviren-/Firewall-Software.
  • Verwenden Sie ein aktuelles Betriebssystemes und führen Sie regelmäßige Updates durch.
  • Verwenden Sie bei den übrigen Programmen nur aktuelle Software.
  • Verwenden Sie sicherere Passwörter.
  • Richten Sie diverse Nutzerprofile (Admin, Gast usw.) ein. Nutzen Sie dann ein eingeschränktes Profil (keine Adminrechte) für das Surfen im Internet und ein weiteres Profil für Onlinebanking.
  • Halten Sie wichtige Notfallkontakte bereit (z.B. Bank-Hotline).
  • Seien Sie vorsichtig in fremden Netzwerken (z.B. Hotel, Internetcafe, WLAN-Hotspot).
  • Loggen Sie sich nach Beenden der Sitzung vollständig aus. Ein Schließen des Browserfenstern ist nicht ausreichend.
  • Speichen Sie keine Zugangsdaten im Computer/Browser, auch nicht in gesonderten Tabellen oder vergleichbaren Dokumenten. (Tipp: Verwenden Sie einen Passwort-Tresor wie LastPass – https://www.lastpass.com
  • Geben Sie vertrauliche Daten verdeckt ein.
  • Führen Sie regelmäßige Backups (ggf. auf externen Datenträgern) durch.
  • Nutzen Sie Prepaidkarten/Guthabenkarten/Kauf auf Rechnung statt hinterlegter Bank-/Kreditkartendaten.
  • Seien Sie misstrauisch, wenn jemand Ihre vertraulichen Daten (z.B. Bankdaten mit PIN) erfragt.
  • Hinterfragen Sie beim echten Anbieter ungewöhnliche Aufforderungen (z.B. Verifizierung Ihrer Kreditkartendaten per Mail).

Quelle: https://www.polizei-praevention.de/themen-und-tipps/phishing.html

Ratgeber Internetkriminalität

Die Polizei Niedersachsen möchte Ihnen mit dem Ratgeber Internetkriminalität die Möglichkeit bieten, sich über Trends und Gefahren im Bereich Cybercrime zu informieren. Mit zahlreichen Erläuterungen und Tipps möchten wir Sie davor schützen, Opfer von Cyberkriminellen zu werden.

https://www.polizei-praevention.de/home.html

Folgende Ransomwares werden erkannt

Der Dienst von https://id-ransomware.malwarehunterteam.com erkennt zurzeit 419 verschiedene Ransomwares. Dieser Dienst ist grundsätzlich zum Identifizieren, welche Ransomware deine Daten verschlüsselt haben könnte. Der Dienst versucht dich in die richtige Richtung zu führen und lässt dich wissen, ob es einen bekannten Weg gibt, deine Dateien zu entschlüsseln.
Eine Entschlüsselung gibt es nicht.

Hier ist eine komplette, dynamische Liste was aktuell alles erkannt wird (Stand 22.06.2017):

4rw5w, 777, 7ev3n, 7h9r, 7zipper, 8lock8, ACCDFISA v2.0, AdamLocker, AES_KEY_GEN_ASSIST, AES-NI, Al-Namrood, Al-Namrood 2.0, Alcatraz, Alfa, Alma Locker, Alpha, AMBA, Amnesia, Amnesia2, AnDROid, AngryDuck, Anubis, Apocalypse, Apocalypse (New Variant), ApocalypseVM, ASN1 Encoder, AutoLocky, AxCrypter, aZaZeL, BadBlock, BadEncript, BandarChor, BankAccountSummary, Bart, Bart v2.0, BitCrypt, BitCrypt 2.0, BitCryptor, BitKangoroo, BitStak, Black Feather, Black Shades, Blocatto, BlockFile12, Blooper, Booyah, BrainCrypt, Brazilian Ransomware, BrickR, BTCamant, BTCWare, BTCWare Master, Bucbi, BuyUnlockCode, Cancer, Cerber, Cerber 2.0, Cerber 3.0, Cerber 4.0 / 5.0, CerberTear, Chimera, CHIP, Clouded, CockBlocker, Coin Locker, CoinVault, Comrade Circle, Conficker, Coverton, CradleCore, Cripton, Cry128, Cry36, Cry9, Cryakl, CryFile, CryLocker, CrypMic, CrypMic, Crypren, Crypt0, Crypt0L0cker, Crypt38, CryptConsole, CryptFuck, CryptInfinite, CryptoDefense, CryptoDevil, CryptoFinancial, CryptoFortress, CryptoGod, CryptoHasYou, CryptoHitman, CryptoJacky, CryptoJoker, CryptoLocker3, CryptoLockerEU, CryptoLuck, CryptoMix, CryptoMix Revenge, CryptoMix Wallet, CryptON, Crypton, CryptorBit, CryptoRoger, CryptoShield, CryptoShocker, CryptoTorLocker, CryptoViki, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CryptoWire, CryptXXX, CryptXXX 2.0, CryptXXX 3.0, CryptXXX 4.0, CryPy, CrySiS, CTB-Faker, CTB-Locker, Damage, DarkoderCryptor, Deadly, DEDCryptor, DeriaLock, Dharma (.dharma), Dharma (.onion), Dharma (.wallet), Digisom, DirtyDecrypt, DMA Locker, DMA Locker 3.0, DMA Locker 4.0, DMALocker Imposter, Domino, Done, DoNotChange, Dviide, DXXD, DynA-Crypt, ECLR Ransomware, EdgeLocker, EduCrypt, El Polocker, EncrypTile, EncryptoJJS, Encryptor RaaS, Enigma, Enjey Crypter, EnkripsiPC, Erebus, Evil, Executioner, Exotic, Extractor, Fabiansomware, Fadesoft, Fantom, FartPlz, FenixLocker, FindZip, FireCrypt, Flatcher3, FLKR, Flyper, FrozrLock, FS0ciety, FuckSociety, FunFact, GC47, GhostCrypt, Globe, Globe (Broken), Globe3, GlobeImposter, GlobeImposter 2.0, GOG, GoldenEye, Gomasom, GPAA, GPCode, GX40, HadesLocker, HappyDayzz, Heimdall, Help50, HelpDCFile, Herbst, Hermes, Hermes 2.0, Hi Buddy!, HiddenTear, HollyCrypt, HolyCrypt, Hucky, HydraCrypt, IFN643, ImSorry, iRansom, Ishtar, Jack.Pot, Jaff, Jager, JapanLocker, JeepersCrypt, Jigsaw, Jigsaw (Updated), JobCrypter, JuicyLemon, Kaenlupuf, Karma, Karmen, Kasiski, KawaiiLocker, Kee Ransomware, KeRanger, KeyBTC, KEYHolder, KillerLocker, KimcilWare, Kirk, Kolobo, Kostya, Kozy.Jozy, Kraken, KratosCrypt, Krider, Kriptovor, KryptoLocker, L33TAF Locker, LambdaLocker, LeChiffre, LightningCrypt, LLTP, LMAOxUS, Lock2017, Lock93, LockCrypt, Locked-In, LockedByte, LockLock, Lockout, Locky, Lortok, LoveServer, LowLevel04, MafiaWare, Magic, Maktub Locker, Marlboro, MarsJoke, Matrix, Maykolin, Maysomware, Meteoritan, Mikoyan, MirCop, MireWare, Mischa, MNS CryptoLocker, Mobef, MOTD, MoWare, MRCR1, n1n1n1, NanoLocker, NCrypt, NegozI, Nemucod, Nemucod-7z, Netix, NewHT, Nhtnwcuf, NM4, NMoreira, NMoreira 2.0, NotAHero, Nuke, NullByte, NxRansomware, ODCODC, OoPS, OpenToYou, OzozaLocker, PadCrypt, PayDay, PaySafeGen, PClock, PClock (Updated), PEC 2017, Philadelphia, Pickles, PopCornTime, Potato, PowerLocky, PowerShell Locker, PowerWare, Pr0tector, PrincessLocker, PrincessLocker 2.0, Project34, Protected Ransomware, PshCrypt, PyL33T, R980, RAA-SEP, Radamant, Radamant v2.1, RanRan, Rans0mLocked, RansomCuck, RansomPlus, RarVault, Razy, REKTLocker, RemindMe, RenLocker, RensenWare, Roga, Rokku, RoshaLock, RotorCrypt, Roza, RSAUtil, Ruby, Russian EDA2, SADStory, Sage 2.0, Salsa, SamSam, Sanction, Sanctions, Satan, Satana, Scarab, SerbRansom, Serpent, ShellLocker, Shigo, ShinoLocker, Shujin, Simple_Encoder, Smrss32, SNSLocker, Spectre, Spora, Sport, SQ_, Stampado, Stupid Ransomware, SuperCrypt, Surprise, SZFLocker, Team XRat, Telecrypt, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, TeslaWare, TheDarkEncryptor, TowerWeb, ToxCrypt, Trojan.Encoder.6491, Troldesh / Shade, TrueCrypter, TrumpLocker, UCCU, UIWIX, Ukash, UmbreCrypt, UnblockUPC, Ungluk, Unknown Base64, Unknown Crypted, Unknown Lock, Unknown XTBL, Unlock26, Unlock92, Unlock92 2.0, UserFilesLocker, USR0, Uyari, V8Locker, VaultCrypt, vCrypt, VenisRansomware, VenusLocker, VindowsLocker, VisionCrypt, VMola, Vortex, VxLock, WannaCryptor, WhatAFuck, WildFire Locker, Winnix Cryptor, WinRarer, WonderCrypter, X Locker 5.0, XCrypt, XData, Xorist, Xort, XRTN, XTP Locker 5.0, XYZWare, YouAreFucked, YourRansom, Yyto, zCrypt, Zekwacrypt, ZeroCrypt, Zilla, ZimbraCryptor, ZinoCrypt, ZipLocker, Zyklon

Brauchen Sie Hilfe oder Unterstützung?

Dann nehmen Sie hier Kontakt auf oder benutzen Sie das nachfolgende Formular. Die Angabe der Emailadresse ist erforderlich, die Angabe Ihrer Telefonnummer nur optional, jedoch hilfreich, um Ihre Fragen schnell beantworten zu können. Optimal ist die Angabe Ihrer Mobilrufnummer.

Wir geben keine Daten an Dritte weiter.

Sichere Kontaktaufname

Hinweis: Bitte lesen Sie VOR dem Absenden die Datenschutzerklärung

7 + 1 =

Software-Attacke durch Ransom-Software WannaCry – Datensicherheit

Software-Attacke durch Ransom-Software WannaCry – Datensicherheit

Wannacry – Informationen zur aktuellen Ransomware

Seit Freitag 12. Mai 2017 breitet sich die aktuelle und gefährliche Ransomware WannaCry (WanaDecrypt0r 2.0) im weltweiten Internet aus.

Überblick

Es handelt sich um einen so genannten Krypototrojaner, der Daten auf den betroffenen Computern verschlüsselt und den User erpresst, gegen Zahlung eines Betrages den Code für die Freischaltung zu erhalten. Am 9. Mai soll der Nutzer dann den Code für die Entschlüsselung erhalten, ansonsten sei die Löschung veranlasst.
Die Zahlungen werden über Bitcoin abgewickelt und angeblich zahlten bislang 126 Opfer insgesamt etwa 30.000 Euro. Weltweit sollen zur Stunde über 220.000 Systeme betroffen sein. WannaCry springt von einem infizierten Rechner auf andere, übers Netz erreichbare Windows-Systeme über.

Was ist zu tun?

Nutzer sollten Windows-Sicherheitspatches grundsätzlich immer installieren.

Wer Microsofts Sicherheitsupdate MS17-010 noch nicht eingespielt hat, muss das jetzt schnellstmöglich nachholen. Das gilt auch für Besitzer älterer Windows-Versionen wie XP. Wer einen solchen Rechner am Netz betreibt, setzt sich immer einem erhöhten Risiko aus und sollte ernsthaft darüber nachdenken, ein aktuelles Betriebssystem zu nutzen.

Windows-10-Installationen sind bisher nicht von WannaCry betroffen.

Link zum Sicherheitspatch

https://technet.microsoft.com/de-de/library/security/ms17-010.aspx

Windows XP 

Selbst das 16 Jahre alte Windows XP, das Microsoft seit 2014 nicht mehr pflegt, bekam nun einen Sicherheits-Patch. Microsoft hat angesichts der grassierenden Ransomware WannaCry in einer Blitzaktion Sicherheitsaktualisierungen auch für die nicht mehr unterstützte Windows-Versionen herausgegeben. Darunter ist auch das inzwischen 16 Jahre alte Windows XP, dessen Support der Konzern eigentlich schon 2014 eingestellt hatte.

Link für den XP Patch zum download

 

Mehr Informationen

erhalten Sie hier bei “wannacry” heise.de

Empfehlung

  • Falls Sie ein veraltetes Betriebssystem nutzen (wie zum Beispiel Windows XP), sollten Sie über eine Aktualisierung Ihres Betriebssystems nachdenken und gegebenenfalls einen Fachmann damit beauftragen.
  • Führen Sie immer aktuelle Updates durch.
  • Setzen Sie ein vernünftiges Antiviren-Programm ein.
  • Öffnen Sie sorgfältig Ihre Email und achten Sie auf den Absender. Öffnen Sie keine Dateianhänge, die Ihnen unbekannt sind und seien Sie bitte sehr vorsichtig mit der Öffnung von Dateien mit der Endunf *.ZIP oder *.RAR

Unternehmen sind aufgerufen, sich ernsthafter um ihre Sicherheit zu kümmern. Der aktuelle Angriff sei “ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen

Bei Rückfragen helfen wir Ihnen gerne.

Brauchen Sie Hilfe oder Unterstützung?

Dann nehmen Sie hier Kontakt auf oder benutzen Sie das nachfolgende Formular. Die Angabe der Emailadresse ist erforderlich, die Angabe Ihrer Telefonnummer nur optional, jedoch hilfreich, um Ihre Fragen schnell beantworten zu können. Optimal ist die Angabe Ihrer Mobilrufnummer.

Wir geben keine Daten an Dritte weiter.

Sichere Kontaktaufname

Hinweis: Bitte lesen Sie VOR dem Absenden die Datenschutzerklärung

5 + 1 =

Computersabotage und Erpressung nehmen zu

Computersabotage und Erpressung nehmen zu

Immer mehr Unternehmen müssen sich mit den Folgen von Angriffen auf ihre IT-Infrastruktur herumschlagen. Zwar hat das Bewusstsein um die Gefahren zugenommen, allerdings auch die Bösartigkeit der Attacken.

Die Unternehmen schätzen das Risiko, dass ihre IT-Infrastruktur angegriffen wird, als hoch ein. KPMG vermutet zudem eine hohe Dunkelziffer. Vergrößern
Bild: KPMG 2017
Über ein Drittel aller Unternehmen in Deutschland bekamen es in den vergangenen zwei Jahren mit Cyberkriminellen zu tun. Immer mehr werden dabei Opfer von Computersabotage und Systembeschädigungen – oft mit anschließender Erpressung. In knapp der Hälfte der Fälle ziehen die betroffenen Firmen daraus keine Konsequenzen, was dazu führt, dass jeder zweite Täter ungeschoren davonkommt. Das hat die Unternehmensberatung KPMG in ihrer “E-Crime Studie 2017” festgestellt [PDF-Link]. Befragt hat sie dazu mehr als 500 repräsentativ nach Branche und Umsatz ausgewählte Unternehmen in Deutschland.

Mehr Informationen unter heise.de