trojaner computer

Erpressungstrojaner im Anhang: DHL-Paket-Lieferung fehlgeschlagen, Sendungverfolgungsnummer 056392024191

trojaner computer"Von: DHL Sendungsverfolgung [mailto:[email protected]]

Gesendet: Dienstag, 28. Juni 2016 12:47
An: [email protected]
Betreff: DHL-Paket-Lieferung fehlgeschlagen
Sehr geehrter Kunde,
die Lieferung für das Paket mit der Sendungverfolgungsnummer 056392024191 ist fehlgeschlagen.
Der Kurier war zum wiederholten Male nicht in der Lage Sie persönlich anzutreffen.
Bitte senden Sie uns das ausgefüllte Versandetikett um einen erneuten Lieferungsversuch in Auftrag zu geben.
Das Versandetikett für Ihre Lieferung finden Sie im Anhang dieser E-Mail.
Mit freundlichen Grüßen,
DHL EXPRESS
Deutsche Post AG
Charles-de-Gaulle-Straße 20
PLZ/ Ort: 53113 Bonn"
Im Moment ist wieder einmal eine Welle mit Verschlüsselungstrojanern im Netz unterwegs. Aktuell handelt es sich wohl um eine modifizierte Variante von Locky, welche sich BART nennt. Nach einem Bericht von HEISE werden alle Dateien verschlüsselt und als .bart.zip Dateien gespeichert. Den Schlüssel zum Entpacken kann man dann für 300 – 1700 € bei den Erpressern kaufen.
Im Anhang der E-Mail befindet sich die Datei Sendung_056392024191.zip, welche aktuell nur von 6 der 53 Virenscannern auf Virustotal.com als Gefahr erkannt wird. In der ZIP Datei befinden sich die Dateien „Sendungsetikett_056392024191.pdf.js.js“ und „Sendungsinformationen_056392024191.pdf.js.js“.

Das sind natürlich keine Etiketten oder Informationen, sondern direkt ausführbare Java-1Scripte, welche den Trojaner downloaden und starten.
Wie immer gilt auch hier: Ignorieren und Löschen!

bewerbung fake1

Krypto-Trojaner JS.TeslaCrypt.4.Gen. in Bewerbung von Tim Lerchner

bewerbung fake1"Von: Tim Lerchner [mailto:[email protected]

Gesendet: Montag, 20. Juni 2016 11:02
An: [email protected]
Betreff: Bewerbung
Sehr geehrte Damen und Herren,
anbei erhalten Sie meine Bewerbung für Ihre bei meinestadt.de ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.
Ich freue mich, wenn ich mich Ihnen noch einmal persönlich vorstellen kann.
Mit freundlichen Grüßen,
Tim Lerchner"
Lieber „Tim“, vielen Dank für deine Bewerbung. Deine ausführlichen Dokumente kannst du also in einer 4 kb großen Zip Datei verpacken? Das kann nicht wirklich viel sein 😉
Nun aber mal Spaß beiseite. Diese Mail ist natürlich keine echte Bewerbung, ich habe ja auch keine Stelle ausgeschrieben. Sie enthält den Teslacrypt Trojaner der 4. Generation und zielt darauf ab, meine Daten zu kompromittieren.
Wie immer gilt auch hier: Ignorieren und Löschen!

Seit Ende Mai gibt es ein kostenloses Entschlüsselungstool für alle Teslacrypt Geschädigten:

http://www.heise.de/security/meldung/Erpressungs-Trojaner-TeslaCrypt-gibt-auf-Master-Schluessel-veroeffentlicht-3210654.html

Kryptotrojaner 06 20161

Perfider Trojaner im Anhang: Offene Betrag – Franz Himmel, Rechnung-2016-05-05.doc

Kryptotrojaner 06 20161"Von: [email protected] [mailto:[email protected]]
Gesendet: Montag, 6. Juni 2016 15:17
Betreff: Offene Betrag
Guten Tag,
Im Anhang dieser Email finden Sie Ihre Rechnung.
Wir mussten feststellen das Sie die Rechnung immer noch nicht bezahlt haben.
Der offene Betrag ist innerhalb von 1 Tag zu begleichen.
Wir raten Ihnen die Rechnung sofort zu bezahlen ansonsten leiten wir dies an unser Inkasso weiter.
Mit freudliche Grüssen,
Franz Himmel"
Zugesandt bekam ich heute die oben stehende Mail. Im Anhange bedindet sich ein Word-Dokument (Rechnung-2016-05-05.doc). Keiner der 56 Virenscanner bei Virustotal erkannte inen Trojaner. Trotzdem steht für mich fest, das einer enthalten ist. Die Dokumentenvorschau in MS Outlook fordert mich explizit auf, Makros im Dokument zu zulassen. Ein sehr deutlicher Hinweis auf eine kompromittierte Datei.
Auch hier kann ich nur darauf hinweisen: Nicht Öffnen, Ignorieren, Löschen!

Schutz vor Crypto-Trojaner: Datensicherung ganz einfach

Zu allererst sollte man sein System so aktuell wie möglich halten. In den allermeisten Fällen werden die Crypto-Trojaner, wie z.B. Teslacrypt, Teslacrypt2, oder auch Locky über manipulierte MS Office Dateien (Word und Excel) auf das System gebracht. In diesen Dateien befinden sich Makros, welche den eigentlichen Virus herunterladen. Seit der MS Office Version 2003 werden Makros allerdings nicht mehr automatisch ausgeführt. Beim Öffnen der Datei wird aktive nachgefragt, ob das Makro ausgeführt werden darf. Bei einem Dokument, aus einer Quelle, welche man nicht kennt, und wenn das Dokument ansonsten auch leer ist, sollte man das natürlich nicht machen!

Hier ein kleines Script zu komfortablen Dateisicherung auf eine, am besten jedoch mehrere externe USB-Festplatten. Wichtig ist, dass die Festplatte nach der Sicherung wieder vom System getrennt wird, da der Cryptotrojaner alle verbundenen Laufwerke und Netzwerkpfade verschlüsselt.
Voraussetzungen:
Man weiß wo seine wichtigen Daten liegen.
devcon.exe muss auf dem System installiert sein – Download hier [1]. Detaillierte Infos dazu hier [2].
Eine Batch-Datei erstellen mit diesem Inhalt und den Inhalt an das eigene System anpassen.

 

echo USB HDD verbinden!
REM USB Platte verbinden vorher mit „devcon listclass USB“ die ID suchen hier z.B.: VID_13FD*PID_1840
REM den individuellen Pfad zur devcon.exe finden, hier z.B. C:\Program Files (x86)\Windows Kits\10\Tools\x64\devcon.exe
„C:\Program Files (x86)\Windows Kits\10\Tools\x64\devcon.exe\devcon.exe“ enable USB\VID_13FD*PID_1840
REM Datenauswählen und auf Platte kopieren
robocopy „c:\Quellpfad1“ „F:\Zielpfad1″ /S /ZB /MT:8 /FFT /DST /R:5 /Log+:“C:\log1.txt“
robocopy „d:\Quellpafd2“ „F:\Zielpfad2″ /S /ZB /MT:8 /FFT /DST /R:5 /Log+:“C:\log2.txt“
echo fertig kopiert!
REM USB HDD wieder trennen
„C:\Program Files (x86)\Windows Kits\10\Tools\x64\devcon.exe\devcon.exe“ disable USB\VID_13FD*PID_1840
echo USB HDD getrennt!

 

Das Script als Administrator ausführen und schon hat man seine Daten auf der externen Platte und die Platte ist vom System getrennt und somit sicher vor Verschlüsselung durch Crypto-Trojaner. Das Script eignet sich besonders für den Taskplaner (Aufgabenplanung) um periodisch automatische Sicherungen zu erstellen.

  Wichtig ist, das die Festplatte natürlich so kurz wie möglich mit dem System verbunden ist.

[1] http://support.microsoft.com/kb/311272/de
[2] https://www.administrator.de/wissen/usb-wechseldatentr%C3%A4ger-devcon-entfernen-reaktivieren-164936.html