Crypto, Locky usw... Virenbefall wird heftig

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

22.04.2016 - 11:03

Also bei der Mehrheit der Privaten wird hald auf Updates (die nicht ungefragt installieren) sowie einem Pay-Antivirusprogramm total geschi**en.. Da brauchts auch niemanden wundern das die meisten Privat-Computer in einem erbärmlichen zustand sind.

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3242

22.04.2016 - 13:10

Zitat von HP
Gibt ein paar Produkte, die das zu 100% unter Kontrolle haben. Auch Lösungen wie AppLocker bringen schon ein wenig mehr Sicherheit.

nachdem ich mit einem namhaften Security-Hersteller zusammenarbeite der sicher bei diesen Themen top ist, würde ich gerne wissen, welcher Hersteller bzw. welche Lösung 100%ige Kontrolle bringen soll und wer sowas behauptet!

mr.nice.

security baseline pusher

Registered: Jun 2004
Location: Wien
Posts: 6710

26.04.2016 - 10:06

Die Firma Checkpoint hat einen wirklich lesenswerten Bericht zu der technischen Funktionsweise des Nuclear Exploit Kits veröffentlicht, welches für mindestens 110.000 Locky Infektionen verantwortlich gemacht werden kann.

Ablauf einer drive-by Infektion:

Anzahl der Infektionen:

PDF-Link zum Checkpoint Bericht:
http://blog.checkpoint.com/wp-conte...Nuclear-1-2.pdf

-=Willi=-

The Emperor protects

Registered: Aug 2003
Location: ~
Posts: 1624

26.04.2016 - 10:29

Wow da wird mir ganz schlecht...mit Verwaltungspanel und API für "Kunden". Aber wie ichs mir gedacht hab: Man braucht entweder Flash ohne Flashblocker, Silverlight oder IE 10/11. Deswegen passiert mir sowas nicht

.

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3242

26.04.2016 - 11:26

Natürlich braucht es eine Sicherheitslücke im Browser oder Browser-Plugin die ausgenutzt werden kann, damit eine Infektion beim Surfen passieren kann.
Das Problem heutzutage ist aber, dass es meist nicht die Seite ist die angesurft wird, weil da achtet man eh drauf, sondern eher über Zusatzcontent wie Ads und ähnliches, die sowieso still und heimlich nachladen!

Zum Thema Check Point:
Der Blog http://blog.checkpoint.com/ ist dahingehend sowieso interessant:
http://blog.checkpoint.com/2016/04/...-to-ransomware/
http://blog.checkpoint.com/2016/04/...tya-ransomware/
http://blog.checkpoint.com/2016/04/...ndroid-malware/

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 13220

26.04.2016 - 12:15

Zitat
alternativ kannst auch die execution von dateien in verezeichnissen per GPO deaktivieren - solange die schadsoftware im user-mode läuft zieht das.

so habens wir. plus contentfilter firewall und zeitnahes einspielen von neuen flash versionen und browser updates. seit dem wir diese gpo aktiv haben ist nichts mehr gewesen. davor 1 befall der ein paar 1000 files verschlüsselt hat.

mr.nice.

security baseline pusher

Registered: Jun 2004
Location: Wien
Posts: 6710

30.05.2016 - 16:24

Auf malware.dontneedcoffee.com habe ich ein paar virustotal.com Links zum Flash Exploit CVE-2016-4117 gefunden, der mit Version 21.0.0.242 gefixt wurde.
Die Erkennungsrate ist immer noch, quer durch die Bank, eher nicht so toll.

Angler EK
https://www.virustotal.com/de/file/...dcee2/analysis/

Magnitude EK
https://www.virustotal.com/de/file/...48b0a/analysis/

Neutrino EK
https://www.virustotal.com/de/file/...170e8/analysis/

Bearbeitet von mr.nice. am 30.05.2016, 16:30

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

02.06.2016 - 12:08

Also bei uns hat es jetzt wieder einen Laptop (Außendienst) erwischt.
Es war die selbe Seite wie bei einem der anderen fälle. Wir haben bereits Kontakt zur Firma der Webseite aufgenommen, sie wissen bescheid (wurde ihnen mehrfach gesagt, es handelt sich um eine kleine Fleischerei). Sie haben der Web-Firma auch schon gesagt das es hier offenbar ein problem gibt (kleiner Webdesign-Firma vom Land), diese sagen aber das sie alles bereits geprüft und nix gefunden haben.

Habe auch selbst mit der Firma telefoniert, sie reden sich heraus. Hab jetzt eine Mail BMI gesendet, ist ja betrug und eine Gefahr für alle.

XeroXs

Vereinsmitglied
doh

Registered: Nov 2000
Location: Lieboch
Posts: 10407

02.06.2016 - 13:14

lol, das BMI :confused:

Die fühlen sich sicher zuständig

Der einzige der da zuständig ist ist der zuständige Administrator tbh. :P (also wohl du

)

Bearbeitet von XeroXs am 02.06.2016, 13:16

HaBa

Klassenfeind

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19863

02.06.2016 - 13:18

Beim BMI gibt es eine cybercrime-Meldestelle, wissen ja einige hier *insider*

Den Fleischhack einfach in die blacklist und fertig, ist ja wie bei Homer und seinen verdorbenen Sandwiches

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15887

02.06.2016 - 13:30

sowas musst wenn dann mal als CERT.at schicken, die gehen dann den weg zum provider/hoster

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

03.06.2016 - 08:55

Siehe da, hab gestern noch ein paar mal mit dem typen herum geschrieben. Er hat um 3 uhr nachts eine mail geschrieben das er etwas gefunden hat. Bei einer der PHP-Seiten war ein Code drinnen der nicht hinein gehört. Dieser lädt ein java von irgendwo extern.

jaja... das ist österreich

LOL

Bearbeitet von am 03.06.2016, 09:04

XeroXs

Vereinsmitglied
doh

Registered: Nov 2000
Location: Lieboch
Posts: 10407

03.06.2016 - 09:18

Host not found würd ja heißen dass er bmi.gv.at ned findet :confused:

Bearbeitet von XeroXs am 03.06.2016, 09:18

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

03.06.2016 - 09:42

Zitat von XeroXs
Host not found würd ja heißen dass er bmi.gv.at ned findet

Bester Spamschutz ever

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12297

03.06.2016 - 09:51

Zitat von XeroXs
Host not found würd ja heißen dass er bmi.gv.at ned findet

Nein, der BMI-MTA kann lediglich den DNS-Namen des naechsten, internen SMTP-Hop bei ihnen nicht aufloesen.

Aber ein interessantes Namensschema haben die da!

Guest Deleted User Registered: n/a Location: Posts: n/a	22.04.2016 - 11:03 Also bei der Mehrheit der Privaten wird hald auf Updates (die nicht ungefragt installieren) sowie einem Pay-Antivirusprogramm total geschi**en.. Da brauchts auch niemanden wundern das die meisten Privat-Computer in einem erbärmlichen zustand sind.
Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3242	22.04.2016 - 13:10 Zitat von HP Gibt ein paar Produkte, die das zu 100% unter Kontrolle haben. Auch Lösungen wie AppLocker bringen schon ein wenig mehr Sicherheit. nachdem ich mit einem namhaften Security-Hersteller zusammenarbeite der sicher bei diesen Themen top ist, würde ich gerne wissen, welcher Hersteller bzw. welche Lösung 100%ige Kontrolle bringen soll und wer sowas behauptet!
mr.nice. security baseline pusher Registered: Jun 2004 Location: Wien Posts: 6710	26.04.2016 - 10:06 Die Firma Checkpoint hat einen wirklich lesenswerten Bericht zu der technischen Funktionsweise des Nuclear Exploit Kits veröffentlicht, welches für mindestens 110.000 Locky Infektionen verantwortlich gemacht werden kann. Ablauf einer drive-by Infektion: Anzahl der Infektionen: PDF-Link zum Checkpoint Bericht: http://blog.checkpoint.com/wp-conte...Nuclear-1-2.pdf
-=Willi=- The Emperor protects Registered: Aug 2003 Location: ~ Posts: 1624	26.04.2016 - 10:29 Wow da wird mir ganz schlecht...mit Verwaltungspanel und API für "Kunden". Aber wie ichs mir gedacht hab: Man braucht entweder Flash ohne Flashblocker, Silverlight oder IE 10/11. Deswegen passiert mir sowas nicht .
Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3242	26.04.2016 - 11:26 Natürlich braucht es eine Sicherheitslücke im Browser oder Browser-Plugin die ausgenutzt werden kann, damit eine Infektion beim Surfen passieren kann. Das Problem heutzutage ist aber, dass es meist nicht die Seite ist die angesurft wird, weil da achtet man eh drauf, sondern eher über Zusatzcontent wie Ads und ähnliches, die sowieso still und heimlich nachladen! Zum Thema Check Point: Der Blog http://blog.checkpoint.com/ ist dahingehend sowieso interessant: http://blog.checkpoint.com/2016/04/...-to-ransomware/ http://blog.checkpoint.com/2016/04/...tya-ransomware/ http://blog.checkpoint.com/2016/04/...ndroid-malware/
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 13220	26.04.2016 - 12:15 Zitat alternativ kannst auch die execution von dateien in verezeichnissen per GPO deaktivieren - solange die schadsoftware im user-mode läuft zieht das. so habens wir. plus contentfilter firewall und zeitnahes einspielen von neuen flash versionen und browser updates. seit dem wir diese gpo aktiv haben ist nichts mehr gewesen. davor 1 befall der ein paar 1000 files verschlüsselt hat.
mr.nice. security baseline pusher Registered: Jun 2004 Location: Wien Posts: 6710	30.05.2016 - 16:24 Auf malware.dontneedcoffee.com habe ich ein paar virustotal.com Links zum Flash Exploit CVE-2016-4117 gefunden, der mit Version 21.0.0.242 gefixt wurde. Die Erkennungsrate ist immer noch, quer durch die Bank, eher nicht so toll. Angler EK https://www.virustotal.com/de/file/...dcee2/analysis/ Magnitude EK https://www.virustotal.com/de/file/...48b0a/analysis/ Neutrino EK https://www.virustotal.com/de/file/...170e8/analysis/ Bearbeitet von mr.nice. am 30.05.2016, 16:30
Guest Deleted User Registered: n/a Location: Posts: n/a	02.06.2016 - 12:08 Also bei uns hat es jetzt wieder einen Laptop (Außendienst) erwischt. Es war die selbe Seite wie bei einem der anderen fälle. Wir haben bereits Kontakt zur Firma der Webseite aufgenommen, sie wissen bescheid (wurde ihnen mehrfach gesagt, es handelt sich um eine kleine Fleischerei). Sie haben der Web-Firma auch schon gesagt das es hier offenbar ein problem gibt (kleiner Webdesign-Firma vom Land), diese sagen aber das sie alles bereits geprüft und nix gefunden haben. Habe auch selbst mit der Firma telefoniert, sie reden sich heraus. Hab jetzt eine Mail BMI gesendet, ist ja betrug und eine Gefahr für alle.
XeroXs Vereinsmitglied doh Registered: Nov 2000 Location: Lieboch Posts: 10407	02.06.2016 - 13:14 lol, das BMI Die fühlen sich sicher zuständig Der einzige der da zuständig ist ist der zuständige Administrator tbh. :P (also wohl du ) Bearbeitet von XeroXs am 02.06.2016, 13:16
HaBa Klassenfeind Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19863	02.06.2016 - 13:18 Beim BMI gibt es eine cybercrime-Meldestelle, wissen ja einige hier insider Den Fleischhack einfach in die blacklist und fertig, ist ja wie bei Homer und seinen verdorbenen Sandwiches
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15887	02.06.2016 - 13:30 sowas musst wenn dann mal als CERT.at schicken, die gehen dann den weg zum provider/hoster
Guest Deleted User Registered: n/a Location: Posts: n/a	03.06.2016 - 08:55 Siehe da, hab gestern noch ein paar mal mit dem typen herum geschrieben. Er hat um 3 uhr nachts eine mail geschrieben das er etwas gefunden hat. Bei einer der PHP-Seiten war ein Code drinnen der nicht hinein gehört. Dieser lädt ein java von irgendwo extern. jaja... das ist österreich LOL Bearbeitet von am 03.06.2016, 09:04
XeroXs Vereinsmitglied doh Registered: Nov 2000 Location: Lieboch Posts: 10407	03.06.2016 - 09:18 Host not found würd ja heißen dass er bmi.gv.at ned findet Bearbeitet von XeroXs am 03.06.2016, 09:18
Guest Deleted User Registered: n/a Location: Posts: n/a	03.06.2016 - 09:42 Zitat von XeroXs Host not found würd ja heißen dass er bmi.gv.at ned findet Bester Spamschutz ever
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12297	03.06.2016 - 09:51 Zitat von XeroXs Host not found würd ja heißen dass er bmi.gv.at ned findet Nein, der BMI-MTA kann lediglich den DNS-Namen des naechsten, internen SMTP-Hop bei ihnen nicht aufloesen. Aber ein interessantes Namensschema haben die da!

Crypto, Locky usw... Virenbefall wird heftig

Forum Index > Software > Applications, Apps & Drivers

Guest

Neo-=IuE=-

mr.nice.

-=Willi=-

Neo-=IuE=-

davebastard

mr.nice.

Guest

XeroXs

HaBa

userohnenamen

Guest

XeroXs

Guest

COLOSSUS