Crypto, Locky usw... Virenbefall wird heftig

hachigatsu

king of the bongo

Registered: Nov 2007
Location: Salzburg
Posts: 5702

22.04.2016 - 11:03

Also bei der Mehrheit der Privaten wird hald auf Updates (die nicht ungefragt installieren) sowie einem Pay-Antivirusprogramm total geschi**en.. Da brauchts auch niemanden wundern das die meisten Privat-Computer in einem erbärmlichen zustand sind.

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3229

22.04.2016 - 13:10

Zitat von HP
Gibt ein paar Produkte, die das zu 100% unter Kontrolle haben. Auch Lösungen wie AppLocker bringen schon ein wenig mehr Sicherheit.

nachdem ich mit einem namhaften Security-Hersteller zusammenarbeite der sicher bei diesen Themen top ist, würde ich gerne wissen, welcher Hersteller bzw. welche Lösung 100%ige Kontrolle bringen soll und wer sowas behauptet!

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6316

26.04.2016 - 10:06

Die Firma Checkpoint hat einen wirklich lesenswerten Bericht zu der technischen Funktionsweise des Nuclear Exploit Kits veröffentlicht, welches für mindestens 110.000 Locky Infektionen verantwortlich gemacht werden kann.

Ablauf einer drive-by Infektion:

Anzahl der Infektionen:

PDF-Link zum Checkpoint Bericht:
http://blog.checkpoint.com/wp-conte...Nuclear-1-2.pdf

-=Willi=-

The Emperor protects

Registered: Aug 2003
Location: ~
Posts: 1624

26.04.2016 - 10:29

Wow da wird mir ganz schlecht...mit Verwaltungspanel und API für "Kunden". Aber wie ichs mir gedacht hab: Man braucht entweder Flash ohne Flashblocker, Silverlight oder IE 10/11. Deswegen passiert mir sowas nicht

.

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3229

26.04.2016 - 11:26

Natürlich braucht es eine Sicherheitslücke im Browser oder Browser-Plugin die ausgenutzt werden kann, damit eine Infektion beim Surfen passieren kann.
Das Problem heutzutage ist aber, dass es meist nicht die Seite ist die angesurft wird, weil da achtet man eh drauf, sondern eher über Zusatzcontent wie Ads und ähnliches, die sowieso still und heimlich nachladen!

Zum Thema Check Point:
Der Blog http://blog.checkpoint.com/ ist dahingehend sowieso interessant:
http://blog.checkpoint.com/2016/04/...-to-ransomware/
http://blog.checkpoint.com/2016/04/...tya-ransomware/
http://blog.checkpoint.com/2016/04/...ndroid-malware/

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 11584

26.04.2016 - 12:15

Zitat
alternativ kannst auch die execution von dateien in verezeichnissen per GPO deaktivieren - solange die schadsoftware im user-mode läuft zieht das.

so habens wir. plus contentfilter firewall und zeitnahes einspielen von neuen flash versionen und browser updates. seit dem wir diese gpo aktiv haben ist nichts mehr gewesen. davor 1 befall der ein paar 1000 files verschlüsselt hat.

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6316

30.05.2016 - 16:24

Auf malware.dontneedcoffee.com habe ich ein paar virustotal.com Links zum Flash Exploit CVE-2016-4117 gefunden, der mit Version 21.0.0.242 gefixt wurde.
Die Erkennungsrate ist immer noch, quer durch die Bank, eher nicht so toll.

Angler EK
https://www.virustotal.com/de/file/...dcee2/analysis/

Magnitude EK
https://www.virustotal.com/de/file/...48b0a/analysis/

Neutrino EK
https://www.virustotal.com/de/file/...170e8/analysis/

Bearbeitet von mr.nice. am 30.05.2016, 16:30

hachigatsu

king of the bongo

Registered: Nov 2007
Location: Salzburg
Posts: 5702

02.06.2016 - 12:08

Also bei uns hat es jetzt wieder einen Laptop (Außendienst) erwischt.
Es war die selbe Seite wie bei einem der anderen fälle. Wir haben bereits Kontakt zur Firma der Webseite aufgenommen, sie wissen bescheid (wurde ihnen mehrfach gesagt, es handelt sich um eine kleine Fleischerei). Sie haben der Web-Firma auch schon gesagt das es hier offenbar ein problem gibt (kleiner Webdesign-Firma vom Land), diese sagen aber das sie alles bereits geprüft und nix gefunden haben.

Habe auch selbst mit der Firma telefoniert, sie reden sich heraus. Hab jetzt eine Mail BMI gesendet, ist ja betrug und eine Gefahr für alle.

XeroXs

doh

Registered: Nov 2000
Location: Lieboch
Posts: 10304

02.06.2016 - 13:14

lol, das BMI :confused:

Die fühlen sich sicher zuständig

Der einzige der da zuständig ist ist der zuständige Administrator tbh. :P (also wohl du

)

Bearbeitet von XeroXs am 02.06.2016, 13:16

HaBa

Legend
Dr. Funkenstein

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19620

02.06.2016 - 13:18

Beim BMI gibt es eine cybercrime-Meldestelle, wissen ja einige hier *insider*

Den Fleischhack einfach in die blacklist und fertig, ist ja wie bei Homer und seinen verdorbenen Sandwiches

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15845

02.06.2016 - 13:30

sowas musst wenn dann mal als CERT.at schicken, die gehen dann den weg zum provider/hoster

hachigatsu

king of the bongo

Registered: Nov 2007
Location: Salzburg
Posts: 5702

03.06.2016 - 08:55

Siehe da, hab gestern noch ein paar mal mit dem typen herum geschrieben. Er hat um 3 uhr nachts eine mail geschrieben das er etwas gefunden hat. Bei einer der PHP-Seiten war ein Code drinnen der nicht hinein gehört. Dieser lädt ein java von irgendwo extern.

jaja... das ist österreich

LOL

Bearbeitet von hachigatsu am 03.06.2016, 09:04

XeroXs

doh

Registered: Nov 2000
Location: Lieboch
Posts: 10304

03.06.2016 - 09:18

Host not found würd ja heißen dass er bmi.gv.at ned findet :confused:

Bearbeitet von XeroXs am 03.06.2016, 09:18

hachigatsu

king of the bongo

Registered: Nov 2007
Location: Salzburg
Posts: 5702

03.06.2016 - 09:42

Zitat von XeroXs
Host not found würd ja heißen dass er bmi.gv.at ned findet

Bester Spamschutz ever

COLOSSUS

Administrator
Frickler

Registered: Dec 2000
Location: ~
Posts: 11920

03.06.2016 - 09:51

Zitat von XeroXs
Host not found würd ja heißen dass er bmi.gv.at ned findet

Nein, der BMI-MTA kann lediglich den DNS-Namen des naechsten, internen SMTP-Hop bei ihnen nicht aufloesen.

Aber ein interessantes Namensschema haben die da!

hachigatsu king of the bongo Registered: Nov 2007 Location: Salzburg Posts: 5702	22.04.2016 - 11:03 Also bei der Mehrheit der Privaten wird hald auf Updates (die nicht ungefragt installieren) sowie einem Pay-Antivirusprogramm total geschi**en.. Da brauchts auch niemanden wundern das die meisten Privat-Computer in einem erbärmlichen zustand sind.
Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3229	22.04.2016 - 13:10 Zitat von HP Gibt ein paar Produkte, die das zu 100% unter Kontrolle haben. Auch Lösungen wie AppLocker bringen schon ein wenig mehr Sicherheit. nachdem ich mit einem namhaften Security-Hersteller zusammenarbeite der sicher bei diesen Themen top ist, würde ich gerne wissen, welcher Hersteller bzw. welche Lösung 100%ige Kontrolle bringen soll und wer sowas behauptet!
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6316	26.04.2016 - 10:06 Die Firma Checkpoint hat einen wirklich lesenswerten Bericht zu der technischen Funktionsweise des Nuclear Exploit Kits veröffentlicht, welches für mindestens 110.000 Locky Infektionen verantwortlich gemacht werden kann. Ablauf einer drive-by Infektion: Anzahl der Infektionen: PDF-Link zum Checkpoint Bericht: http://blog.checkpoint.com/wp-conte...Nuclear-1-2.pdf
-=Willi=- The Emperor protects Registered: Aug 2003 Location: ~ Posts: 1624	26.04.2016 - 10:29 Wow da wird mir ganz schlecht...mit Verwaltungspanel und API für "Kunden". Aber wie ichs mir gedacht hab: Man braucht entweder Flash ohne Flashblocker, Silverlight oder IE 10/11. Deswegen passiert mir sowas nicht .
Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3229	26.04.2016 - 11:26 Natürlich braucht es eine Sicherheitslücke im Browser oder Browser-Plugin die ausgenutzt werden kann, damit eine Infektion beim Surfen passieren kann. Das Problem heutzutage ist aber, dass es meist nicht die Seite ist die angesurft wird, weil da achtet man eh drauf, sondern eher über Zusatzcontent wie Ads und ähnliches, die sowieso still und heimlich nachladen! Zum Thema Check Point: Der Blog http://blog.checkpoint.com/ ist dahingehend sowieso interessant: http://blog.checkpoint.com/2016/04/...-to-ransomware/ http://blog.checkpoint.com/2016/04/...tya-ransomware/ http://blog.checkpoint.com/2016/04/...ndroid-malware/
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 11584	26.04.2016 - 12:15 Zitat alternativ kannst auch die execution von dateien in verezeichnissen per GPO deaktivieren - solange die schadsoftware im user-mode läuft zieht das. so habens wir. plus contentfilter firewall und zeitnahes einspielen von neuen flash versionen und browser updates. seit dem wir diese gpo aktiv haben ist nichts mehr gewesen. davor 1 befall der ein paar 1000 files verschlüsselt hat.
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6316	30.05.2016 - 16:24 Auf malware.dontneedcoffee.com habe ich ein paar virustotal.com Links zum Flash Exploit CVE-2016-4117 gefunden, der mit Version 21.0.0.242 gefixt wurde. Die Erkennungsrate ist immer noch, quer durch die Bank, eher nicht so toll. Angler EK https://www.virustotal.com/de/file/...dcee2/analysis/ Magnitude EK https://www.virustotal.com/de/file/...48b0a/analysis/ Neutrino EK https://www.virustotal.com/de/file/...170e8/analysis/ Bearbeitet von mr.nice. am 30.05.2016, 16:30
hachigatsu king of the bongo Registered: Nov 2007 Location: Salzburg Posts: 5702	02.06.2016 - 12:08 Also bei uns hat es jetzt wieder einen Laptop (Außendienst) erwischt. Es war die selbe Seite wie bei einem der anderen fälle. Wir haben bereits Kontakt zur Firma der Webseite aufgenommen, sie wissen bescheid (wurde ihnen mehrfach gesagt, es handelt sich um eine kleine Fleischerei). Sie haben der Web-Firma auch schon gesagt das es hier offenbar ein problem gibt (kleiner Webdesign-Firma vom Land), diese sagen aber das sie alles bereits geprüft und nix gefunden haben. Habe auch selbst mit der Firma telefoniert, sie reden sich heraus. Hab jetzt eine Mail BMI gesendet, ist ja betrug und eine Gefahr für alle.
XeroXs doh Registered: Nov 2000 Location: Lieboch Posts: 10304	02.06.2016 - 13:14 lol, das BMI Die fühlen sich sicher zuständig Der einzige der da zuständig ist ist der zuständige Administrator tbh. :P (also wohl du ) Bearbeitet von XeroXs am 02.06.2016, 13:16
HaBa Legend Dr. Funkenstein Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19620	02.06.2016 - 13:18 Beim BMI gibt es eine cybercrime-Meldestelle, wissen ja einige hier insider Den Fleischhack einfach in die blacklist und fertig, ist ja wie bei Homer und seinen verdorbenen Sandwiches
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15845	02.06.2016 - 13:30 sowas musst wenn dann mal als CERT.at schicken, die gehen dann den weg zum provider/hoster
hachigatsu king of the bongo Registered: Nov 2007 Location: Salzburg Posts: 5702	03.06.2016 - 08:55 Siehe da, hab gestern noch ein paar mal mit dem typen herum geschrieben. Er hat um 3 uhr nachts eine mail geschrieben das er etwas gefunden hat. Bei einer der PHP-Seiten war ein Code drinnen der nicht hinein gehört. Dieser lädt ein java von irgendwo extern. jaja... das ist österreich LOL Bearbeitet von hachigatsu am 03.06.2016, 09:04
XeroXs doh Registered: Nov 2000 Location: Lieboch Posts: 10304	03.06.2016 - 09:18 Host not found würd ja heißen dass er bmi.gv.at ned findet Bearbeitet von XeroXs am 03.06.2016, 09:18
hachigatsu king of the bongo Registered: Nov 2007 Location: Salzburg Posts: 5702	03.06.2016 - 09:42 Zitat von XeroXs Host not found würd ja heißen dass er bmi.gv.at ned findet Bester Spamschutz ever
COLOSSUS Administrator Frickler Registered: Dec 2000 Location: ~ Posts: 11920	03.06.2016 - 09:51 Zitat von XeroXs Host not found würd ja heißen dass er bmi.gv.at ned findet Nein, der BMI-MTA kann lediglich den DNS-Namen des naechsten, internen SMTP-Hop bei ihnen nicht aufloesen. Aber ein interessantes Namensschema haben die da!

Crypto, Locky usw... Virenbefall wird heftig

Forum Index > Software > Applications, Apps & Drivers

hachigatsu

Neo-=IuE=-

mr.nice.

-=Willi=-

Neo-=IuE=-

davebastard

mr.nice.

hachigatsu

XeroXs

HaBa

userohnenamen

hachigatsu

XeroXs

hachigatsu

COLOSSUS