AFD PC-Service / AFD-News / AFD-PC-SERVICE.de / AFD-PC-SERVICE.de / AFD-PC-SERVICE.de / AFD-PC-SERVICE.de Armin Fischer / AFD-PC-SERVICE.de Armin Fischer / Allgemein / Altendorf / Amlingstadt / Amlingstadt / Android / Android / Apple / Apple iPad / Apple iPhone / Apple MAC OS / Armin Fischer Dienstleistungen / Armin Fischer Dienstleistungen / Bad Abbach / Bamberch / Bamberg / Bamberg / Bamberg / Bamberg+LK / Bammersdorf / Barbing / Baunach / Bayern / Betriebssysteme / Bischberg / Bischberg / Bischberg / Breitbrunn / Breitenguessbach / Breitengüßbach / Breitengüßbach / Breitengüssbach / Buchhaltung / Büro-PC / Buttenheim / Cham / Chemnitz / Chemnitz / Chemnitz / Cloud / Computer / Datensicherheit / Desktop / Desktop / Desktop / Deutschland / diePCWerkstatt.de / Donaustauf / Dörfleins / Drosendorf / Drosendorf / Drosendorf / Drosendorf / EDV / edv dienstleistungen regensburg / Eggolsheim / Erzgebirge / EU / Fakturierung / Fernwartung / Forchheim / Forchheim / Friesen / Gamer-PC / Gartenstadt / Gaustadt / Gaustadt / Gaustadt / Geisfeld / Gundelsheim / Gundelsheim / Gundelsheim / Hallerndorf / Hallstadt / Handy / Handy / Heiligenstadt / Helpdesk / Hirschaid / Hirschaid / HTC / HTML / Internetzugang / IT / JavaScript / Köttensdorf / Kremmeldorf / Kubuntu / Lagerverwaltung / Lappersdorf / Laptop / Laubend / Lichteneiche / Lichteneiche / Linux / Linux / Litzendorf / Litzendorf / Lugau / Lugau / Lugau / Lugau / Mac OS / Meedensdorf / Meedensdorf / Melkendorf / Melkendorf / Memmelsdorf / Memmelsdorf / Memmelsdorf / Memmelsdorf / Memmelsdorf-Lichteneiche / Merkendorf / Merkendorf / Merkendorf / Merkendorf / Mini-PC / Mistendorf / Mittelfranken / Muehlendorf / Mühlendorf / Mühlendorf / Netbook / Netbook / Netzwerk / Neutraubling / Neutraubling / Nokia / Nokia Siemens / Notebook / Notebook / Nuernberg / Nuernberg / Nürnberg / Nürnberg / Oberfranken / Oberfranken / Oberhaid / Oberhaid / Oberpfalz / Oberpfalz / Obertraubling / Obertraubling / Office / PC / PC Probleme / PC-Dienstleistungen / PC-Hardware / PC-Notdienst / PC-Notdienst / PC-Notdienst / PC-Reparatur / PC-Reparatur / pc-service / PC-Service / PC-Service / PC-Service Alling / PC-Service Annaberg-Buchholz / PC-Service Bamberch / PC-Service Bamberg / PC-Service Bamberg / PC-Service Bamberg Hallstadt / PC-Service Barbing / PC-Service Breitenguessbach / PC-Service Breitengüßbach / PC-Service Buttenheim / PC-Service Chemnitz / PC-Service Chemnitz / PC-Service Dörfleins / PC-Service Drosendorf / PC-Service Eggolsheim / PC-Service Erlangen / PC-Service Erzgebirge / PC-Service Forchheim / PC-Service Franken / PC-Service Fuerth / PC-Service Fürth / PC-Service Giechburg / PC-Service Graß / PC-Service Grünthal / PC-Service Gundelsheim / PC-Service Hallstadt / PC-Service Haslbach / PC-Service Irlbach / PC-Service Kareth / PC-Service Laaber / PC-Service Lappersdorf / PC-Service Lappersdorf / PC-Service Litzendorf / PC-Service Lugau / PC-Service Lugau / PC-Service Maxhütte-Haidhof / PC-Service Memmelsdorf / PC-Service Memmelsdorf / PC-Service Memmelsdorf-Lichteneiche / PC-Service Merkendorf / PC-Service Merkendorf / PC-Service Metropolregion Nürnberg / PC-Service Mittelfranken / PC-Service Neutraubling / PC-Service Neutraubling / PC-Service Niedertraubling / PC-Service Niederwürschnitz / PC-Service Niederwürschnitz / PC-Service Nuernberg / PC-Service Nürnberg / PC-Service Nürnberg / PC-Service Oberfranken / PC-Service Oberisling / PC-Service Oberpfalz / PC-Service Oelsnitz / PC-Service Pentling / PC-Service Pentling / PC-Service Pettendorf / PC-Service Pettendorf / PC-Service Pödeldorf / PC-Service Regendorf / PC-Service Regendorf / PC-Service Regensburg / PC-Service Regensburg / PC-Service Regenstauf / PC-Service Regenstauf / PC-Service Sarching / PC-Service Schammelsdorf / PC-Service Scheßlitz / PC-Service Schesslitz / PC-Service Schloß Seehof / PC-Service Schloss Seehof / PC-Service Schwetzendorf / PC-Service Schwetzendorf / PC-Service Sinzing / PC-Service Sinzing / PC-Service Stollberg / PC-Service Straßgiech / PC-Service Strassgiech / PC-Service Unterhaid / PC-Service Unterisling / PC-Service Viehhausen / PC-Service Viehhausen / PC-Service Walsdorf / PC-Service Weichendorf / PC-Service Wernsdorf / PC-Service Wiesengiech / PC-Service Zapfendorf / PC-Systeme / Pentling / Pettendorf / Pödeldorf / Regendorf / Regendorf / Regensburg / Regensburg / Regensburg+LK / Regenstauf / Reparatur / Rossdorf am Forst / Sachsen / SAMSUNG / Sarching / Sarching / Schammelsdorf / Schammelsdorf / Schammelsdorf / Scheßlitz / Schesslitz / Schesslitz / Schesslitz / Schloß Seehof / Schloß Seehof / Schloß Seehof / Schloss Seehof / Schloss Seehof / Schloss Seehof / Schmerldorf / Schmerldorf / Schwetzendorf / Seehof / Seehof / Service / Sicherheit / Siemens / Sinzing / Smartphone / Smartphone / Smartphone / Software / SonyEricson / Stollberg / Stollberg / Stollberg / Strassgiech / Strassgiech / Strullendorf / Symbian / Tablet / Tablet / Telefon und Internet / Trunstadt / Ubuntu / Unterhaid / Virenschutz / Vor-Ort-Service / Walsdorf / Walsdorf / Webdesign / Weichendorf / Weichendorf / Weichendorf / Weichendorf / Wernsdorf / Wernsdorf / Wiesengiech / Windischletten / Windows / Windows / Windows / Windows 10 / Windows 10 / Windows 7 / Windows 7 / Windows 8 / Windows 8 / Windows Vista / Windows Vista / Windows XP / Windows XP / Windows10 / Windows8 / WindowsVista / WindowsXP / Wischkaestla / Wischkästla / Wischkästla / Zapfendorf / Zapfendorf / Zapfendorf / Zeegendorf / Zückshut

Erstmals bedroht ein Verschlüsselungstrojaner Ransom32 plattformübergreifend alle Systeme – Windows – Mac – Linux

Veröffentlicht von

Erstmals bedroht ein Verschlüsselungstrojaner Ransom32 plattformübergreifend alle Systeme :  Windows – Mac – Linux  …

Wie heise.de unter Berufung auf Kryptologen von Bleeping Computer und Emsisoft berichtet sei mit der Ransomware Ransom32 die Schwelle zur Infizierung aller Systeme wie Windows, Apple MAC OS und Linux plattformübergreifend erreicht. Der Verschlüsselungstrojaner komme in einer Art Baukastensystem daher, das es Kriminellen mit ein paar Handgriffen ermöglicht, den Erpressungstrojaner an das Zielsystem z.B. Windows 7, Windows 8.1,  Windows 10 oder bei Apple MAC OS X oder Linux, ggf. auch Android anzupassen.

http://www.heise.de/security/meldung/Erste-Sichtung-Erpressungstrojaner-Ransom32-aufgrund-JavaScript-noch-bedrohlicher-3060409.html

ransom32_message-730x456

Emsisoft beschreibt das Szenario wie Kriminelle da vorgehen so:
Es werde von den Kriminellen Software as a service (Software als Dienstleistung)  genutzt, wo normale Software auch erworben werden kann.
Zunächst muß derjenige, der erpressen möchte, die Bitcoin-Adresse angeben werden, an die die erpressten Lösegelder gesendet werden.
Dann gelangt der Erpresser auf die Konfigurationsseite wo er Lösegeldsumme und andere Details eingeben kann.
Dort ist für den Erpresser auch sichtbar, wie viele Systeme infiziert worden sind.
Der Kriminelle erhält dann eine ca. 22 MB große Datei zum Download.

http://blog.emsisoft.com/de/2016/01/01/meet-ransom32-the-first-javascript-ransomware/

 

Details zu Ransom 32 :

Der Virus kommt in der bekannten Windows Variante als selbstextrahierendes RAR-Archiv daher.
Darin enthalten sind u.a. :

  • „chrome“ enthält eine Kopie der Lizenzvereinbarung für freie Software (GNU GPL).
  • „chrome.exe“ ist eine gepackte NW.js-Anwendung. Sie enthält den eigentlichen Malware-Code und bildet den sogenannten Framework (also das Gerüst) zum Ausführen der Malware.
  • „ffmpegsumo.dll“, „nw.pak“, „icudtl.dat“ und „locales“ enthalten die für den NW.js-Framework erforderlichen Daten.
  • „rundll32.exe“ ist eine umbenannte Kopie des Tor-Clients.
  • „s.exe“ ist eine umbenannte Kopie von Optimum X Shortcut. Mit dem Programm lassen sich Verknüpfungen auf dem Desktop und im Startmenü erstellen und ändern.
  • „g“ enthält die Malware-Einstellungen, die über die Weboberfläche konfiguriert wurden.
  • „msgbox.vbs“ ist ein kleines Script, über das die zuvor individuell angepasste Meldung angezeigt wird.
  • „u.vbs“ ist ein kleines Script, das alle Dateien und Ordner in einem vorgegebenen Verzeichnis durchnummeriert und löscht.

Laut Emsisoft ist NW.js ein plattformübergreifendes JavaScript Framework eingesetzt.

“Sobald Ransom32 auf ein System gelangt und ausgeführt wird, entpackt sie alle Dateien in den Ordner der temporären Dateien. Von hier kopiert sie sich in das Verzeichnis „%AppData%\Chrome Browser“. Mithilfe der enthaltenen „s.exe“ erstellt sie im Autostart/Startup-Ordner die Verknüpfung „ChromeService“, damit die Malware garantiert bei jedem Systemstart ausgeführt wird. Über den integrierten Tor-Client verbindet sie sich dann mit ihrem Befehls- und Steuerserver (C2-Server), der im Tor-Netzwerk versteckt auf Port 85 liegt. Von hier werden der zum Verschlüsseln verwendete Kryptografieschlüssel und die Bitcoin-Adresse abgerufen, an die das Lösegeld gehen soll. War die Verbindung zum C2-Server erfolgreich, wird von der Malware schließlich die Erpressermeldung angezeigt.” so Emsisoft .

Die Malware verschlüsselt folgende Dateien:

*.jpg, *.jpeg, *.raw, *.tif, *.gif, *.png, *.bmp, *.3dm, *.max, *.accdb, *.db, *.dbf, *.mdb, *.pdb, *.sql, *.*sav*, *.*spv*, *.*grle*, *.*mlx*, *.*sv5*, *.*game*, *.*slot*, *.dwg, *.dxf, *.c, *.cpp, *.cs, *.h, *.php, *.asp, *.rb, *.java, *.jar, *.class, *.aaf, *.aep, *.aepx, *.plb, *.prel, *.prproj, *.aet, *.ppj, *.psd, *.indd, *.indl, *.indt, *.indb, *.inx, *.idml, *.pmd, *.xqx, *.xqx, *.ai, *.eps, *.ps, *.svg, *.swf, *.fla, *.as3, *.as, *.txt, *.doc, *.dot, *.docx, *.docm, *.dotx, *.dotm, *.docb, *.rtf, *.wpd, *.wps, *.msg, *.pdf, *.xls, *.xlt, *.xlm, *.xlsx, *.xlsm, *.xltx, *.xltm, *.xlsb, *.xla, *.xlam, *.xll, *.xlw, *.ppt, *.pot, *.pps, *.pptx, *.pptm, *.potx, *.potm, *.ppam, *.ppsx, *.ppsm, *.sldx, *.sldm, *.wav, *.mp3, *.aif, *.iff, *.m3u, *.m4u, *.mid, *.mpa, *.wma, *.ra, *.avi, *.mov, *.mp4, *.3gp, *.mpeg, *.3g2, *.asf, *.asx, *.flv, *.mpg, *.wmv, *.vob, *.m3u8, *.csv, *.efx, *.sdf, *.vcf, *.xml, *.ses, *.dat

“Ransom32 soll auf dem NW.js-Framework aufbauen, über das Entwickler Desktop-Applikationen auf JavaScript-Basis mit Cross-Plattform-Ausrichtung erstellen können. Somit könnten Angreifer die Ransomware mit wenigen Handgriffen auch mit Linux und OS X kompatibel machen, erläuterten die Sicherheitsforscher.
Die mit dem NW.js-Framework erstellten Desktop-Applikationen sollen wesentlich tiefer in das Betriebssystem eingreifen können als eine JavaScript-Anwendung, die in einer Sandbox abgeschottet in einem Webbrowser läuft.” so heise.de .

 

Bei einer Anfrage eines Kunden bezüglich der Wiederherstellung verschlüsselter Daten erhielten wir von AFD-PC-SERVICE.de Armin Fischer von der Daten-Forensik von Kroll Ontrack , Computer Forensik-Services, die Auskunft, dass es bei der Komplexität der heutigen Verschlüsselungsalgorithmen nur extrem schwer und zeitaufwendig sei, die Dateien so wieder zu entschlüsseln. Dafür sei eine enorme Rechenleistung erforderlich, außerdem könne das Prozedere Jahre dauern. Es sei einfacher Daten von einem defekten Datenträger im Reinraumlabor wiederherzustellen.

http://www.krollontrack.de/kontakt/

 

 

 

AFD-PC-SERVICE.de Armin Fischer Regensburg

AFD-PC-SERVICE.de Armin Fischer // Armin Fischer Dienstleistungen
c/o Armin Fischer
Hauptstr. 70
D-96117 Memmelsdorf bei Bamberg  GERMANY

0176/2100896-0 oder
0176/2100896-7
office@afd-pc-service.de

Buero/ Office:
Tel./VoIP BA:  +4995125295367
Tel./VoIP R:  +4994156955640
Mobil/SMS: +4917621008960
mail: office@afd-pc-service.de

Armin Fischer:
Tel.: +499413966185 Mobil/SMS: +4917621008967
mail: info@arminfischer.de

Terminanfrage online: http://www.afd-pc-service.de/terminanfrage/
Termin Planung und Abgleich: http://kalender.arminfischer.de

www.arminfischer.de  www.afd-pc-service.de  www.arminfischer.de/dienstleistungen/
Ust-ID: DE232723558

 

Kollege Marco Müller, diePCWerkstatt.de Marco Mueller in Regensburg

diepcwerkstatt-de-kleines-logo

diePCWerkstatt.de Marco Mueller
Landshuter Str. 68
D-93053 Regensburg  

Tel./ VoIP: +499417977227
Mobil: +491728227401
e-mail: info@diepcwerkstatt.de 

www.diepcwerkstatt.de 

 

 

 

 

Keywords: Ransom32, Ransomware, Verschlüsselung, Verschlüsselungstrojaner, Epressungstrojaner, Virus, Viren, Malware, Schadsoftware, kriminell, Software as a Service, Bitcoin, JavaScript,  RAR, RAR-Archiv, NW.js, Computervirus, Computerviren, Windows, Windows XP, Windows Vista, Windows 7, Windows 8, Windows 8.1, Apple, Apple MAC, MAC OS, OS X, Linux, Ubuntu, Kubuntu, Android, PC-Service, PC-Service Bamberg, PC-Service Memmelsdorf, PC-Service Scheßlitz, PC-Service Oberfranken, PC-Service Franken, PC-Service Metropolregion Nürnberg, PC-Service Nürnberg, PC-Service Regensburg, PC-Service Oberpfalz, Memmelsdorf, Bamberg, Scheßlitz, Oberfranken, Franken, Metropolregion Nürnberg, Nürnberg, Oberpfalz, Regensburg, IT, IT Bamberg, IT Memmelsdorf, IT Franken, IT Oberfranken, IT Metropolregion Nürnberg, IT Nürnberg, IT Regensburg, IT Oberpfalz, IT-Service, IT-Service Memmelsdorf, IT-Service Bamberg, IT-Service Scheßlitz, IT-Service Oberfranken, IT-Service Franken, IT-Service Nürnberg, IT-Service Metropolregion Nürnberg, IT-Service Oberpfalz, IT-Service Regensburg, Computerviren Bamberg, Computerviren Regensburg, Virenentfernung, Virenentfernung Memmelsdorf, Virenentfernung Bamberg, Virenentfernung Franken, Virenentfernung Oberfranken, Virenentfernung Nürnberg, Virenentfernung Metropolregion Nürnberg, Malwareentfernung, Malwareentfernung Memmelsdorf, Malwareentfernung Bamberg, Malwareentfernung Scheßlitz, Malwareentfernung Oberfranken, Malwareentfernung Franken, Malwareentfernung Metropolregion Nürnberg, Malwareentfernung Regensburg, Malwareentfernung Oberpfalz, Malware, Malware Memmelsdorf, Malware Bamberg, Malware Oberfranken, Malware Franken, Malware Metropolregion Nürnberg, Malware Nürnberg, Malware Regensburg, Malware Oberpfalz, PC-Werkstatt, PC-Werkstatt Memmelsdorf, PC-Werkstatt Scheßlitz, PC-Werkstatt Bamberg, PC-Werkstatt Metropolregion Nürnberg, PC-Werkstatt Nürnberg, PC-Werkstatt Franken, PC-Werkstatt Oberfranken, PC-Werkstatt Regensburg, PC-Werkstatt Oberpfalz, Virenschutz, Virenschutz Memmelsdorf, Virenschutz Bamberg, Virenschutz Scheßlitz, Virenschutz Oberfranken, Virenschutz Franken, Virenschutz Metropolregion Nürnberg, Virenschutz Nürnberg, Virenschutz Regensburg, Virenschutz Oberpfalz, AntiVirus, AntiVirus Bamberg, AntiVirus Memmelsdorf, AntiVirus Scheßlitz, AntiVirus Oberfranken, AntiVirus Franken, AntiVirus Metropolregion Nürnberg, AntiVirus Nürnberg, AntiVirus Regensburg, AntiVirus Oberpfalz, heise.de, Kroll Ontrack, Emsisoft, jpg, jpeg, raw, tif, gif, png, bmp, accdb, db, dbf, sql, php, java, jar, class, psd, eps, ps, swf, fla, txt, doc, dot, docx, rtf, wps, msg, pdf, xls, ppt, pps, wav, mp3, aif, iff, m3u, m4u, mid, mpa, wma, avi, mov, mp4, 3gp, mpeg, flv, mpg, wmv, vob, csv, vcf, xml, dat,

 

 

www.afd-pc-service.de/?p=3438

Print Friendly, PDF & Email