Zum Inhalt wechseln


Foto

Neue Ransomware Mischa


  • Bitte melde dich an um zu Antworten
21 Antworten in diesem Thema

#1 tpk

tpk

    Member

  • 208 Beiträge

 

Geschrieben 12. Mai 2016 - 07:13

Hallo Leute,

 

ich wollte euch kurz darüber Informieren das eine neue Ransomware namens "Mischa" im Umlauf ist. Selbst google findet noch nichts dazu, derzeit gibt es dafür KEIN Removal Tool bzw. hat noch keines der bisher getesteten angeschlagen. Ebenso unbekannt ist natürlich ob sich der Virus dann von selbst im Netz verbreitet bzw. was er sonst noch ausser der Verschlüsselung anstellt. Ich stehe bereits mit Kasperky und Trend Micro in Kontakt damit hier so schnell wie möglich abhilfe geboten wird.

 

Vom Text her (siehe auch Screenshot) ist er weitestgehend ident mit Petya (Petya & Mischa, bei James Bond Fans sollte es nun "aha" machen), verschlüsselt allerdings nicht den MBR wie Petya, aber auch hier wird man aufgefordert via Tor & Bitcoin Lösegeld zu bezahlen.

 

Beim betroffenen Kunden ging das Mail mit persöhnlicher Anrede an den Personalleiter und bezog sich im Betreff auf eine ausgeschriebene Stelle -> Bewerbungsunterlagen bitte via Magenta Cloud herunterladen.

 

 

LG Martin

 

Angehängte Datei  IMG-20160511-WA0005.jpg   93,93K   12 Mal heruntergeladen



#2 zahni

zahni

    Expert Member

  • 16.388 Beiträge

 

Geschrieben 12. Mai 2016 - 07:43

Danke  für den Hinweis.

Aber auch hier gilt: Proxy: Ausführbare  Dateien  filtern, Mailserver: das  Gleiche und am Ende die SRP, welche die Ausführung unerlaubter Programme verhindert.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#3 goki

goki

    Newbie

  • 5 Beiträge

 

Geschrieben 12. Mai 2016 - 12:09

Interessanter als ein Bildschirmfoto von regedit ist die auslösende Mail, finde ich jedenfalls.



#4 datmox

datmox

    Senior Member

  • 327 Beiträge

 

Geschrieben 12. Mai 2016 - 14:14

Interessanter als ein Bildschirmfoto von regedit ist die auslösende Mail, finde ich jedenfalls.

#

Die heruntergeladenen Dateien aus der Cloud wären auch noch gut! War's ne Bewerbung.pdf.exe o. ä.?



#5 Weingeist

Weingeist

    Board Veteran

  • 767 Beiträge

 

Geschrieben 12. Mai 2016 - 14:37

Bekomme hier auch täglich solche Mails. Mit fast jeder Woche werden Sie in Sachen Deutsch und Sache besser.



#6 tpk

tpk

    Member

  • 208 Beiträge

 

Geschrieben 12. Mai 2016 - 15:17

Hallo,

 

eine zweite Fa. mit welcher der Kunde ebenfalls Kontakt hat haben die Infos dazu Online gestellt, allerdings sind sie nicht wie angegeben vor Ort ;)

 

https://www.dotcomse...h-keiner-kennt/

 

LG



#7 brauni2102

brauni2102

    Newbie

  • 13 Beiträge

 

Geschrieben 12. Mai 2016 - 17:39

hy,

 

ein Kunde von uns hat heute folgendes Mail bekommen. Kunde bekommt täglich min. 50 Bewerbungen für neue Mitarbeiter. Das Mail ist wirklich perfekt auf den Kunden zugeschnitten. Leider hat einer der Mitarbeiter auf den Link geklickt und die Ransomware war schon aktiv und hat begonnen den Server zu verschlüsseln.

 

Mail siehe Anhang!

 

lg

christian

 

 

Angehängte Dateien


Bearbeitet von brauni2102, 12. Mai 2016 - 17:39.


#8 Otaku19

Otaku19

    Expert Member

  • 1.948 Beiträge

 

Geschrieben 13. Mai 2016 - 06:53

wenn man das so mitbekommt...wär es schon bald interessant eine eigene "Quarantänezone" für HR MItarbeiter einzurichten :) Aber über kurz oder lang müsste man dann alle Mitarbieter irgendwo einsperren udn keiner könnte mehr auf geteilte Ressourcen zugreifen. denn nach den Bewerbungen kommen halt Offer an den Einkauf, C-Level oder eben deren Assistenz und weiterhin natürlich Rechnungen aller Art an alle.


Done: 640-801; 640-553; 642-524; 642-515; 642-892; 642-832; 642-504; 640-863; 642-627; 642-874; 642-785; ITIL v3 Foundation
Enterasys Systems Engineer; CompTIA Sec+; CompTIA Mobility+; CISSP; CISSP-ISSAP; Barracuda NGSE/NGSX; CISM


#9 Weingeist

Weingeist

    Board Veteran

  • 767 Beiträge

 

Geschrieben 13. Mai 2016 - 08:07

Wird halt immer schwieriger, je besser die Leute die Landessprache beherrschen oder vermutlich sogar Landsleute einsetzen. Habe heute auch grad von einem Bekannten erfahren, dass seine Firma letzte Woche davon betroffen war. Hochpersonalisiert, perfektes Deutsch und eine Offertenanfrage mit einer technischen Zeichnung zum downloaden. Also genau so wie er jeden Tag zich Mails bekommt. Ergebnis war wie so oft eine verschlüsselte Festplatte.

Bei grossen Files hat sich in dessen Branche so eingbürgert, dass man die 3D Zeichnungen oft per Download bekommt. Sei es von eine Firmenportal oder auf einem epxliziten Portal.

 

Denke die aktuelle Entwicklung kann man ned nur noch auf Selber-Schuld schieben, da muss man schon fast paranoid sein und einfach jedes einzelne Mail hinterfragen und den Link vorher prüfen. Bei X angestellten mit unterschiedlich hohem Faktor an Misstrauen, kein leichtes Unterfangen.



#10 NorbertFe

NorbertFe

    Expert Member

  • 30.601 Beiträge

 

Geschrieben 13. Mai 2016 - 08:21

Ich hab hier grad Spam bekommen, da steht mein kompletter Name, meine Wohnadresse und meine handynummer drin. Das wird langsam echt krank.

Make something i***-proof and they will build a better i***.


#11 Sunny61

Sunny61

    Expert Member

  • 22.096 Beiträge

 

Geschrieben 13. Mai 2016 - 08:35

ein Kunde von uns hat heute folgendes Mail bekommen. Kunde bekommt täglich min. 50 Bewerbungen für neue Mitarbeiter. Das Mail ist wirklich perfekt auf den Kunden zugeschnitten. Leider hat einer der Mitarbeiter auf den Link geklickt und die Ransomware war schon aktiv und hat begonnen den Server zu verschlüsseln.


Interessant wäre die Adresse *unter* dem Link. Als Link kann ich ja schreiben was ich will, die Adresse die dahinter liegt wäre interessant.

Hier hilft wohl fast nichts mehr, nur noch mehr die Mitarbeiter zu sensibilisieren und warnen und warnen und sensibilisieren.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#12 brauni2102

brauni2102

    Newbie

  • 13 Beiträge

 

Geschrieben 13. Mai 2016 - 08:48

Unter dem Link steht das selbe was man sieht.

Wir habe die exe Datei vom Virus lokalisiert und auf einen USB Stick kopiert. Hat wer eine Ahnung wohin ich den am besten schicken kann für eine Analyse?

Bearbeitet von brauni2102, 13. Mai 2016 - 08:49.


#13 PowerShellAdmin

PowerShellAdmin

    Board Veteran

  • 1.135 Beiträge

 

Geschrieben 13. Mai 2016 - 08:49

Ich hab hier grad Spam bekommen, da steht mein kompletter Name, meine Wohnadresse und meine handynummer drin. Das wird langsam echt krank.

 
Wie ORF hats net abgefangen ;)
 
 

Hier hilft wohl fast nichts mehr, nur noch mehr die Mitarbeiter zu sensibilisieren und warnen und warnen und sensibilisieren.

 
Genau so sieht es aus - ich reiche seit Wochen regelmäßig Hinweis Emails weiter und weise diese auf die Gefahr hin...

Black Swan - Irgendwann erwischt es einen aber ...

Bearbeitet von PowerShellAdmin, 13. Mai 2016 - 08:53.

Möge die Macht der PS mit Dir sein.


#14 NorbertFe

NorbertFe

    Expert Member

  • 30.601 Beiträge

 

Geschrieben 13. Mai 2016 - 08:53

Ging an meine private Adresse bei gmx :p

Make something i***-proof and they will build a better i***.


#15 PowerShellAdmin

PowerShellAdmin

    Board Veteran

  • 1.135 Beiträge

 

Geschrieben 13. Mai 2016 - 09:08

OT:

Ging an meine private Adresse bei gmx :p


Na denen würde ich mal ein Angebot machen ;)

PS: So toll es ist, derzeit ein Nice-To-Have... der Eset-Spamschutz ist zwar furchtbar intransparent und nur bedingt toll konfigurierbar... Aber das Misstding läuft effektiv wirklich gut (habe ja den Vergleich gesehen)...
Derzeit bietet es also wenig Mehrwert und ich kann es "noch" nicht argumentieren ... wird noch kommen ;)

Bearbeitet von PowerShellAdmin, 13. Mai 2016 - 09:14.

Möge die Macht der PS mit Dir sein.