Seit Donnerstag (11.05.2017) sind insgesamt mehrere zehntausend Rechner durch die Ransomware ‚Wana Decrypt0r 2.0‘ bzw ‚WannaCry‘ lahmgelegt worden.
Besonders betroffen sind die Rechner des britischen Gesundheitswesens, sodass der Betrieb in vielen Krankenhäusern stark behindert wurde ein weiterer Schwerpunkt ist in Spanien und Russland zu finden.
Wie die bekannte Variante Locky verschlüsselt die Software die Daten und verlangt für den Schlüssel ein Lösegeld in Form einer Zahlung in ‚Bitcoins‘. 

Der russische Antiviren-Spezialist Kaspersky Lab zählte mehr als 45 000 Angriffe in 74 Ländern, mit einem Schwerpunkt auf Russland.
Die Antivirenfirma Avast will 75.000 Fälle mit Schwerpunkten in Russland, der Ukraine und Taiwan gefunden haben.

Ein Befall von Privatrechnern ist bisher nicht bekannt, aber nicht auszuschließen.
Microsoft empfiehlt das Aufspielen des Software-Patches vom 14. März 2017 (MS17-010).
In einem knappen Tweet rät ‚@HackerFantastic‘ lakonisch das gleiche, außerdem Computer mit Windows NT4, 2000, XP-2003 aus der Schusslinie zu nehmen und in der Firewall die Ports 445/139 und 3389 zu schließen.

Quelle:  www.heise.de

 

 

Wie auch schon im vergangenen Jahr ist eine neue Welle der DHL-Phishingmails gestartet.

Momentan werden wieder Mails mit Betreffzeilen wie: „Paketankündigung zu Ihrer Sendung…“ verschickt.
In der Mail wird die Zustellung einer Sendung angekündigt. Hinzu kommt ein Link, der angeblich der Sendungsverfolgung dienen soll. Wenn der Link angeklickt wird, wird eine Schadsoftware heruntergeladen, die persönliche Daten, wie Kontakte, Kontodaten, Adressen und Passwörter sammelt und diese verdeckt an den Absender der Mail schickt.
Haben Sie so eine Mail erhalten sollten Sie sich zuerst die Frage stellen, ob Sie überhaupt eine Sendung erwarten.
Wenn, nein, löschen Sie die Mail umgehend.
Sollten sie jedoch auf eine Sendung warten, dann können Sie die in dem Link genannte Sendungsnummer kopieren und manuell auf der DHL-Seite: https://www.dhl.de/trackandtrace überprüfen. Verdächtige Mails können zur Nachverfolgung an die Adresse phishing-dpdhl[at]deutschepost.de geschickt werden, die Mail sollte anschließend gelöscht werden.

 

 

Ab sofort können wir unseren Kunden als offizieller NovaStor® Vertriebspartner innovative Lösungen zur Datensicherung anbieten.
Das Portfolio reicht von der einfachen Einzel-PC Lösung bis hin zu Backup-Lösungen für komplette Netzwerke.
In enger Zusammenarbeit mit den Spezialisten von NovaStor® werden individuelle Installationen für Ihr System entworfen und eingerichtet. Auch die Einrichtung wird direkt vom Hersteller begleitet um vom ersten Augenblick ein funktionierendes System zu gewährleisten.
Fordern Sie hier individuelle Informationen an.

Ein neuer Erpressungsversuch bei dem diesmal die Nutzer des Safari-Browsers bei iPhone und iPad betroffen sind.
Es erscheint ein Sperrbildschirm mit der Web-Adresse ‚pay-block.site‘ oder ‚policeblock.com‘ mit einem angeblichen Hinweis des Bundeskriminalamts dass der Nutzer verbotene pornografische Inhalte abgerufen oder verbreitet haben soll. Zur Aufhebung der Sperre soll ein Bußgeld in Höhe von 200,-€ mittels Prepaid iTunes-Karten gezahlt werden.

Nutzer können die Blockade sehr einfach ohne Zahlung aufheben.

Sie öffnen die Einstellungen, scrollen bis ‚Safari‘ und tippen auf den Eintrag. Scrollen Sie im folgenden Menü bis ‚Verlauf und Websitedaten löschen‘, tippen darauf und wählen dann ‚Verlauf und Daten löschen‘.
Weiter droht keine Gefahr, es wird nach derzeitigem Wissensstand kein Schädling auf das Gerät geladen.

Quelle: n-tv.de

Seit kurzem kursiert mit ‚Goldeneye‘ ein neuer Verschlüsselungstrojaner, der es besonders auf deutschsprachige Personalbearbeiter abgesehen hat.
Er kommt als E-Mail, der eine XLS-Datei angehängt ist. Die ‚Bewerbung‘ ist meist in fehlerfreiem Deutsch verfasst und auch stimmig im Inhalt. Daher ist die Erkennung als Trojaner ausgesprochen schwer.

Beim öffnen der angehängten Excel-Datei wird der Benutzer aufgefordert die Bearbeitungsfunktion des Kalkulationsprogramms zu aktivieren. Sobald dadurch die Makroausführung aktiviert ist, beginnt der Trojaner Daten auf dem System zu verschlüsseln und fordert anschließend ein Lösegeld.
Auf der Festplatte wird vom Trojaner eine Textdatei mit dem Namen ‚GOLDENEYE RANSOMWARE‘ abgelegt.
Betroffen sind nach bisherigen Meldungen die Betriebssysteme Windows7, Windows 10 und Server 2008. Auf Server 2012 scheint die Verschlüsselung nicht zu funktionieren.
Für den angemeldeten Benutzer erreichbare Netzlaufwerke sind ebenfalls betroffen.

Erste Notfallmaßnahmen:

• Trennen sie den Rechner sofort vom Netzwerk
• Schalten Sie den Rechner sofort aus (nicht Herunterfahren, halten Sie den Stromschalter am Rechner ca. 4 Sekunden gedrückt bis er aus geht).
• Haben Sie ein aktuelles Backup des Rechners, können Sie damit den Rechner auf einen Stand vor der Infektion neu installieren.
• Im Zweifel ziehen Sie einen Fachmann Ihres Verrauens hinzu um ggf. Daten wieder herstellen zu können.

Eine Entschlüsselung bereits verschlüsselter Daten ist bisher nicht möglich.

Quelle: www.heise.de

 

Der inzwischen gut bekannte Trojaner ‚Locky‘ versieht die verschlüsselten Dateien seit neuestem mit der Endung .aesir, warnt das Notfall-Team des BSI. (Bundesamt für Sicherheit in der Informationstechnik)

Aktuell ist kein kostenloses Entschlüsselungstool verfügbar.
Der Trojaner wird in gefälschten Mails verschickt, die angeblich von Telekommunikationsunternehmen stammen in denen behauptet wird, der Computer würde zum Spam-Versand missbraucht.

Im Anhang findet sich dann ein Zip-Archiv mit einer ausführbaren Datei, die angeblich eine Logdatei enthält. Wird dieser Anhang geöffnet startet der Trojaner sein Unwesen.

Über kommentarlos verschickte SVG-Grafiken von gekaperten Facebook-Messenger-Konten werden Nutzer beim Öffnen auf verseuchte Webseiten weitergeleitet, also ist auch hier Vorsicht geboten.
Werden keine Bilder erwartet, so sollte im Zweifel bei dem angeblichen Versender nachgefragt werden. Nachrichten von unbekannten Absendern sollten ignoriert werden, wenn sie nicht zweifelsfrei zugeordnet werden können.

Quelle: heise.de

Vor einigen Tagen hat WhatsApp mitgeteilt, dass mit der App plattformübergreifend, also auf Windows-Phone, iPhones und Android-Geräten, Videotelefonie möglich ist.

Die Funktion wird schrittweise auf die Geräte verteilt, sie steht also noch nicht allen Nutzern gleichzeitig zur Verfügung. Außer regelmäßigen Updates der App ist keine weitere Aktion notwendig.

Die neue Funktion ist nicht sofort sichtbar, erst wenn bei einem Kontakt oder in einem Chat auf das Telefonsymbol getippt wird, wird ein Icon bzw. eine entsprechende Auswahl angezeigt.

Da viele Nutzer dies nicht wissen, nutzen Gauner dies aus.

Sie verschicken Nachrichten mit einer Einladung, die Videotelefonie zu aktivieren. Der hinterlegte Link führt zu einer gefälschten WhatsApp-Seite auf der „Jetzt aktivieren“ ausgewählt werden soll. Es folgt eine „Benutzerverifizierung“. Um zu überprüfen, ob man ein aktiver WhatsApp-Nutzer ist, soll man fünf Freunde einladen und die Nachricht mit fünf Gruppen teilen.

Der Nutzer hat dann aber nicht nur einen Kettenbrief verschickt, sondern sein Smartphone beginnt heftig zu vibrieren und ein Warnhinweis erscheint auf dem Display. Er stammt angeblich von Google. Darin heißt es, der Akku sei nach dem Besuch einer „Erwachsenen-Seite“ durch Viren ernsthaft beschädigt und bald würden auch noch SIM-Karte, Telefonkontakte, Bilder, Daten, Passwörter und Apps zerstört. Um das zu verhindern, soll die Anti-Virus-Anwendung „360 Security“ aus dem Play Store installiert werden. Tatsächlich fängt sich ein Betroffener aber erst in diesem Moment einen Trojaner ein.

Folgendes Vorgehen wird empfohlen:

• Schließen Sie die Browser-App.
• Öffnen Sie die Einstellungen ihres Smartphones.
• Tippen Sie auf den Punkt „Anwendungen“ (bei manchen Geräten heißt der auch „Anwendungsmanager“, „Apps“ oder ähnlich).
• Suchen Sie Ihre Browser-App, mit der sie ins Internet gehen und tippen darauf.
• Tippen Sie  im Bereich „Speicher“ auf „Daten löschen“.
  Hinweis: dadurch gehen bereits geöffnete Tabs und möglicherweise gespeicherte Formulardaten verloren.
• Nutzen sie verschiedene Browser, wiederholen sie das sicherheitshalber bei allen anderen.
• Solche Anzeigen können auch von Apps ausgelöst werden. Überlegen sie  also, ob sie vielleicht neue Apps installiert haben, bevor die Nachrichten erschienen sind und löschen sie sie wieder.

Quelle: n-tv.de