Ransomware WannaCry legt mehrere zehntausend Rechner lahm.

Seit Donnerstag (11.05.2017) sind insgesamt mehrere zehntausend Rechner durch die Ransomware ‚Wana Decrypt0r 2.0‘ bzw ‚WannaCry‘ lahmgelegt worden.
Besonders betroffen sind die Rechner des britischen Gesundheitswesens, sodass der Betrieb in vielen Krankenhäusern stark behindert wurde ein weiterer Schwerpunkt ist in Spanien und Russland zu finden.
Wie die bekannte Variante Locky verschlüsselt die Software die Daten und verlangt für den Schlüssel ein Lösegeld in Form einer Zahlung in ‚Bitcoins‘. 

Der russische Antiviren-Spezialist Kaspersky Lab zählte mehr als 45 000 Angriffe in 74 Ländern, mit einem Schwerpunkt auf Russland.
Die Antivirenfirma Avast will 75.000 Fälle mit Schwerpunkten in Russland, der Ukraine und Taiwan gefunden haben.

Ein Befall von Privatrechnern ist bisher nicht bekannt, aber nicht auszuschließen.
Microsoft empfiehlt das Aufspielen des Software-Patches vom 14. März 2017 (MS17-010).
In einem knappen Tweet rät ‚@HackerFantastic‘ lakonisch das gleiche, außerdem Computer mit Windows NT4, 2000, XP-2003 aus der Schusslinie zu nehmen und in der Firewall die Ports 445/139 und 3389 zu schließen.

Quelle:  www.heise.de

 

 

Wieder DHL – Phishingmail im Umlauf

Wie auch schon im vergangenen Jahr ist eine neue Welle der DHL-Phishingmails gestartet.

Momentan werden wieder Mails mit Betreffzeilen wie: „Paketankündigung zu Ihrer Sendung…“ verschickt.
In der Mail wird die Zustellung einer Sendung angekündigt. Hinzu kommt ein Link, der angeblich der Sendungsverfolgung dienen soll. Wenn der Link angeklickt wird, wird eine Schadsoftware heruntergeladen, die persönliche Daten, wie Kontakte, Kontodaten, Adressen und Passwörter sammelt und diese verdeckt an den Absender der Mail schickt.
Haben Sie so eine Mail erhalten sollten Sie sich zuerst die Frage stellen, ob Sie überhaupt eine Sendung erwarten.
Wenn, nein, löschen Sie die Mail umgehend.
Sollten sie jedoch auf eine Sendung warten, dann können Sie die in dem Link genannte Sendungsnummer kopieren und manuell auf der DHL-Seite: https://www.dhl.de/trackandtrace überprüfen. Verdächtige Mails können zur Nachverfolgung an die Adresse phishing-dpdhl[at]deutschepost.de geschickt werden, die Mail sollte anschließend gelöscht werden.

 

 

NovaStor Vertriebspartner

Ab sofort können wir unseren Kunden als offizieller NovaStor® Vertriebspartner innovative Lösungen zur Datensicherung anbieten.
Das Portfolio reicht von der einfachen Einzel-PC Lösung bis hin zu Backup-Lösungen für komplette Netzwerke.
In enger Zusammenarbeit mit den Spezialisten von NovaStor® werden individuelle Installationen für Ihr System entworfen und eingerichtet. Auch die Einrichtung wird direkt vom Hersteller begleitet um vom ersten Augenblick ein funktionierendes System zu gewährleisten.
Fordern Sie hier individuelle Informationen an.

Erpressungsversuch bei iPhone Nutzern

Ein neuer Erpressungsversuch bei dem diesmal die Nutzer des Safari-Browsers bei iPhone und iPad betroffen sind.
Es erscheint ein Sperrbildschirm mit der Web-Adresse ‚pay-block.site‘ oder ‚policeblock.com‘ mit einem angeblichen Hinweis des Bundeskriminalamts dass der Nutzer verbotene pornografische Inhalte abgerufen oder verbreitet haben soll. Zur Aufhebung der Sperre soll ein Bußgeld in Höhe von 200,-€ mittels Prepaid iTunes-Karten gezahlt werden.

Nutzer können die Blockade sehr einfach ohne Zahlung aufheben.

Sie öffnen die Einstellungen, scrollen bis ‚Safari‘ und tippen auf den Eintrag. Scrollen Sie im folgenden Menü bis ‚Verlauf und Websitedaten löschen‘, tippen darauf und wählen dann ‚Verlauf und Daten löschen‘.
Weiter droht keine Gefahr, es wird nach derzeitigem Wissensstand kein Schädling auf das Gerät geladen.

Quelle: n-tv.de

Bewerbermail als Verschlüsselungsfalle

Seit kurzem kursiert mit ‚Goldeneye‘ ein neuer Verschlüsselungstrojaner, der es besonders auf deutschsprachige Personalbearbeiter abgesehen hat.
Er kommt als E-Mail, der eine XLS-Datei angehängt ist. Die ‚Bewerbung‘ ist meist in fehlerfreiem Deutsch verfasst und auch stimmig im Inhalt. Daher ist die Erkennung als Trojaner ausgesprochen schwer.

Beim öffnen der angehängten Excel-Datei wird der Benutzer aufgefordert die Bearbeitungsfunktion des Kalkulationsprogramms zu aktivieren. Sobald dadurch die Makroausführung aktiviert ist, beginnt der Trojaner Daten auf dem System zu verschlüsseln und fordert anschließend ein Lösegeld.
Auf der Festplatte wird vom Trojaner eine Textdatei mit dem Namen ‚GOLDENEYE RANSOMWARE‘ abgelegt.
Betroffen sind nach bisherigen Meldungen die Betriebssysteme Windows7, Windows 10 und Server 2008. Auf Server 2012 scheint die Verschlüsselung nicht zu funktionieren.
Für den angemeldeten Benutzer erreichbare Netzlaufwerke sind ebenfalls betroffen.

Erste Notfallmaßnahmen:

  • Trennen sie den Rechner sofort vom Netzwerk
  • Schalten Sie den Rechner sofort aus (nicht Herunterfahren, halten Sie den Stromschalter am Rechner ca. 4 Sekunden gedrückt bis er aus geht).
  • Haben Sie ein aktuelles Backup des Rechners, können Sie damit den Rechner auf einen Stand vor der Infektion neu installieren.
  • Im Zweifel ziehen Sie einen Fachmann Ihres Verrauens hinzu um ggf. Daten wieder herstellen zu können.

Eine Entschlüsselung bereits verschlüsselter Daten ist bisher nicht möglich.

Quelle: www.heise.de

 

Wieder eine neue Verschlüsselungsvariante von Locky (nun auch über den Facebook Messenger)

Der inzwischen gut bekannte Trojaner ‚Locky‘ versieht die verschlüsselten Dateien seit neuestem mit der Endung .aesir, warnt das Notfall-Team des BSI. (Bundesamt für Sicherheit in der Informationstechnik)

Aktuell ist kein kostenloses Entschlüsselungstool verfügbar.
Der Trojaner wird in gefälschten Mails verschickt, die angeblich von Telekommunikationsunternehmen stammen in denen behauptet wird, der Computer würde zum Spam-Versand missbraucht.

Im Anhang findet sich dann ein Zip-Archiv mit einer ausführbaren Datei, die angeblich eine Logdatei enthält. Wird dieser Anhang geöffnet startet der Trojaner sein Unwesen.

Über kommentarlos verschickte SVG-Grafiken von gekaperten Facebook-Messenger-Konten werden Nutzer beim Öffnen auf verseuchte Webseiten weitergeleitet, also ist auch hier Vorsicht geboten.
Werden keine Bilder erwartet, so sollte im Zweifel bei dem angeblichen Versender nachgefragt werden. Nachrichten von unbekannten Absendern sollten ignoriert werden, wenn sie nicht zweifelsfrei zugeordnet werden können.

Quelle: heise.de

Vorsicht Whatsapp-Falle mit neuer Videoanruf-Funktion

Vor einigen Tagen hat WhatsApp mitgeteilt, dass mit der App plattformübergreifend, also auf Windows-Phone, iPhones und Android-Geräten, Videotelefonie möglich ist.

Die Funktion wird schrittweise auf die Geräte verteilt, sie steht also noch nicht allen Nutzern gleichzeitig zur Verfügung. Außer regelmäßigen Updates der App ist keine weitere Aktion notwendig.

Die neue Funktion ist nicht sofort sichtbar, erst wenn bei einem Kontakt oder in einem Chat auf das Telefonsymbol getippt wird, wird ein Icon bzw. eine entsprechende Auswahl angezeigt.

Da viele Nutzer dies nicht wissen, nutzen Gauner dies aus.

Sie verschicken Nachrichten mit einer Einladung, die Videotelefonie zu aktivieren. Der hinterlegte Link führt zu einer gefälschten WhatsApp-Seite auf der „Jetzt aktivieren“ ausgewählt werden soll. Es folgt eine „Benutzerverifizierung“. Um zu überprüfen, ob man ein aktiver WhatsApp-Nutzer ist, soll man fünf Freunde einladen und die Nachricht mit fünf Gruppen teilen.

Der Nutzer hat dann aber nicht nur einen Kettenbrief verschickt, sondern sein Smartphone beginnt heftig zu vibrieren und ein Warnhinweis erscheint auf dem Display. Er stammt angeblich von Google. Darin heißt es, der Akku sei nach dem Besuch einer „Erwachsenen-Seite“ durch Viren ernsthaft beschädigt und bald würden auch noch SIM-Karte, Telefonkontakte, Bilder, Daten, Passwörter und Apps zerstört. Um das zu verhindern, soll die Anti-Virus-Anwendung „360 Security“ aus dem Play Store installiert werden. Tatsächlich fängt sich ein Betroffener aber erst in diesem Moment einen Trojaner ein.

Folgendes Vorgehen wird empfohlen:

  • Schließen Sie die Browser-App.
  • Öffnen Sie die Einstellungen ihres Smartphones.
  • Tippen Sie auf den Punkt „Anwendungen“ (bei manchen Geräten heißt der auch „Anwendungsmanager“, „Apps“ oder ähnlich).
  • Suchen Sie Ihre Browser-App, mit der sie ins Internet gehen und tippen darauf.
  • Tippen Sie  im Bereich „Speicher“ auf „Daten löschen“.
    Hinweis: dadurch gehen bereits geöffnete Tabs und möglicherweise gespeicherte Formulardaten verloren.
  • Nutzen sie verschiedene Browser, wiederholen sie das sicherheitshalber bei allen anderen.
  • Solche Anzeigen können auch von Apps ausgelöst werden. Überlegen sie  also, ob sie vielleicht neue Apps installiert haben, bevor die Nachrichten erschienen sind und löschen sie sie wieder.

Quelle: n-tv.de

 

Gefährliche Lücke in Android Smartphones entdeckt

Das Sicherheitsunternehmen Check Point (www.checkpoint.com) hat Schwachstellen im Android Betriebssystem gefunden, die Angreifern die vollständige Kontrolle über Smartphones und Tablets ermöglicht.
Betroffen sind potentiell über 900 Millionen Geräte.
Diese Bedrohung trifft Geräte, in denen LTE-Prozessoren von Qualcomm ihr Werk verrichten. Unter anderem sind die Geräte HTC M9, HTC 10, die LG G4 und G5, das Motorola Moto X oder die Flagschiffe Xperia von Sony.
Da die beliebten Samsung Galaxy S7 Geräte in Deutschland mit Exynos-Prozessoren verkauft werden, sind sie nicht betroffen.

Angreifer können auf den infizierten Geräten persönliche Daten herunterladen, Passwörter und PINs mitlesen oder unbemerkt Video- und Tonaufnahmen machen.

Da die Schwachstellen schon bei der Herstellung eingebaut sind, können sie nur durch die Installation eines Patches vom Hersteller oder Netzbetreiber beseitigt werden.

Durch die ungenügende Updatewilligkeit vieler Smartphonehersteller bleibt die Verteilung der notwendigen Aktualisierungen jedoch ungewiss.
Google hat nach eigenen Angaben 3 der 4 Sicherheitslücken in seinem August-Sicherheitsupdate verteilt. Der vierte Patch folgt im September.
Ansonsten erhalten lediglich Blackberrys, und die Topgeräte von LG und Samsung monatliche Sicherheitsupdates. Besitzer anderer Geräte haben meist das Nachsehen.

Das Sicherheitsunternehmen Check Point empfiehlt Apps nach Möglichkeit nur aus Googles Play Store herunterzuladen und etwaige Updates sofort zu installieren.
Nutzen Sie nur vertrauenswürdige WLAN-Netze und deaktivieren Sie in den Einstellungen die Option ‚Installation aus unbekannten Quellen‘.

Quelle:http://www.n-tv.de]

Systeme werden von Virenscanner mit Sality-Virus infiziert

Bei einem Update des Virenscanners Rising wird eine infizierte Datei auf dem System eingeschleust, die den Sality-Virus weiter verbreitet.

Wer den kostenlosen Virenscanner Rising nutzt, sollte diesen sofort abschalten und wenn möglich deinstallieren.

Die Infektion erfolgte über ein Signatur-Update. Der chinesische Hersteller hat das Problem bestätigt und rät zumindest temporär von der Nutzung des Scanners ab.
Wer sich den Sality-Virus auf diesem Weg eingefangen hat, kommt wohl kaum um eine Neu-Installation seines Systems herum. Denn eine Reinigung etwa mit einem anderen Scanner ist nicht empfehlenswert, weil auch System-Dateien von der Infektion betroffen sind und das System danach unter Umständen nicht mehr stabil läuft.
Quelle: www.heise.de

Update für Windows 7 kann Bootvorgang bei Rechnern mit ASUS-Mainboard verhindern

Schon seit einiger Zeit ist das Update KB3133977 für Windows 7 verfügbar. Einige PCs mit ASUS-Mainboards starten danach nicht mehr.
Das UEFI-BIOS gibt eine Fehlermeldung (Secure Boot Violaton) aus. Secure Boot gibt es jedoch erst in Windows ab Version 8. ASUS hat eine Schritt-für-Schritt-Anleitung veröffentlicht, mit der sich das Problem beheben lässt. Näheres finden Sie unter folgendem Link:  https://www.asus.com/support/FAQ/1016356/