{"id":191871,"date":"2017-06-30T02:17:54","date_gmt":"2017-06-30T00:17:54","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=191871"},"modified":"2022-11-08T08:20:06","modified_gmt":"2022-11-08T07:20:06","slug":"wannacry-clone-ransomware-befllt-systeme-in-der-ukraine","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/06\/30\/wannacry-clone-ransomware-befllt-systeme-in-der-ukraine\/","title":{"rendered":"WannaCry Clone Ransomware bef&auml;llt Systeme in der Ukraine"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Aktuell l\u00e4uft eine neue Ransomware-Welle gegen Windows-Systeme in der Ukraine. Es ist die vierte Attacke binnen weniger Wochen \u2013 und die Malware geriert sich als WannyCry Clone. Und es gibt eine umbenannte Cerber-Ransomware.<\/p>\n<p><!--more--><\/p>\n<h2>Wanna Decropt0r 2.0<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/47c7f0f956e447a291bdd6093d8ddf9b\" width=\"1\" height=\"1\"\/>Die Info stammt vom MalwareHunter Team, die mit <a href=\"https:\/\/twitter.com\/malwrhunterteam\/status\/880333593423302657\" target=\"_blank\" rel=\"noopener\">diesem Tweet<\/a> auf die Ransomware hinweisen.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">Okay everyone, let me tell a crazy thing:<br \/>A .NET WannaCry clone targeted Ukraine in past days.<br \/>And seems some victims already paid&#8230;<\/p>\n<p>\u2014 MalwareHunterTeam (@malwrhunterteam) <a href=\"https:\/\/twitter.com\/malwrhunterteam\/status\/880333593423302657\">29. Juni 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>In den letzten Tagen werden Rechner in der Ukraine durch einen in .NET basierenden WannaCry Clone angegriffen. Und offenbar haben mehrere Opfer bereits bezahlt. Die Ransomware installiert \u00fcber den Infektionsvektor zwei Komponenten: das Verschl\u00fcsselungsteil und eine Benutzeroberfl\u00e4che. Letztere meldet sich gem\u00e4\u00df <a href=\"https:\/\/twitter.com\/malwrhunterteam\/status\/880338759023288320\" target=\"_blank\" rel=\"noopener\">diesem Tweet<\/a> mit folgendem Screen.<\/p>\n<p><img decoding=\"async\" title=\"WannaDecopt0r 2.0\" alt=\"WannaDecopt0r 2.0\" src=\"http:\/\/i.imgur.com\/4rPKNm7.jpg\"\/><\/p>\n<p>Aufgefallen ist der Trojaner, weil Nutzer aus der Ukraine die Beispiele auf VirusTotal hochgeladen haben (wie Bleeping Computer <a href=\"https:\/\/web.archive.org\/web\/20220119104825\/https:\/\/www.bleepingcomputer.com\/news\/security\/ransomware-attacks-continue-in-ukraine-with-mysterious-wannacry-clone\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> schreibt). Hier <a href=\"https:\/\/twitter.com\/malwrhunterteam\/status\/880348980449816576\" target=\"_blank\" rel=\"noopener\">der Tweet<\/a> mit den betreffenden Eintr\u00e4gen.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">Also, except 2, VT uploads are all from Ukraine:<br \/>\"@WanaDecryptor@.exe \/ wd.exe\": GUI (the ransom form). <br \/>\"ed.exe\": encryption component. <a href=\"https:\/\/t.co\/bQMm2feBi9\">pic.twitter.com\/bQMm2feBi9<\/a><\/p>\n<p>\u2014 MalwareHunterTeam (@malwrhunterteam) <a href=\"https:\/\/twitter.com\/malwrhunterteam\/status\/880348980449816576\">29. Juni 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Laut dem MalwareHunter Team wurde die Ransomware aber ab Montag, also vor NotPetya verteilt. VirusTotal weist aktuell an, dass der Verschl\u00fcsselungstrojaner aber bereits durch 10 Antivirenanbieter erkannt wird \u2013 die Links zu den betreffenden Samples finden sich in <a href=\"https:\/\/twitter.com\/malwrhunterteam\/status\/880350697665044481\" target=\"_blank\" rel=\"noopener\">diesem Tweet<\/a>. <\/p>\n<h2>In .NET, gut gemacht, aber keine NSA Exploits<\/h2>\n<p>Das MalwareHunter Team&nbsp; gibt an, dass die Ransomware pr\u00fcft, ob eine Datei in Benutzung ist und killt den betreffenden Prozess. Damit kann die Datei verschl\u00fcsselt werden. Diese Funktion ist so in Ransomware noch nicht beobachtet worden. Bleeping Computer schreibt <a href=\"https:\/\/web.archive.org\/web\/20220119104825\/https:\/\/www.bleepingcomputer.com\/news\/security\/ransomware-attacks-continue-in-ukraine-with-mysterious-wannacry-clone\/\" target=\"_blank\" rel=\"noopener\">hier<\/a>, dass der Code nicht von Script-Kiddies komme. <\/p>\n<p>Eine Analyse des Trojaners ergab, dass er wohl einen C&amp;C-Server \u00fcber Tor kontaktiert. Aber es scheinen keinen NSA-Exploit benutzt worden zu sein, um den Trojaner in Netzwerken zu verteilen. Daher ist die Verbreitung wohl auf Rechner in der Ukraine begrenzt. Kurzfazit: Der Trojaner sieht wie WannaCry aus, enth\u00e4lt aber nicht dessen Verbreitungsmechanismus. <\/p>\n<h2>M.E.Doc-Server erneut beteiligt?<\/h2>\n<p>Und es deutet darauf hin, dass die Server, auf denen die ukrainische Steuersoftware M.E.Doc l\u00e4uft, erneut an der Verteilung dieses Trojaners beteiligt waren. Es gibt einen Pfad:<\/p>\n<p>\"<em>C:\/\/ProgramData\/\/MedocIS\/\/MedocIS\/\/ed.exe<\/em>\"<\/p>\n<p>in dem der Verschl\u00fcsselungsteil abgelegt ist \u2013 k\u00f6nnte aber auch eine falsche Spur sein. In <a href=\"https:\/\/twitter.com\/DanielGallagher\/status\/880507122810843136\" target=\"_blank\" rel=\"noopener\">diesem Tweet<\/a> gibt es einen entsprechenden Hinweis, dass VirusTotal die Webseiten des M.E.DOC-Anbieters als Malwareschleuder einstuft:<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">Additional insight into what we might have here? <a href=\"https:\/\/t.co\/e6Y60zTbPF\">https:\/\/t.co\/e6Y60zTbPF<\/a> <a href=\"https:\/\/t.co\/E8NzcS81lt\">pic.twitter.com\/E8NzcS81lt<\/a><\/p>\n<p>\u2014 Daniel Gallagher (@DanielGallagher) <a href=\"https:\/\/twitter.com\/DanielGallagher\/status\/880507122810843136\">29. Juni 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Das k\u00f6nnte aber noch die Folge des NotPetya-Angriffs sein, der mutma\u00dflich auch \u00fcber den M.E.Doc-Server mit verteilt wurde. Weitere Hinweise finden sich <a href=\"https:\/\/web.archive.org\/web\/20220119104825\/https:\/\/www.bleepingcomputer.com\/news\/security\/ransomware-attacks-continue-in-ukraine-with-mysterious-wannacry-clone\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> bei Bleeping Computer.<\/p>\n<h2>Cerber Ransomware in CRBR ENCRYPTOR umbenannt<\/h2>\n<p>\u00dcber die Cerber Ransomware, die per Anhang in Spam-Mails verteilt wird, hatte ich mehrfach berichtet. Jetzt wird \u00fcber ein Magnitude Exploit-Kit wohl eine in CRBR ENCRYPTOR umbenannte Variante der Cerber Ransomware verteilt. Dies geht aus <a href=\"https:\/\/twitter.com\/Zerophage1337\/status\/879880700027170816\" target=\"_blank\" rel=\"noopener\">diesem Tweet<\/a> hervor. <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/MagnitudeEK?src=hash\">#MagnitudeEK<\/a> drops \"CBRB\" (<a href=\"https:\/\/twitter.com\/hashtag\/Cerber?src=hash\">#Cerber<\/a>) <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash\">#ransomware<\/a>. Fun fact &#8211; Magnitude uses WMIC, PowerShell and a Scriplet. Files -&gt; <a href=\"https:\/\/t.co\/00xCSBCIgJ\">https:\/\/t.co\/00xCSBCIgJ<\/a> <a href=\"https:\/\/t.co\/u1QaRgPV8l\">pic.twitter.com\/u1QaRgPV8l<\/a><\/p>\n<p>\u2014 Zerophage (@Zerophage1337) <a href=\"https:\/\/twitter.com\/Zerophage1337\/status\/879880700027170816\">28. Juni 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script>  <\/p>\n<p>Die Ransomware verschl\u00fcsselt nach erfolgreicher Infektion die Dokumente des Opfers. Details finden sich in <a href=\"https:\/\/zerophagemalware.com\/2017\/06\/28\/magnitude-ek-drops-cbrb-cerber-ransomware\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> sowie <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/cerber-renames-itself-as-crbr-encryptor-to-be-a-pita\/\" target=\"_blank\" rel=\"noopener\">bei Bleeping Computer<\/a>.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/01\/07\/cerber-ransomware-kein-ende-in-2017-in-sicht\/\">Cerber Ransomware, kein Ende in 2017 in Sicht<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/03\/31\/cerber-ransomware-erkennt-virtuelle-maschinen\/\">Cerber Ransomware erkennt virtuelle Maschinen<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2016\/08\/19\/check-point-untersucht-ransomware-cerber\/\">Check Point untersucht Ransomware Cerber<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2016\/06\/24\/teure-mediamarkt-bestellung-mit-cerber-im-beifang\/\">Teure \"Mediamarkt-Bestellung\" mit Cerber im Beifang<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/06\/27\/achtung-petya-ransomware-befllt-weltweit-system\/\">Achtung: Petya Ransomware bef\u00e4llt weltweit Systeme<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2017\/06\/28\/neues-zur-petya-ransomware-killswitch-gefunden\/\">Neues zur Petya Ransomware \u2013 Gegenmittel gefunden?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Aktuell l\u00e4uft eine neue Ransomware-Welle gegen Windows-Systeme in der Ukraine. Es ist die vierte Attacke binnen weniger Wochen \u2013 und die Malware geriert sich als WannyCry Clone. Und es gibt eine umbenannte Cerber-Ransomware.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4715,6177,4325],"class_list":["post-191871","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-ransomware","tag-wannacry","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191871","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=191871"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/191871\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=191871"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=191871"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=191871"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}