{"id":235791,"date":"2020-09-21T12:39:35","date_gmt":"2020-09-21T10:39:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=235791"},"modified":"2020-09-22T08:28:48","modified_gmt":"2020-09-22T06:28:48","slug":"warnung-unerkannte-variante-eines-verschlsselungstrojaners-im-umlauf","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/09\/21\/warnung-unerkannte-variante-eines-verschlsselungstrojaners-im-umlauf\/","title":{"rendered":"Warnung: Unerkannte Variante eines Verschlüsselungstrojaners im Umlauf"},"content":{"rendered":"

Ich stelle die Info, die mir die Tage von einem Blog-Leser zuging, einfach mal unkommentiert hier im Blog ein. Er hat mehrfach E-Mails mit einem verschl\u00fcsselten ZIP-Anhang erhalten, in der eine unerkannte Variante eines Verschl\u00fcsselungstrojaners oder der Emotet-Trojaner enthalten ist. Erg\u00e4nzung:<\/strong> Inzwischen tauchen auch Warnungen von Sicherheitsforschern zu dieser Kampagne auf.<\/p>\n

<\/p>\n

\"\"Blog-Leser Sandro P. ist Administrator in einem Unternehmen und mit dem Thema E-Mails mit Verschl\u00fcsselungstrojaner (Ransomware) konfrontiert. In seiner Mail schrieb er am 18. Sept. 2020 folgendes:<\/p>\n

Uns erreichen seit heute Email-Nachrichten mit verschl\u00fcsselten ZIP-Dateien und folgendem Textschema:<\/p>\n

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>><\/p>\n

Passwort f\u00fcr das Archiv: LgEwRVwqLm<\/p>\n

Herzliche Gr\u00fc\u00dfe<\/p>\n

Max Mustermann – Unternehmen GmbH<\/p>\n

m.mustermann@unternehmen.de<\/p>\n

—–Urspr\u00fcngliche Nachricht—–<\/p>\n

> *Von:* \"Email Empf\u00e4nger\"<\/p>\n

> *Gesendet:* Freitag, 18. September 2020 um 12:06<\/p>\n

> *An:* \"Max Mustermann – Unternehmen GmbH\"<\/p>\n

Betreff: Re: Max Mustermann – Unternehmen GmbH<\/p>\n

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>><\/p><\/blockquote>\n

Die Absenderinformationen \u201eMax Mustermann – Unternehmen GmbH\" (Angaben wurden aus Datenschutzgr\u00fcnden anonymisiert) variieren und entsprechen entweder den Unternehmensinformationen eines beliebigen Kollegen oder denen eines unternehmensfremden Mitarbeiters, z.B. sehr h\u00e4ufig \"Martin Diesel – BEFA GmbH\" (m.diesel @ befa-team.de).<\/p>\n

Der Text der Mail ist laut Sandro in perfektem \u201eEmail-Deutsch\" inklusive Umlaute, Klarnamen, etc. gehalten. Der Betreff ist entweder der Name des Empf\u00e4ngers oder \u201eAW: {Name des Empf\u00e4ngers)\". Es soll dem Empf\u00e4nger also vorgegaukelt werden, er h\u00e4tte eine Mail verschickt, auf die nun eine Antwort kommt, die der Empf\u00e4nger zwar nicht erwartet aber eventuell verarbeiten wird.<\/p>\n

Im Anhang zu diesen E-Mails befindet sich eine verschl\u00fcsselte ZIP-Datei, die sich mit dem in der Nachricht genannten Kennwort entpacken l\u00e4sst. Dazu schreibt Sandro:<\/p>\n

Im Anhang befindet sich eine verschl\u00fcsselte ZIP-Datei die sich mit dem genannten Kennwort entpacken l\u00e4sst. Enthalten ist eine .DOC Worddatei nach dem Emotet-Schema (Information f\u00fcr den Anwender \u00fcber \u00e4ltere Version, enthaltene Macros).<\/p><\/blockquote>\n

Das perfide daran: Weder unser Trend Micro OfficeScan \/ ApexOne noch der Sophos AntiVirus auf unserem Sandbox-Scanner schlagen auf diese Datei an \u2013 Pattern und Engines sind (kontrolliert) aktuell.<\/p>\n

Entweder ist hier eine \u201ekaputte\" Version eines Virus im Umlauf oder es gibt eine neue Encryption-Variante die uns die kommende Zeit bewegen wird.<\/p><\/blockquote>\n

An dieser Stelle mein Dank an Sandro f\u00fcr die Information. Zum Thema 'Erkennen durch Virenscanner' – ist eine schwierige Kiste. Mir liegt dieser Anhang nicht vor, sonst h\u00e4tte ich mal bei VirusTotal gepr\u00fcft, ob ein Virenscanner den Beifang erkennt.<\/p>\n

Nachtrag:<\/strong> Sandro schrieb mir: Inzwischen erkennt Sophos AntiVirus (Linux) mit aktuellem Pattern die Datei als virulent. Bei VirusTotal sind aber noch nicht alle Engines\/Patterns soweit, die Schadsoftware zu erkennen.<\/p>\n

Beim Klinikum D\u00fcsseldorf war nach meinen Informationen Sophos Endpoint Protection im Einsatz, aber deren IT wurde per Ransomware lahm gelegt. Es deutet sich also an, dass die Cyber-Kriminellen h\u00e4ufiger das Katz-und-Maus-Spiel mit den Sicherheitsl\u00f6sungen gewinnen. Es gibt Leute, die eher auf die L\u00f6sungen zur verhaltensbasierten Erkennung von Angriffen setzen. Hier scheint Microsoft Defender ATP, Azure ATP und Office 365 ATP eingesetzt zu werden.<\/p>\n

Erg\u00e4nzung:<\/strong> Inzwischen tauchen auch Warnungen von Sicherheitsforschern zu dieser Kampagne auf. Microsoft Security Intelligence schreibt auf Twitter<\/a>:<\/p>\n

Emotet joined the password-protected attachment bandwagon with a campaign starting Friday. The campaign slowed down over the weekend (typical of Emotet) but was back today in even larger volumes of emails in English, as well as in some European languages.<\/p><\/blockquote>\n

Also die Best\u00e4tigung, dass seit Freitag eine Emotet-Kampagne mit gezippten Passwort-gesch\u00fctzten Anh\u00e4ngen l\u00e4uft. Und @nextmorpheus gibt in diesem Tweet<\/a> und in Folgetweets weitere Hinweise – z.B. dass die Mails teilweise verz\u00f6gert zugestellt werden und dass Emotet<\/span> bereits kurz nach der Infektion alle E-Mails durchforstet. Etwa 2 Stunden sp\u00e4ter ist mit ersten Antworten auf die E-Mails zu rechnen (selbst wenn das Passwort ge\u00e4ndert wurde, wird eine vorget\u00e4uschte Adresse verwendet). Dies l\u00e4sst sich nicht mehr verhindern und kann einige Wochen andauern.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Ich stelle die Info, die mir die Tage von einem Blog-Leser zuging, einfach mal unkommentiert hier im Blog ein. Er hat mehrfach E-Mails mit einem verschl\u00fcsselten ZIP-Anhang erhalten, in der eine unerkannte Variante eines Verschl\u00fcsselungstrojaners oder der Emotet-Trojaner enthalten ist. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-235791","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235791","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=235791"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235791\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=235791"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=235791"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=235791"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}