Erpressungstrojaner

[willi9974]

Jetzt sind 5 Adressen bekannt, lt. Heise.de

https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
https://blockchain.info/address/1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
https://blockchain.info/address/15zGqZCTcys6eCjDkE3DypCjXi6QWRV6V1

Schaut so aus als ob der Trojaner ein Update oder Trittbrettfahrer bekommt

[klaus]

Sorry, aber das kann ich nicht einfach so stehen lassen, denn es ist der selbe defätistische Quatsch den Donald Trump, die Brexiteers, Marine Le Pen und die AfD den Leuten seit Jahren einbläuen. Jedes von Dir aufgeführte Thema hatte eine intensive gesellschaftliche Diskussion. Zuletzt meistens mit dem besseren Ende für die Reaktionäre.

[...]

... denke wir haben beide unsere Meinungen dargestellt.

Denke nicht das es etwas bringt mit Dir darüber zu diskutieren. Ist auch alles OT.

Nur so viel.
Das was Du aus den, in Deinen Augen sicherlich, 'objektiven und kritischen Medien' zitierst entspricht oft nicht der Wahrheit.

Hör mal Leuten aus dieser Branche zu, die dort Jahrzehntelang waren, was die erzählen bevor Du als Konsument meinst die MSM Bewerten zu können.

Beispiele: Volker Bräutigam, Friedhelm Klinkhammer, Udo Ulfkotte und noch ein paar.

Prof. Dr. Rainer Mausfeld ist mein Tipp was Vorträge zu Meinungsmache und Demokratie angeht.

Und ein 5min Ausschnitt aus der Anstalt erläutert Dir auch ein paar wichtige Zusammenhänge. https://youtu.be/1YOGUvEVJlM

[Bytekiller]

Es sind 3 hardcodierte Adressen auf die eingezahlt werden soll:

Wallet 1:
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw - Stand jetzt knapp 9 Bitcoin.

Wallet 2:
https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 - Stand jetzt 6,5 Bitcoin

Wallet 3:
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn - Stand jetzt 4,3 Bitcoin

Quelle: https://qz.com/982993/watch-as-these-bitcoin-wallets-receive-ransomware-payments-from-the-ongoing-cyberattack/

- und heute früh waren es noch ~$27.500,- US$ (93 Zahlungen) um ein Gefühl für die Größenordnung zu bekommen

Der Bot pusht automatisch bei einem neuem Zahlungseingang - immer mal wieder macht er einen 'Total' Post.

https://twitter.com/actual_ransom/

Wenn alle Zahlungen auf diese 3 Adressen gehen muss man doch den Schluss ziehen dass
die verschlüsselten Dateien auch bei Zahlung auf keinen Fall wieder entschlüsselt werden.
Wie sollen die Hacker zurückverfolgen von wem die Zahlung kommt ?

vielleicht muss man seine transaktions ID angeben und das teil vergleicht die mit der blockchain ob die auftaucht und die zieladresse übereinstimmt

[allyouracid]

Ich vermute, dass es genau da drauf hinausläuft. Entweder, das Ganze wird automatisch gemacht oder – wahrscheinlicher – es wird einfach manuell geprüft, ob die tx id stimmt und ob irgendein Strolch ggf. versucht hat, die tx id von jemand anderem zu verwenden.

Finde es aber auch komisch. Es wäre weit professioneller, individuelle Adressen zu generieren. Das reduziert auch die Aufmerksamkeit etwas, und kein Mensch weiß, wie viel sie mittlerweile genau haben.
Wobei ich hier vermuten würde, dass anhand der infizierten Maschinen sicherlich viel zu hoch geschätzt werden würde.

Aktuell sind 41,81 BTC eingegangen. Ich bin zwar relativ sicher, dass da noch Einiges reinkommen wird, aber selbst wenn es 100 BTC werden, dann ist das ein absoluter Witz in Anbetracht des angerichteten Schadens.

Wobei ich auch ganz ehrlich sagen muss, dass ich mir das Lachen nicht verkneifen könnte, wenn ich die Meldung irgendwo in der Öffentlichkeit sehen würde.

JA, ich gehöre zu denen, die auch ein Foto machen, wenn die Anzeigetafel vom Bäcker am Bahnhof nen Bluescreen of Death zeigt ^^

[Bytekiller]

JA, ich gehöre zu denen, die auch ein Foto machen, wenn die Anzeigetafel vom Bäcker am Bahnhof nen Bluescreen of Death zeigt ^^

Solange er keine Guru Meditation macht 

[Lincoln6Echo]

Ich vermute, dass es genau da drauf hinausläuft. Entweder, das Ganze wird automatisch gemacht oder – wahrscheinlicher – es wird einfach manuell geprüft, ob die tx id stimmt und ob irgendein Strolch ggf. versucht hat, die tx id von jemand anderem zu verwenden.

Finde es aber auch komisch. Es wäre weit professioneller, individuelle Adressen zu generieren. Das reduziert auch die Aufmerksamkeit etwas, und kein Mensch weiß, wie viel sie mittlerweile genau haben.
Wobei ich hier vermuten würde, dass anhand der infizierten Maschinen sicherlich viel zu hoch geschätzt werden würde.

Aktuell sind 41,81 BTC eingegangen. Ich bin zwar relativ sicher, dass da noch Einiges reinkommen wird, aber selbst wenn es 100 BTC werden, dann ist das ein absoluter Witz in Anbetracht des angerichteten Schadens.

Wobei ich auch ganz ehrlich sagen muss, dass ich mir das Lachen nicht verkneifen könnte, wenn ich die Meldung irgendwo in der Öffentlichkeit sehen würde.

JA, ich gehöre zu denen, die auch ein Foto machen, wenn die Anzeigetafel vom Bäcker am Bahnhof nen Bluescreen of Death zeigt ^^

Vor allem: Das Erwerben von bitcoins um das Lösegeld zu bezahlen bekommt man ja als normalo noch einigermaßen hin über bitcoin.de zum Beispiel. Aber um zu beweisen, dass man der Besitzer des privaten Schlüssels zu einer Adresse ist (signieren einer Nachricht) ist noch mal was anderes. Dazu benötigt man ja schon etwas Verständnis der Technik hinter Bitcoin und vor allem eine eigene Wallet.

[OhShei8e]

Beispiele: Volker Bräutigam, Friedhelm Klinkhammer, Udo Ulfkotte und noch ein paar.

Prof. Dr. Rainer Mausfeld ist mein Tipp was Vorträge zu Meinungsmache und Demokratie angeht.

Und ein 5min Ausschnitt aus der Anstalt erläutert Dir auch ein paar wichtige Zusammenhänge. https://youtu.be/1YOGUvEVJlM

Ja, wirklich eine schöne Zusammenstellung verkrachter Denker. Eine Meinungsgruselbahn sozusagen. Ich diskutiere mit diesen Leuten manchmal auf Mumble. Die glauben was sie glauben. Diskussion ist an der Stelle eigentlich Zeitverschwendung und in etwa so sinnvoll wie einem Alkoholiker mit Gesprächstherapie kurieren zu wollen.

In unseren Tagen ist jeder sein eigener Orwell. Das ist die Dialektik der Gegenaufklärung. Sie verläuft ganz individuell unter dem Banner der Freiheit. Man kann damit riesigen Erfolg haben. Siehe Donald Trump. Man muss einfach nur fest genug daran glauben und richtig schön blöd sein.

1. Ich glaube Schwachsinn.
2. ?
3. Profit!

So funktioniert ja auch das Bitcoin. Aus falschen Aussagen kann alles gefolgert werden. Lernt man in der Informatik im ersten Semester. Und wenn nur genügend Leute daran glauben, dann wird es eine selbst erfüllende Prophezeiung. Vielleicht werde ich ja auch noch zum Millionär, wenn ihr schön weiter herumspinnt.

[david123]

Das einzige, was ich an dem Trojaner bedauerlich finde, ist dass er dem Ruf von
Bitcoins in der Öffentlichkeit nicht grade zuträglich ist. Ansonsten hält sich sowohl mein
Mitleid für die Opfer (Windows XP ohne Updates  ) als auch meine Verachtung
für die Täter in sehr engen Grenzen.
Die wahren Verbrecher benutzen Euros und Dollar, tragen Anzug und Krawatte und biegen sich
die Gesetze und Regulierungen so hin wie sie möchten. Eine jemenitische Familie
die grade Bekanntschaft mit einer Streubombe macht, dürfte eine nicht-funktionierende
Anzeigetafel am Bahnhof für ein Luxusproblem halten.

[o_solo_miner]

Ansonsten hält sich sowohl mein
Mitleid für die Opfer (Windows XP ohne Updates  Roll Eyes ) als auch meine Verachtung
für die Täter in sehr engen Grenzen.

nur mal so zu deiner Information:
https://www.heise.de/newsticker/meldung/WannaCry-Fast-nur-Windows-7-PCs-infiziert-3719145.html

[david123]

Ansonsten hält sich sowohl mein
Mitleid für die Opfer (Windows XP ohne Updates  Roll Eyes ) als auch meine Verachtung
für die Täter in sehr engen Grenzen.

nur mal so zu deiner Information:
https://www.heise.de/newsticker/meldung/WannaCry-Fast-nur-Windows-7-PCs-infiziert-3719145.html

Oh, das war mir nicht bewusst. Dann hat die Mainstream-Presse aber mal konsistent ganz grossen
Müll berichtet. Ich habe überall gehört, es wäre nur Windows XP betroffen, bei dem die Updates
abgeschaltet waren.
An meiner grundsätzlichen Meinung ändert es aber nichts. Computerviren sind nun mal ein Ärgernis
mit dem man rechnen muss. Man sollte immer ein Backup seiner wichtigen Daten haben.

[ajas]

Das einzige, was ich an dem Trojaner bedauerlich finde, ist dass er dem Ruf von
Bitcoins in der Öffentlichkeit nicht grade zuträglich ist.

Ich habe in der allgemeinen Presse in diesem Zusammenhang erstaunlich wenig
Negatives gehört. Man kann das Ganze auch als PR-Aktion für Bitcoin ansehen, die den
Bekanntheitsgrad weiter erhöht.

[asxs_btc]

Naja in den letzten Tagen gab es genug positive Meldungen in Zeitungen oder anderen Medien, da kann man auf negative schon verzichten.

[allyouracid]

Das einzige, was ich an dem Trojaner bedauerlich finde, ist dass er dem Ruf von
Bitcoins in der Öffentlichkeit nicht grade zuträglich ist.

Ich habe in der allgemeinen Presse in diesem Zusammenhang erstaunlich wenig
Negatives gehört. Man kann das Ganze auch als PR-Aktion für Bitcoin ansehen, die den
Bekanntheitsgrad weiter erhöht.

Dem schließe ich mich an. Ich war erstaunt, wie professionell die Presse (zum Großteil zumindest - Ausnahmen gibts ja immer) mit dem Thema Bitcoin in dem Zusammenhang umgegangen ist. Entweder wurde er gar nicht erwähnt, oder eben nur am Rande, noch mit einer kurzen Erklärung, was das denn eigentlich ist. Aber vom Bösen Digitalen Verbrechergeld™ war nicht wirklich die Rede.

Im Deutschlandfunk hatten sie am Samstag danach einen Sicherheitsexperten im Studio, der tatsächlich empfohlen hat, zu bezahlen. Der Moderator der Sendung konnte es zuerst gar nicht glauben, dann hat der Experte aber erklärt, dass der Staat immer Gegenteiliges empfiehlt, weil er es mit seinen Aufgaben nicht vereinbaren kann, Kriminalität zu unterstützen. Es ging so in die Richtung, "wenn Ihnen die Daten mehr wert sind als der geforderte Betrag, dann sollten Sie zahlen, denn sonst haben Sie ja gar keine Möglichkeit mehr, an die Daten zu kommen".
Fand ich insofern gut, weil es nicht der allgemeinen Verklärung gefolgt ist, die der Staat in diesem Zusammenhang immer betreibt. Da heißt es dann zum Beispiel, "selbst wenn Sie bezahlen, haben Sie keine Garantie, dann auch den Schlüssel zum Entschlüsseln zu erhalten", was ja auch theoretisch richtig ist, aber meistens einfach nicht stimmt. So wird der fahrlässige Bürger eben gleich jedweder Chance, seine Daten zurück zu bekommen, beraubt.

[o_solo_miner]

author=allyouracid
Fand ich insofern gut, weil es nicht der allgemeinen Verklärung gefolgt ist, die der Staat in diesem Zusammenhang immer betreibt. Da heißt es dann zum Beispiel, "selbst wenn Sie bezahlen, haben Sie keine Garantie, dann auch den Schlüssel zum Entschlüsseln zu erhalten", was ja auch theoretisch richtig ist, aber meistens einfach nicht stimmt. So wird der fahrlässige Bürger eben gleich jedweder Chance, seine Daten zurück zu bekommen, beraubt.

In diesem Fall jedoch nutzt ein Zahlen nichts, da keine Individuellen Adressen generiert wurden und somit
eine Zuordnung wer gezahlt hat nicht möglich ist.
Es wurde auch kein Fall bekannt wo ein Geschädigter nach Zahlung auch nur irgendeine Antwort bekommen hätte.
Das hätte der "Experte" wissen können, wenn er einer wäre.

[david123]

Jup, sehe ich auch so. Das war wahrscheinlich für einen viel kleineren Massstab geplant,
wo händische Zuordnung (nach gutem Glauben wenn man so will^^) und Entschlüsselung
Sinn gemacht hätte. Die Jungs waren wohl selber von der Verbreitung überrascht.

Gäbe es eigentlich technisch die Möglichkeit, lokal auf den infizierten Rechnern individuelle
BTC-Adressen zu generieren (so dass ein Zahlungseingang dort in entsprechender Höhe
die Entschlüsselung automatisch anstösst, ohne manuelles Zutun), aber so dass
die privaten Schlüssel nur den Hinterleuten bekannt sind? Das alles natürlich so, dass auch
ein Deassemblieren des Trojaners keinen Rückschluss auf den Aufbau der private keys zulässt.

[erwinbit]

Was soll diese Diskussion hier? Viele 100.000e Systeme wurden infiziert, offiziell bekannt, inoffiziell wahrscheinlich noch viel mehr. Wenn Bezahlen etwas nützen würde, wäre uns diese Info schon längst bekannt.

[david123]

Das ist so die Eigenart von diesen Foren, da wird viel diskutiert
Die Frage, ob bezahlen etwas nützt oder nicht, ist doch nur eine von
mehreren die hier diskutiert wird.

[SiMoon23]

Siehe:

http://www.tagesschau.de/ausland/cyberangriff-107.html

Ohne BTC wäre die Masche schlicht nicht möglich. Den Volkswirtschaftlichen Schaden sollten man nicht unterschätzen und vor dem Hintergrund sehen, dass kaum jemand von Bitcoin profitiert.

Da halt ich och glatt mal dagegen:
http://www.n-tv.de/technik/Die-fuenf-schlimmsten-Computerviren-article16226626.html

Viren gibts, wies das Internet gibts und nicht erst seit Bitcoin.Cryptocoins deswegen verbieten zu wollen, ist in etwa so, als wolle man sämtliches Bargeld verbieten, weil es Hauseinbrüche gibt..


Dabei ist man mit aktuell gehaltenen Betriebssystemen die supportet werden,  relativ sicher unterwegs. Es ist eigentlich immer eine Kombination aus ungepatchtem System, Hirn ausschalten beim fremder Anhänge öffnen oder naives Vertrauen in die Snakeoil-AV Software.

Bei WannaCry trifft fast alles zu. Da muss zuerst mal ein ungepatchter Computer direkt am Netz hängen, damit der Virus überhaupt ein Einfallstor hat. Erst dann gelangt er eins Netzwerk - wobei sich dann natürlich die Frage nach dem Sinn eines Firewalls stellt.

Und ab da haben einige AVP eine richtitge Glanzleistung gebracht. Ein Entwickler (oder ehemaliger) von Kaspersky hat im Virus Code zufällig eine Domain zu einem Server,  welcher vom Virus jeweils angepingt wurde, gefunden und konnte den Serve sogar in Kontrolle bringen. Dabei entdeckte er, dass von diesem ein KillSwitch Signal na den Virrus ging, damit dieser sich nicht mehr weiterverbreitet. Fortinet, Kasperky und Sophos waren zwar nicht fähig, die Infektion zu verhindern - wohl aber die Verrbindung zum Killswitch, wodurch sich der Virus in der ersten Welle wesentlich länger verteilen konnte.

Das oder sowas in der Art hört man eigentlich bei jeder Attacke seit Jahren und trotzdem geht dann das Gejammer los, wenns die Firm getroffen hat. Wobei es dort auch ohne Bitcoin je nach Firma ausreichende Beute an Firmengeheimnissen hat.

[Bytekiller]

 Ein Entwickler (oder ehemaliger) von Kaspersky hat im Virus Code zufällig eine Domain zu einem Server,  welcher vom Virus jeweils angepingt wurde, gefunden und konnte den Serve sogar in Kontrolle bringen. Dabei entdeckte er, dass von diesem ein KillSwitch Signal na den Virrus ging, damit dieser sich nicht mehr weiterverbreitet. Fortinet, Kasperky und Sophos waren zwar nicht fähig, die Infektion zu verhindern - wohl aber die Verrbindung zum Killswitch, wodurch sich der Virus in der ersten Welle wesentlich länger verteilen konnte.

Es wurde eine Serveradresse abgefragt ist diese erreichbar dann tut er nichts!
Das war gedacht um eine analyse zu umgehn! Denn AV hersteller lassen die Viren auf gesonderten oder virtuellen System laufen und antworten auf jede anfrage die nach ausen geht.
Nach dem Motto: WAS, Ich bekomme eine Antwort von einem Server der nicht existiert??? Ich halte mal die Füße still!
Dass das ein Killswitch ist war wahrscheinlich nicht so gedacht.
Die haben also kurzer Hand diese Domain registiert und ruhe war. Leider gab es kurz darauf klone ohne diesen killswitch

[SiMoon23]

Es wurde eine Serveradresse abgefragt ist diese erreichbar dann tut er nichts!
Das war gedacht um eine analyse zu umgehn! Denn AV hersteller lassen die Viren auf gesonderten oder virtuellen System laufen und antworten auf jede anfrage die nach ausen geht.
Nach dem Motto: WAS, Ich bekomme eine Antwort von einem Server der nicht existiert??? Ich halte mal die Füße still!
Dass das ein Killswitch ist war wahrscheinlich nicht so gedacht.
Die haben also kurzer Hand diese Domain registiert und ruhe war. Leider gab es kurz darauf klone ohne diesen killswitch

Stimmt, im Detail  war es dann doch kein Killswitch in dem Sinn und der "Server" war eine schlichte domaine, welche der virus über einee dns abfrage ermitteln konnte. Muss mir die Geschichte mal noch ganz im Detail durchlesen.

Insgesamt war da dann wohl auch mehr als nur eine Gruppe am Werk wie mir scheint. Die letzte Attacke vor ein paar Tagen betraf ja quasi nur noch Russland.

Ich finds halt ein schönes Beispiel, wo die Fehler liegen. Eine dichte Firewall oder updatete Systeme hätten diie Infektion bereits verhindert - eine blinkende AV Software hingegen macht auch nicht viel mehr al der Windows Defender.