Ledger (Live) - Angebote / Diskussion / Hilfe

[mole0815]

Ist überhaupt 100%-ig sichergestellt, dass es ein externer Hack war oder kann es auch ein eigener Mitarbeiter gewesen sein, der die Datenbank mitgenommen hat?
Und kann man irgendwie verfolgen, wie die Datenschutzbehörde in Frankreich nun vorgeht?

Da schon im Juli externe Firmen beauftragt wurden die Sache zu untersuchen gehe ich schon davon aus dass das aufgeflogen wäre. Obwohl damals war Leder auch der Meinung es wären nur 9000 und nicht 270000 Datensätze in die falschen Hände gelangt


Viel wichtiger ist aber folgende Sache... mein Windows Defender hat sich heute Früh gemeldet:


Das ist das Textfile von Ledger!
Also falls ihr das auch zur Durchsicht runtergeladen habt könnte euch das Problem durchaus auch betreffen

Hier noch ein Google Treffer zu dem Thema:
https://forums.malwarebytes.com/topic/262961-puawin32coinminer-help/
https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/coinminer-malware

[1715594549]

1715594549

[1715594549]

1715594549

[1715594549]

1715594549

[Soonandwaite]

Na Mole. Will ja nicht wissen wie viele Wallets du schon mal geladen hast.
Oder mines du jetzt schon Coins für andere Leute  
Spaß beiseite: Ist wirklich alles sehr bedenklich. Egal welche Wallet oder Software man installiert und deinstalliert. Es bleiben immer Reste zurück.
Falls jemand nicht 100%tig weiß wie man so etwas los wird kann ich diese Seite empfehlen. Die gibt es schon zig Jahre und fast alle Probleme sind dort zu finden
und anschließend zu lösen. Boooh.Ist ja echt Off-Topic.Aber für den einen oder anderen doch interessant

https://www.trojaner-board.de/   

[mole0815]

Na Mole. Will ja nicht wissen wie viele Wallets du schon mal geladen hast.
Oder mines du jetzt schon Coins für andere Leute  
Spaß beiseite: Ist wirklich alles sehr bedenklich. Egal welche Wallet oder Software man installiert und deinstalliert. Es bleiben immer Reste zurück.

Wenige... quasi 0 da dieser Client hier neu ist.
Ich habe aber letzte Woche die 2 Ledger Leak .txt files geladen und eines davon wurde jetzt vom Windows Defender als Bedrohung eingestuft und auch bereinigt.

Hat jemand die Files bei der Hand und könnte sie z.B. hier: https://www.virustotal.com/gui/ prüfen lassen?
Dachte ja eigentlich die Textfiles wären unbedenklich aber aktuell bin ich mir da nicht so sicher. Ist aber auch alles noch ganz frisch und ich habe noch nicht viel recherchiert.

[Lakai01]

Hat jemand die Files bei der Hand und könnte sie z.B. hier: https://www.virustotal.com/gui/ prüfen lassen?
Dachte ja eigentlich die Textfiles wären unbedenklich aber aktuell bin ich mir da nicht so sicher. Ist aber auch alles noch ganz frisch und ich habe noch nicht viel recherchiert.

Ich hab mir die Files auch geladen, weder mein lokaler Scaner noch ein extra eingesetzter Online-Scanner hat da etwas Auffälliges bemerkt. Wüsste rein technisch auch nicht, wie ein *.txt-File (welches tatsächlich auch eines ist) in irgendeiner Art gefährlich sein könnte, da die ja nicht ausgeführt werden?

Habe jetzt auch beide Files auf virustotal.com hochgeladen, beide Male ein negatives Ergebnis?

[mole0815]

Super danke für die Prüfung.
Ich habe jetzt noch wie auch hier im Microsoft Hilfeforum (klick mich) empfohlen den AdwCleaner von Malwarebytes geladen.

Das Teil hat 2 Bedrohungen gefunden und auch bereinigt. Die Datei vom Ledger Leak war nicht dabei da sie ja bereits vom Defender bereinigt wurde. Das war jetzt noch zur Sicherheit... Bin jetzt mal wieder beruhigt und falls jemand das gleiche Verhalten bei seinem Windows feststellt steht hier ja ab sofort alles was relevant ist

[asche]

So kann man mit einer "txt" datei einen Trojan verbreiten.

https://fr.scribd.com/doc/49319507/How-to-Sent-a-Trojan-Horse-Virus-as-Txt-File

Wenn es sich tatsächlich NUR um eine TXT Datei handelt (zb zum öffnen Rechtsklick > Editieren) besteht kein Risiko. Da wird die Datei nämlich Direkt mit Notepad/Notepad ++ geöffnet, und es kann nichts passieren.

[mole0815]

Wenn es sich tatsächlich NUR um eine TXT Datei handelt (zb zum öffnen Rechtsklick > Editieren) besteht kein Risiko.

Gut danke dann bin ich (nochmal) beruhigter.
Ich hatte so ein Problem noch nie und hatte auch noch nie davon gehört... kA. warum mein Defender heute Alarm geschlagen hat.
Die Datei wurde auf jeden Fall bereinigt und das ist auch gut so. Benötige sie nicht da es nur zum Check war ob ich betroffen bin.

Lt. meiner Recherche gibt es die win32/coinminer Probleme im Normalfall mit div. Freewareprogrammen und dann eben .dll oder auch gerne mal der electrum-3.3.8-portable.exe -> Aber nie in Verbindung mit einem .txt File. Aber gut lieber 1x zu viel Alarm geschlagen als 1x zu wenig.

[bct_ail]

Lakai01 und mole085, habt ihr die Dateien auch von der gleichen Quelle bezogen?

[mole0815]

Lakai01 und mole085, habt ihr die Dateien auch von der gleichen Quelle bezogen?

Vermutlich schon. Ganz am Beginn gab es nur diese eine Quelle... weiß noch wo meine Datei her ist und werde sie ggf. morgen nochmal in Ruhe laden und abwarten/testen was der Windows Defender damit macht.

Finde es sehr komisch dass der heute nachdem ich das Textfile schon X Tage am PC hatte abgeschlagen hat. Werde berichten ob sich das Verhalten reproduzieren lässt oder es ein unerklärliches Phänomen bleibt.

[asche]

Lakai01 und mole085, habt ihr die Dateien auch von der gleichen Quelle bezogen?

Vermutlich schon. Ganz am Beginn gab es nur diese eine Quelle... weiß noch wo meine Datei her ist und werde sie ggf. morgen nochmal in Ruhe laden und abwarten/testen was der Windows Defender damit macht.

Finde es sehr komisch dass der heute nachdem ich das Textfile schon X Tage am PC hatte abgeschlagen hat. Werde berichten ob sich das Verhalten reproduzieren lässt oder es ein unerklärliches Phänomen bleibt.

Es handelt sich einfach um etwas das man Heuristik nennt.
Dein Programm sucht nach Merkmalen das es von anderen Viren kennt. Bei so einer Fetten TXT datei kann es gerne mal vorkommen das dort manche algortihmen fehlerhaft Alarm geben.

Das Programm schaut nämlich nicht wie die Datei aufgebaut ist, bzw. ob es überhaupt möglich ist schaden zuzufügen, sondern nur ob ein Teil der Datei anderen Virendateien ähnelt

[bob123]

Wenn es sich tatsächlich NUR um eine TXT Datei handelt (zb zum öffnen Rechtsklick > Editieren) besteht kein Risiko. Da wird die Datei nämlich Direkt mit Notepad/Notepad ++ geöffnet, und es kann nichts passieren.

In der Regel zumindest.
Gab auch schon Schwachstellen in Texteditoren, die dann ausgenutzt wurden um Code auszuführen. Unmöglich ist das also nicht.

Aber um mal wieder Bezug auf die .txt Datei der gelakten Mails zu nehmen: Weiß nicht wo ihr die her habt, aber meine Datei ist tatsächlich nur eine Textdatei.

Hat jemand die Files bei der Hand und könnte sie z.B. hier: https://www.virustotal.com/gui/ prüfen lassen?

Nur weil virustotal nicht anschlägt heißt das nicht, dass es sich um keine Malware handelt.

[mole0815]

Es handelt sich einfach um etwas das man Heuristik nennt.
Dein Programm sucht nach Merkmalen das es von anderen Viren kennt. Bei so einer Fetten TXT datei kann es gerne mal vorkommen das dort manche algortihmen fehlerhaft Alarm geben.

Das Programm schaut nämlich nicht wie die Datei aufgebaut ist, bzw. ob es überhaupt möglich ist schaden zuzufügen, sondern nur ob ein Teil der Datei anderen Virendateien ähnelt

Verstehe aktuell nur nicht warum mein Defender der einzige seiner Art sein sollte der hier ein Problem erkennt... habe die gleiche Datei heute auf einem anderen Client (auch Windows 10 Letztstand inkl. aller Updates) runtergeladen und direkt im Anschluss gab es diese Meldung:

Heute ist es also Trojan:Script/Foretype.A!ml

Werde es jetzt einfach dabei belassen denn ich benötige die Daten nicht... war nur die Gegenprobe und auch da gab es wieder ein Problem. Vielleicht betrifft es ja in Zukunft noch jemanden.

Falls jemand auch gerne drübergucken würde kann ich sie direkt in Telegram weiterleiten. Interessant wäre es ja irgendwie schon ob sonst auch noch jemand ein paar Ungereimtheiten feststellen kann.

//edit: es sind ja 2 Dateien. Die mit den Mailadressen sorgt für die Probleme. Die Datei in der alle Infos enthalten sind ist auch lt. meinen 2 Systemen safe.

[bob123]

Verstehe aktuell nur nicht warum mein Defender der einzige seiner Art sein sollte der hier ein Problem erkennt...

Weil Windows Software... naja.. nicht grad die beste ist 
False Positives stehen da an der Tagesordnung. Genauso wie False Negatives 

Falls jemand auch gerne drübergucken würde kann ich sie direkt in Telegram weiterleiten. Interessant wäre es ja irgendwie schon ob sonst auch noch jemand ein paar Ungereimtheiten feststellen kann.

Wenn es dich interessiert ob an der Datei wirklich was faul ist, dann kannst du sie mir gerne per Mail schicken. Hab dir eine PM gesendet.

[asche]

In der Regel zumindest.
Gab auch schon Schwachstellen in Texteditoren, die dann ausgenutzt wurden um Code auszuführen. Unmöglich ist das also nicht.

Unmöglich gibt es bei hacking eh nicht.
Bulletproof gibt es nicht.

Ist aber halt extrem unwarscheinlich, bzw nicht bekannt. Sonst gäbe es bei software wie Notepad sofort einen Security Patch für so was.

[bob123]

Ist aber halt extrem unwarscheinlich, bzw nicht bekannt. Sonst gäbe es bei software wie Notepad sofort einen Security Patch für so was.

Bzw. war bekannt und wurde daraufhin gefixt.

Es gab Remote Code Execution Schwachstellen schon bei Notepad und Notepad++.
Selbstverständlich wurde beides gemeldet und auch gefixt. 

Aber sooo extrem unwahrscheinlich muss das garnicht sein 

[Lakai01]

Falls jemand auch gerne drübergucken würde kann ich sie direkt in Telegram weiterleiten. Interessant wäre es ja irgendwie schon ob sonst auch noch jemand ein paar Ungereimtheiten feststellen kann.

Wenn es dich interessiert ob an der Datei wirklich was faul ist, dann kannst du sie mir gerne per Mail schicken. Hab dir eine PM gesendet.

Rein Interesse halber ... was würdest du dir da ansehen um das rauszufinden?
Also im Falle des Files, welches ich auch habe und definitiv ein Textfile ohne ausführbaren Code ist würd mich das sehr interessieren!

Dass als txt getarnte Binärdateien Schadcode enthalten können ist klar, hier bei diesen Dateien fehlt mir einfach etwas der Ansatzpunkt was es da haben könnte

[Soonandwaite]

Jetzt trudeln noch Scam Mails von Ledger <ledger-support @ peugeot. com.br>    ein . Peugeot... ein Autoname im Absendertext.
Mal sehen wer die noch so alles bekommt in den nächsten Tagen

 Lieber XXXXXXXXXXX,

wir bedauern, Ihnen mitteilen zu müssen, dass eine Sicherheitslücke aufgetreten ist, von der ca. 57.000 unserer Kunden betroffen sind, und dass die mit Ihrer E-Mail-Adresse verknüpfte Brieftasche zu denjenigen gehört, die von der Lücke betroffen sind.

Am Mittwoch, den 23. Dezember 2020, hat unser Forensik-Team nämlich festgestellt, dass mehrere der Live-Administrationsserver mit Malware infiziert sind.

Zum jetzigen Zeitpunkt ist es technisch nicht möglich, den Schweregrad und das Ausmaß der Datenpanne abschließend zu beurteilen. Aufgrund dieser Umstände müssen wir davon ausgehen, dass Ihre Kryptowährungswerte in Gefahr sind, gestohlen zu werden.

Wenn Sie diese E-Mail erhalten, liegt es daran, dass Sie von der Verletzung betroffen sind. Um Ihr Vermögen zu schützen, aktualisieren Sie bitte Ihre 24-Wörter-Phrase und folgen Sie den Anweisungen, um eine neue PIN für Ihre Wallet einzurichten.

Mit freundlichen Grüßen, Support-Team

  

[bob123]

Rein Interesse halber ... was würdest du dir da ansehen um das rauszufinden?
Also im Falle des Files, welches ich auch habe und definitiv ein Textfile ohne ausführbaren Code ist würd mich das sehr interessieren!

Dass als txt getarnte Binärdateien Schadcode enthalten können ist klar, hier bei diesen Dateien fehlt mir einfach etwas der Ansatzpunkt was es da haben könnte

Bei einem Text File ist es relativ einfach.

Zunächst habe ich mir etwaige Header angeschaut. Das Kommandozeilen Tool file liefert folgendes zurück:

Code:

$ file All\ Emails\ \(Subscription\).txt
All Emails (Subscription).txt: Non-ISO extended-ASCII text, with CRLF line terminators

Scheint also tatsächlich eine Text Datei mit "komischen" Zeichen zu sein.
Das anschauen der ersten Bytes der Datei bestätigt das:

Code:

$ od -bc All\ Emails\ \(Subscription\).txt | head
0000000 151 156 166 151 163 164 141 100 160 157 163 164 145 157 056 141
          i   n   v   i   s   t   a   @   p   o   s   t   e   o   .   a
0000020 164 015 012 147 162 141 156 056 162 165 163 100 147 155 141 151
          t  \r  \n   g   r   a   n   .   r   u   s   @   g   m   a   i
0000040 154 056 143 157 155 015 012 141 156 164 150 157 156 171 056 162
          l   .   c   o   m  \r  \n   a   n   t   h   o   n   y   .   r
0000060 151 154 145 171 100 160 162 157 160 145 170 056 156 145 164 056
          i   l   e   y   @   p   r   o   p   e   x   .   n   e   t   .
0000100 141 165 015 012 164 150 165 150 157 156 147 056 166 157 071 061
          a   u  \r  \n   t   h   u   h   o   n   g   .   v   o   9   1

Ist also tatsächlich eine Text Datei.
Um nun sicher zu sein, dass nicht etwaige Decoding bzw. Parsing Schwachstellen ausgenutzt werden, habe ich alle Mail Adressen aus der Datei extrahiert und in einer neuen Datei gespeichert:

Code:

$ grep -E "\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,6}\b" All\ Emails\ \(Subscription\).txt >> test.txt

Ein kurzer Vergleich zeigt, dass die originale Datei mehr Zeilen/Einträge enthält als meine extrahierten Mails:

Code:

$ wc -l All\ Emails\ \(Subscription\).txt
1075381 All Emails (Subscription).txt

$ wc -l test.txt
1074653 test.txt

Konkret kommen also noch 728 Zeilen in Frage.
Da das eine überschaubare Menge ist, habe ich sie mir mithilfe von diff anzeigen lassen.
Der Großteil waren hierbei Mail Adressen, die nicht von meinem Pattern erfasst wurden. Ein etwas interessanterer (und komischer) Eintrag war allerdings dieser:

Code:

$ cat All\ Emails\ \(Subscription\).txt | grep HTTP -B 1 -A 9
=-=-=-{   Заголовки   }-=-=-=
HTTP/1.1 200 OK
Date
Content-Type
Transfer-Encoding
Connection
Server
Vary
Request-Time
=-=-=-{   Куки   }-=-=-=
=-=-=-{   Тело ответа   }-=-=-=

Die drei russischen Textbausteine entsprechen: "Header", "Cookie" und "Response body".

Dies scheint einfach nur ein Eintrag zu sein, der nicht hätte hier stehen müssen, aber nichts "anstellen" kann.
Möglicherweise eine schlampige Programmierung. Anders kann ich mir diesen leeren Request nicht erklären.

Auf jeden Fall ist damit klar, dass es sich einfach um eine "normale" Text Datei mit Sonderzeichen handelt und definitiv keinen Parsing Exploit oder ähnliches enthält.

[mole0815]

Auch hier nochmal danke für die Prüfung bob123! Interessant zu sehen welche Schritte du unternommen hast.
Bin schon etwas beruhigter seit gestern da mehrfach bestätigt wurde, dass das eigentlich nur ein Problem vom Defender sein kann.
Frage mich nur warum meine 2 Clients (zumindest lt. kurzer Google Recherche) die einzigen waren mit diesem falschen Alarm.

Die Datei könnte eigentlich noch hier hochgeladen werden: https://www.microsoft.com/en-us/wdsi/filesubmission/
aber da sich das Zeug wieder irgendwie mit meinem Windows-Domänen-Account verbandeln möchte lasse ich es einfach

Danke nochmal und umso besser wenn es nur falscher Alarm war. Vielleicht schafft es der Defender ja trotzdem die 2 Ledger Leak Files von allen Clients der Welt zu bereinigen
(Klar dass da nicht passieren kann. Nur Spaß)

[Lakai01]

Auch von mir vielen Dank für die ausführliche Antwort! Wieder was gelernt

Bin schon etwas beruhigter seit gestern da mehrfach bestätigt wurde, dass das eigentlich nur ein Problem vom Defender sein kann.

Habe nach deiner Meldung auch kurz danach gegoogelt und ebenfalls nichts gefunden, ist also tatsächlich sehr komisch, dass da nur bei dir der Defender angesprungen ist. Aber lieber einmal eine false-positive Meldung als eine nicht erkannte Schadsoftware