Fax.troj
Donnerstag, 25.2.2016, 08:04 > daMax
Der beliebte Erpressungstrojaner Locky tarnt sich seit neuestem als Fax. Technology full-circle 
8 Meinungen zu “Fax.troj”
Antworten
Das Kleingedruckte:
Halte Dich bitte an die Spielregeln. Welche Emoticons du verwenden kannst, steht hier.
Um hier kommentieren zu können, musst Du einen beliebigen Namen sowie eine beliebige E-Mail-Adresse angeben. Diese Daten werden dann erstmal zur Spamerkennung in die USA geschickt, dort und danach auch auf meinem Server gespeichert. Mit dem Absenden Deines Kommentars erklärst Du Dich damit und den hier geltenden Datenschutzbestimmungen (insbesondere dem Abschnitt Kommentarfunktion) einverstanden. Wenn Du damit nicht einverstanden bist, lass das Kommentieren bleiben, aber dann deinstalliere bitte auch sofort WhatsApp und verabschiede Dich von Facebook. Kommentarabonnements werden automatisch nach 3 Monaten gelöscht.
Wer HTML kann, ist klar im Vorteil. Diese Tags sind erlaubt:
Bei der Menge an Spam-Kommentaren passiert es hin und wieder, dass ein Kommentar vom Spamfilter gefressen wird. Bitte sei mir nicht böse aber ich habe weder Zeit noch Lust, solch verloren gegangenen Kommentaren hinterher zu forschen. Wenn das öfters passiert, schreib' mir 'ne Mail damit ich dich whitelisten kann.
Halte Dich bitte an die Spielregeln. Welche Emoticons du verwenden kannst, steht hier.
Um hier kommentieren zu können, musst Du einen beliebigen Namen sowie eine beliebige E-Mail-Adresse angeben. Diese Daten werden dann erstmal zur Spamerkennung in die USA geschickt, dort und danach auch auf meinem Server gespeichert. Mit dem Absenden Deines Kommentars erklärst Du Dich damit und den hier geltenden Datenschutzbestimmungen (insbesondere dem Abschnitt Kommentarfunktion) einverstanden. Wenn Du damit nicht einverstanden bist, lass das Kommentieren bleiben, aber dann deinstalliere bitte auch sofort WhatsApp und verabschiede Dich von Facebook. Kommentarabonnements werden automatisch nach 3 Monaten gelöscht.
Wer HTML kann, ist klar im Vorteil. Diese Tags sind erlaubt:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>
Bei der Menge an Spam-Kommentaren passiert es hin und wieder, dass ein Kommentar vom Spamfilter gefressen wird. Bitte sei mir nicht böse aber ich habe weder Zeit noch Lust, solch verloren gegangenen Kommentaren hinterher zu forschen. Wenn das öfters passiert, schreib' mir 'ne Mail damit ich dich whitelisten kann.
Artikel als RSS
Meine erste Tastatur hatte noch viel viel geilere…
Die Meldung ist schon der Zeit hinterher. Jetzt ganz frisch beim Schadsoftwaredistributor Ihres Vertrauens: Locky als PDF-Attachment:
http://www.heise.de/forum/heise-Security/News-Kommentare/Neue-Virenwelle-Krypto-Trojaner-Locky-tarnt-sich-als-Fax/Der-Locky-nervt-einfach-nur/posting-24571421/show/
Prima. Vielleicht hören dann die überspezifischen Hinweise ("Öffne keine Emails von einer Wurstwarenfabrik") mal auf und wir kommen auf das Grundkonzept der Anwendung von Intelligenz zurück. Kenne ich den Absender? Was sagt mir der Betreff? Erwarte ich eine Mail? Noch dazu mit Attachment?
Warum ich da so erbarmungslos bin: Vor kurzem reichte mir eine Kollegin an der Arbeit eine Mail weiter. Es war eine Phishing-Mail von (scheinbar) PayPal, die unseren Spam-/Schadsoftwarefilter durchschlagen hat. Sie solle eine wohl unberechtigte Abbuchung von Ihrem PayPal-Konto prüfen. Sie wollte wissen, was sie jetzt mit PayPal klären muß und wie sie sich da anmeldet. WHAT!?!. Meine Frage: "Haben Sie überhaupt ein PayPal-Konto?". Sie: "Nein." Darauf ich: "Und wieso machen Sie sich dann Sorgen statt die Mail einfach zu löschen?". Herrjesses nochmal.
Ein anderes Beispiel habe ich ja letzte Tage schon geschildert.
My oh my. Locky: Lernen durch Schmerz. Gerne auch in immer neuen Geschmacksrichtungen. Und wenn dadurch die unselige Hin- und Hersenderei von Dokumenten mit aktiven Inhalten (Office, PDF) endlich diskreditiert wird, um so besser. Und nein, ein unverlangt zugesandtes Bild muß nicht "Anna Kournikova Naked" heißen, um Schadsoftware zu enthalten. Lernt es endlich! Ich kann kein Mitleid empfinden. Sorry.
Anwesende sind vom Rant - wie immer - ausgenommen.
Nur mal interessehalber geguckt, ob uns die Mails mit den "Fax"-Attachments von SipGate erreichen können. Wir werten hier SPF-Records aus, um Spoofer gleich an der Tür abzuweisen. "sipgate.de" hat einen SPF-Record. Ich wollte schon zu einem Lob ansetzen, dann sehe ich genauer hin:
"v=spf1 a mx a:mail-in.netzquadrat.de a:mx01.sipgate.net a:mx02.sipgate.
net include:aspmx.googlemail.com include:mail.zendesk.com ~all"
Bitte WAS? "~all" am Ende? Ooooch Leuteeee. Ihr machts den Spoofern aber auch wirklich einfach. Da hat ein "-all" zu stehen, sonst nix. Punkt!
… ein Überfax also?
@OldFart: Bahnhof
@da]v[ax:
Ein SPF-Record wird im DNS hinterlegt und definiert die zulässigen Mailserver, die Mails mit Absendeadressen dieser Domain versenden dürfen. Kurz gesagt: Der Eigentümer der Domain erklärt der Welt, daß Emails mit seinem Domänennamen als Absender nur von definierten Mailern aus kommen. Wer nicht in der Positivliste steht, nutzt die Absendeadresse mißbräuchlich. Diese Information kann beim Empfänger genutzt werden, um gefälsche Absender zu erkennen und die Mails direkt abzulehnen.
Am Ende der Positivliste von Mailservern steht eine "Default"-Anweisung, was passieren soll, wenn eine Mail NICHT von einem positiv gelisteteten Server kommt.
Wer immer sich "+all" als Default ausgedacht hat, muß vollgedröhnt gewesen sein. Das heißt: Trotzdem annehmen. Sehr sinnvoll.
"~all" heißt: Ist zwar nicht von uns, aber nimms trotzdem. Denk Dir was aus, was Du damit machst. Ergebnis: Die Mail wird im Wissen um die Absenderfälschung zugestellt. Unterschied zu "+all": Die Mail soll irgendwie "markiert" werden. Als ob das wen interessiert, wenns erstmal in der Mailbox liegt ...
Die einzig richtige Defaultanweisung ist also: "-all". Das steht für "nicht autorisiert - ablehen".
bin ich eigentlich paranoid, oder könnte diese schwemme an erpressungs-trojanern mit dem niedergang des bitcoin zusammenhängen? wenn die nachfrage nach diesen steigt, steigt der kurs, right? genau damit hatte dieses ponzi-scheme doch seit (haha) "neustem" zu kämpfen; und wenn ich mich nicht irre, sollen die opfer *grundsätzlich* in bitcoins zahlen (wieso nicht safePay?), um ihre daten wiederzubekommen. wurde der gedanke schon irgendwo geäussert?
oder ist das offensichtlich und ich nur stoned?
@DasKleineTeilchen: nee, das hatte ich so noch nicht gehört. Klingt zwar nicht gänzlich verkehrt, vielleicht denken Erpresser aber auch gar nicht so weit.