Frischfisch

fish life reporting


Hinterlasse einen Kommentar >

Seit heute sind vermehrt Emails aufgetaucht angeblich vom Amazon Support. Es ist ein Anhang enthalten mit einer Rechnung.

Diese Rechnung ist verpackt als .rar Datei (Archiv) und trägt keinen Dateinamen. Entpackt heißt der Anhang dann Rechnung_384783.scr (wobei die Rechnungsnnr. variiert).

Enthalten ist ein Trojaner Zbot. Löschen Sie diese Email sofort!

Der Mailtext lautet wie folgt:

 

Wenn Sie dieser E-Mail antworten, wird Amazon.de Ihre E-Mail-Adresse mit einer von Amazon bereitgestellten Adresse ersetzen, Um Ihre Identitat zu schutzen, und die Nachricht in Ihrem Namen weiterleiten. Um einen moglichen Betrug zu verhindern, setzt Amazon.de Filtertechniken ein. Nachrichten, die diesen Filter nicht passieren, werden nicht weitergeleitet. Amazon.de behalt Kopien aller uber diesen Service gesendeten und empfangenen E-Mails, einschlie?lich der Nachricht, die Sie hier eingeben. Amazon.de wird diese Kopien insbesondere zur Klarung von eingereichten A-bis-z-Garantie-Antragen heranziehen. Indem Sie diesen Dienst nutzen, erklaren Sie sich mit diesem Vorgehen einverstanden.

 

Weg damit in den Papierkorb!

Advertisements


2 Kommentare

iSCSI Target ist plötzlich verschwunden

Schöner Schock am frühen Morgen. Ich habe ein NAS Raid als iSCSI Target an zwei MS Server 2008r2 parallel eingehängt. 3.5 Tb an Daten liegen dort, beide Server greifen darauf zu und alles lief bis gestern lange Zeit einwandfrei.

Nun sah ich heute morgen das beide Server für dieses eingebundene Laufwerk verschiedene Inhalte anzeigte. Der erste Server zeigte keinerlei Änderungen mehr an die ich über den zweiten Server im Dateisystem ausgeführt hatte. Ich trennte das iSCSI Target am ersten Server und hing es wieder ans Ziel. Der Laufwerksbuchstabe erschien im Arbeitsplatz am Server, das Target wurde mir jedoch als RAW Laufwerk angezeigt und Windows Server fragte nach Formatieren des Datenträgers. HILFE! RAW verheißt nicht Gutes!

Am zweiten Server wollte ich noch ein paar Daten auf das Target schieben, da kamen schon die ersten Fehlermeldungen. Ressource steht nicht zur Verfügung. 😦
Erstmal das NAS neu starten. Nach dem Neustart war die Platte immer noch in RAW. 😦

Am zweiten Server trennte ich nun auch die Verbindung zum iSCSI Target und verband das Target im Anschluss wieder. Auch hier wird der Datenträger angezeigt, aber im RAW Format. 3.5 TB an Daten futsch! Jetzt wurde ich langsam nervös. Es gab keinen Backup von dem Target, die Daten wären futsch wenn ich sie nicht retten kann.

 

Einfache Abhilfe fand ich in der Eingabeaufforderung. Mit dem Befehl chkdsk f: /f  (wobei f: der zugewiesene Laufwerksbuchstabe ist)

Nachdem Checkdisk gefühlte 1 Million Einträge korrigiert hat ist Laufwerk F wieder als NTFS erkennbar. Alle Daten sind noch vorhanden. Puh, Glück gehabt.

chkdsk

 

Irgendwie ist die Sicherheitskennung der einzelnen Dateien sowie für das ganze Laufwerk verloren gegangen. Checkdisk hat es repariert.  Bei meiner ersten Recherche fand ich Hinweise auf Datenrettungssoftware. Bei 3.5 TB hätte alleine schon der Scan nach verlorenen Daten 4 – 5 Tage gedauert und die Dateien wären dann noch nicht mal wieder hergestellt. Daher mein Versuch mit chkdsk, hat ca. 5 Minuten gedauert. Viel Erfolg!

 


Ein Kommentar

Admin Tools online: Email Tester

Jeder Admin kennt die Situation. Ein Mitarbeiter ruft an und berichtet das er keine Emails empfängt. Für eine erste Analyse eignet sich

http://www.hq42.net/net_tools/test_email_addr.php

ganz gut. Einfach Emailadresse angeben und abwarten. Sofort weiß man wo man ansetzen muss um den Fehler zu beheben.

Auf der Seite sind weitere Tools vorhanden. DNS, PING etc sind online möglich. http://www.hq42.net/net_tools/index.php

Prädikat: Hilfreich. 10 Punkte von mir!

Natürlich auch für den Privatanwender sinnvoll wenn man die Fehlermeldungen deuten kann.

 

UPDATE: Leider ist dieser Service nicht mehr verfügbar. Schade drum. Ich hab ihn oft benutzt. Momentan nutze ich http://mxtoolbox.com für alle möglichen Tests die ich brauche. Auch ganz cool gemacht und von SPF, DKIM, DNS und weitere Services kann ich hier abfragen und Konfigurationsfehler auslesen.


Hinterlasse einen Kommentar

Cryptorbit: Erpressungs-Trojaner Bitcrypt entschlüsselt!

In letzter Zeit ist wieder einiges an Verschlüsselungsviren unterwegs. Letztens berichtete ich über eine Ransomware die sich Cryptorbit nennt und einem die Daten schreddert. Aufgrund der Tatsache das die Programmierer dieser Ransomware die Verschlüsselung nur auf 128 Stellen Länge gesetzt war ließ sich der RSA Schlüssel knacken. RSA 128 bedeutet eigentlich eine Schlüssellänge von 1024bit… dadurch das der aber nur 128 Stellen lang war müssen nur 426bit entschlüsselt werden was lediglich einige Stunden dauerte.

Mit diesem Schlüssel ist es nun möglich die Dateien wieder herzustellen. Zwar muss erstmal den Schlüssel wieder herstellen um dann die Dateien entschlüsseln zu können aber es gibt ein Perl Skript welches das erledigt. Fabien Perigaud, Cedric Pernet  von Airbus Defense Systems stellen dafür eine Analyse und das Skript zu Verfügung. Ich gehe davon aus das diverse Softwarebuden für Virensoftware darauf basierend Verschlüsselungstools veröffentlichen werden die für den Endverbraucher sicher einfacher zu bedienen sind als die Ausführung von Perl Skripten erlernen zu müssen. Blogbeitrag von Airbus Defense Systems         Perl Skript zum Dekodieren des Schlüssels

 

Hier ein Beitrag aus der Spiceworks Community der sehr hilfreich sein könnte:

http://community.spiceworks.com/topic/540722-4-days-to-pay-what-happens-when-you-pay-a-crypto-ransom?utm_campaign=0717&utm_medium=spotlight&utm_source=swemail

 

 


Hinterlasse einen Kommentar

Email erhalten: Fax von 049130…. von Fritzbox

Seit heute kursieren Emails die angeblich von dem Absender Fritzbox verschickt werden. Der Betreff lautet „Fax vom 049130“ oder „Fax vom 0303“ oder so ähnlich. Im Anhang befindet sich eine Datei „Telefax.zip“ oder „Faxsendung.zip“.

Löschen Sie diese Mail sofort. Der Anhang beinhaltet einen Trojaner, der von den meisten Virenscannern noch nicht erkannt wird. Malwarebytes erkennt ihn seit dem letzten Update als „Trojan.Crypt.NKN „

Es ist davon auszugehen das auch dieser Trojaner die Daten auf dem PC verschlüsselt. Vermutlich eine neue Ransomware. wie letztens von der Telekom oder Vodafone.


2 Kommentare

Cryptorbit: Alle Dateien sind verschlüsselt

Und schon ist die nächste Erpressersoftware unterwegs. Via Email wird zur Zeit viel Malware verschickt. Die Absender werden immer besser und verschicken täuschend gut aussehende Firmenmails. Meist von der Telekom, Vodafone oder sonstigen Anbietern. Hier ist es laut Anwender irgendeine Webseite gewesen die dies verursacht hat. Die Virensoftware hat wie so oft nicht reagiert.

Diese Ransom Ware entdeckte ich heute auf einem Windows Server. Sie ist vom PC auf die Netzwerkfreigaben „gesprungen“. Für die Firma ein Riesenausfall. Niemand kann arbeiten bis die Daten wiederhergestellt und die Server wieder sauber sind.

Heute sind alle Fotos, Dokumente und andere Dateien in den Netzwerkfreigaben verschlüsselt. Zusätzlich findet sich in jedem Verzeichnis zwei Dateien. Eine Gif Datei und ein Textdokument. Die GIF Datei fordert dazu auf einen Tor Browser zu installieren. Tun Sie das nicht!!!! Im Text steht der gleich Wortlaut.

cryptorbit

Im Gegensatz zur letzte Ransom Ware Seuche behalten diese Dateien ihren Dateinamen bei und werden nicht umbenannt.

Wo diese Seuche herkommt und wie man Sie wieder los wird muss ich jetzt erstmal recherchieren. Ich halte Sie auf dem Laufenden, bleiben Sie dran

EIN HINWEIS!:

Wenn man mit Google nach dieser Seuche sucht werden viele Ergebnisse angezeigt. Die ersten Suchergebnisse führen zu Webseiten die dazu verleiten eine Entfernungssoftware zu installieren. Laden Sie keine Software aus unbekannten Quellen runter! Meist wird SpyHunter zum Entfernen empfohlen und direkt als Download angeboten. SpyHunter entfernt nichts, es nistet sich ein und installiert noch mehr unerwünschtes Zeugs welches buntes Icons auf dem Desktop ablegt. Was Sie auch nicht tun sollten ist der Anleitung in der Textdatei oder im GIF zu folgen. Selbst wenn Sie tausend Euro bezahlen wird dadurch nichts rückgängig gemacht. Die Dateien bleiben zerstört.

Wichtig wäre den Infektionsweg nachvollziehen zu können. Wenn Sie auch betroffen sind wäre ich Ihnen dankbar wenn Sie einen Kommentar hinterlassen wie der Virus auf Ihr System kam. Vielen Dank dafür.

 

[update]

 

Hier ein Beitrag aus der Spiceworks Community der sehr hilfreich sein könnte:

http://community.spiceworks.com/topic/540722-4-days-to-pay-what-happens-when-you-pay-a-crypto-ransom?utm_campaign=0717&utm_medium=spotlight&utm_source=swemail

[/update]


2 Kommentare

Emails von der Telekom: Ihre Telekom Mobilfunk RechnungOnline für Geschäftskunden

Es ist wieder eine Seuche unterwegs. Angebliche Emails von der Telekom und von Vodafone verunsichern viele Anwender. Die Email sollte sofort gelöscht werden. Einige Antivirenprogramme wie Eset erkennen die Email  bei der Mailprüfung.

Sehr geehrte Kundin,
sehr geehrter Kunde

Im Anhang finden Sie die gewünschten Dokumente und Daten zu Ihrer Telekom Mobilfunk RechnungOnline für Geschäftskunden vom Monat Januar,
Download (Ihre Telekom Mobilfunk RechnungOnline für Geschäftskunden 146250430892942956 vom 10.01.2014 des Kundenkontos 815860918126).

Mit freundlichen Grüßen,
Geschäftskundenservice

Telekom Deutschland GmbH
Aufsichtsrat: Timotheus Höttges Vorsitzender
Geschäftsführung: Niek Jan van Damme Sprecher, Thomas Dannenfeldt, Thomas Freude, Michael Hagspihl, Dr. Bruno Jacobfeuerborn, Dietmar Welslau, Dr. Dirk Wössner
Eintrag: Amtsgericht Bonn, HRB 59 19, Sitz der Gesellschaft Bonn
USt-Id.Nr.: DE 989547356207
WEEE-Reg.-Nr.: 547701478547

 

Von Vodafone ist die Email mit gleichem Wortlaut unterwegs:

 Absender: "Vodafone" <OnlineRechnung@vodafone.com>
 Betreff: Ihre Rechnung vom 17.01.2014 Nr. 0984726507499942

Der Link im Mailtext  führt zu einer russischen Malwareseite. Haben Sie den Link aus Versehen angeklickt wird über den Browser Malware auf Ihrem Rechner installiert wenn Sie den angeboten Download runterladen, entpacken und doppel klicken. Ich habe den Link bei Virustotal prüfen lassen:

virust

Sollten Sie den Link angeklickt haben wird Ihnen ein Download angeboten. Bitte klicken Sie nicht auf den Link, laden Sie nichts runter. Entpacken Sie nichts. Löschen Sie die Email sofort. Die runtergeladene Datei installiert eine Backdoor und ermöglich so Zugriff auf Ihren PC.

Falls es doch passiert ist empfehle ich an dieser Stelle Malwarebytes und einen kompletten Scan des Systems. Wenn ich weitere Informationen über die Infektion habe werde ich diese hier reinschreiben. Bleiben Sie dran.

 

 

Die Telekom selbst gibt Hilfe für die Erkennung von Emails und schreibt auf Ihrer Webseite:

Woran erkenne ich die Echtheit meiner Rechnung per E-Mail von der Telekom (rechnung-online@telekom.de)?

Die Echtheit unserer Rechnung per E-Mail erkennen Sie an folgenden Merkmalen:

  • Sie werden -außer bei Firmen- in der E-Mail persönlich angesprochen.
  • Ihre exakte Buchungskontonummer steht in der Betreffzeile.
  • Es sind keine Rechnungs- oder Kundennummern angegeben.
  • Die E-Mail enthält keine Passwörter.
  • Die Rechnung (ohne digitale Signatur) ist nur als Datei mit der Endung *.pdf angehängt.
  • In der Benachrichtigung per E-Mail ist niemals eine Datei enthalten.

Die Telekom kann jedoch keine Garantie dafür übernehmen, dass nicht auch gefälschte E-Mails diese Merkmale enthalten.

Sie können den Rechnungsbetrag aus der E-Mail jederzeit im Kundencenter überprüfen, indem Sie dort Ihre Rechnung ansehen. Der darin angegebene Rechnungsbetrag ist in jedem Fall richtig. Weist Ihr Rechnungsanschreiben einen anderen Betrag aus, handelt es sich um eine gefälschte E-Mail, die Sie umgehend löschen sollten.

Weiterer Hinweis zu betrügerischen E-Mails:
Betrüger nutzen oft hohe, unleserliche oder ungewöhnliche Rechnungsbeträge in der E-Mail, um den Empfänger zu veranlassen, Anhänge zu öffnen oder auf Links zu klicken. Durch Fälschen des Absenders der Telekom Deutschland GmbH wird versucht, die Echtheit der E-Mail vorzutäuschen. Gefälschte E-Mails erreichen den Empfänger meist an einem Tag, an dem die Rechnung per E-Mail nicht erwartet wird und unterscheiden sich beim Vergleich (siehe oben) mit der E-Mail der Deutschen Telekom GmbH vom Vormonat.