Frischfisch

fish life reporting


Ein Kommentar

Admin Tools online: Email Tester

Jeder Admin kennt die Situation. Ein Mitarbeiter ruft an und berichtet das er keine Emails empfängt. Für eine erste Analyse eignet sich

http://www.hq42.net/net_tools/test_email_addr.php

ganz gut. Einfach Emailadresse angeben und abwarten. Sofort weiß man wo man ansetzen muss um den Fehler zu beheben.

Auf der Seite sind weitere Tools vorhanden. DNS, PING etc sind online möglich. http://www.hq42.net/net_tools/index.php

Prädikat: Hilfreich. 10 Punkte von mir!

Natürlich auch für den Privatanwender sinnvoll wenn man die Fehlermeldungen deuten kann.


Hinterlasse einen Kommentar

Cryptorbit: Erpressungs-Trojaner Bitcrypt entschlüsselt!

In letzter Zeit ist wieder einiges an Verschlüsselungsviren unterwegs. Letztens berichtete ich über eine Ransomware die sich Cryptorbit nennt und einem die Daten schreddert. Aufgrund der Tatsache das die Programmierer dieser Ransomware die Verschlüsselung nur auf 128 Stellen Länge gesetzt war ließ sich der RSA Schlüssel knacken. RSA 128 bedeutet eigentlich eine Schlüssellänge von 1024bit… dadurch das der aber nur 128 Stellen lang war müssen nur 426bit entschlüsselt werden was lediglich einige Stunden dauerte.

Mit diesem Schlüssel ist es nun möglich die Dateien wieder herzustellen. Zwar muss erstmal den Schlüssel wieder herstellen um dann die Dateien entschlüsseln zu können aber es gibt ein Perl Skript welches das erledigt. Fabien Perigaud, Cedric Pernet  von Airbus Defense Systems stellen dafür eine Analyse und das Skript zu Verfügung. Ich gehe davon aus das diverse Softwarebuden für Virensoftware darauf basierend Verschlüsselungstools veröffentlichen werden die für den Endverbraucher sicher einfacher zu bedienen sind als die Ausführung von Perl Skripten erlernen zu müssen. Blogbeitrag von Airbus Defense Systems         Perl Skript zum Dekodieren des Schlüssels

 

Hier ein Beitrag aus der Spiceworks Community der sehr hilfreich sein könnte:

http://community.spiceworks.com/topic/540722-4-days-to-pay-what-happens-when-you-pay-a-crypto-ransom?utm_campaign=0717&utm_medium=spotlight&utm_source=swemail

 

 


Hinterlasse einen Kommentar

Email erhalten: Fax von 049130…. von Fritzbox

Seit heute kursieren Emails die angeblich von dem Absender Fritzbox verschickt werden. Der Betreff lautet „Fax vom 049130“ oder „Fax vom 0303“ oder so ähnlich. Im Anhang befindet sich eine Datei „Telefax.zip“ oder „Faxsendung.zip“.

Löschen Sie diese Mail sofort. Der Anhang beinhaltet einen Trojaner, der von den meisten Virenscannern noch nicht erkannt wird. Malwarebytes erkennt ihn seit dem letzten Update als „Trojan.Crypt.NKN „

Es ist davon auszugehen das auch dieser Trojaner die Daten auf dem PC verschlüsselt. Vermutlich eine neue Ransomware. wie letztens von der Telekom oder Vodafone.


2 Kommentare

Cryptorbit: Alle Dateien sind verschlüsselt

Und schon ist die nächste Erpressersoftware unterwegs. Via Email wird zur Zeit viel Malware verschickt. Die Absender werden immer besser und verschicken täuschend gut aussehende Firmenmails. Meist von der Telekom, Vodafone oder sonstigen Anbietern. Hier ist es laut Anwender irgendeine Webseite gewesen die dies verursacht hat. Die Virensoftware hat wie so oft nicht reagiert.

Diese Ransom Ware entdeckte ich heute auf einem Windows Server. Sie ist vom PC auf die Netzwerkfreigaben „gesprungen“. Für die Firma ein Riesenausfall. Niemand kann arbeiten bis die Daten wiederhergestellt und die Server wieder sauber sind.

Heute sind alle Fotos, Dokumente und andere Dateien in den Netzwerkfreigaben verschlüsselt. Zusätzlich findet sich in jedem Verzeichnis zwei Dateien. Eine Gif Datei und ein Textdokument. Die GIF Datei fordert dazu auf einen Tor Browser zu installieren. Tun Sie das nicht!!!! Im Text steht der gleich Wortlaut.

cryptorbit

Im Gegensatz zur letzte Ransom Ware Seuche behalten diese Dateien ihren Dateinamen bei und werden nicht umbenannt.

Wo diese Seuche herkommt und wie man Sie wieder los wird muss ich jetzt erstmal recherchieren. Ich halte Sie auf dem Laufenden, bleiben Sie dran

EIN HINWEIS!:

Wenn man mit Google nach dieser Seuche sucht werden viele Ergebnisse angezeigt. Die ersten Suchergebnisse führen zu Webseiten die dazu verleiten eine Entfernungssoftware zu installieren. Laden Sie keine Software aus unbekannten Quellen runter! Meist wird SpyHunter zum Entfernen empfohlen und direkt als Download angeboten. SpyHunter entfernt nichts, es nistet sich ein und installiert noch mehr unerwünschtes Zeugs welches buntes Icons auf dem Desktop ablegt. Was Sie auch nicht tun sollten ist der Anleitung in der Textdatei oder im GIF zu folgen. Selbst wenn Sie tausend Euro bezahlen wird dadurch nichts rückgängig gemacht. Die Dateien bleiben zerstört.

Wichtig wäre den Infektionsweg nachvollziehen zu können. Wenn Sie auch betroffen sind wäre ich Ihnen dankbar wenn Sie einen Kommentar hinterlassen wie der Virus auf Ihr System kam. Vielen Dank dafür.

 

[update]

 

Hier ein Beitrag aus der Spiceworks Community der sehr hilfreich sein könnte:

http://community.spiceworks.com/topic/540722-4-days-to-pay-what-happens-when-you-pay-a-crypto-ransom?utm_campaign=0717&utm_medium=spotlight&utm_source=swemail

[/update]


2 Kommentare

Emails von der Telekom: Ihre Telekom Mobilfunk RechnungOnline für Geschäftskunden

Es ist wieder eine Seuche unterwegs. Angebliche Emails von der Telekom und von Vodafone verunsichern viele Anwender. Die Email sollte sofort gelöscht werden. Einige Antivirenprogramme wie Eset erkennen die Email  bei der Mailprüfung.

Sehr geehrte Kundin,
sehr geehrter Kunde

Im Anhang finden Sie die gewünschten Dokumente und Daten zu Ihrer Telekom Mobilfunk RechnungOnline für Geschäftskunden vom Monat Januar,
Download (Ihre Telekom Mobilfunk RechnungOnline für Geschäftskunden 146250430892942956 vom 10.01.2014 des Kundenkontos 815860918126).

Mit freundlichen Grüßen,
Geschäftskundenservice

Telekom Deutschland GmbH
Aufsichtsrat: Timotheus Höttges Vorsitzender
Geschäftsführung: Niek Jan van Damme Sprecher, Thomas Dannenfeldt, Thomas Freude, Michael Hagspihl, Dr. Bruno Jacobfeuerborn, Dietmar Welslau, Dr. Dirk Wössner
Eintrag: Amtsgericht Bonn, HRB 59 19, Sitz der Gesellschaft Bonn
USt-Id.Nr.: DE 989547356207
WEEE-Reg.-Nr.: 547701478547

 

Von Vodafone ist die Email mit gleichem Wortlaut unterwegs:

 Absender: "Vodafone" <OnlineRechnung@vodafone.com>
 Betreff: Ihre Rechnung vom 17.01.2014 Nr. 0984726507499942

Der Link im Mailtext  führt zu einer russischen Malwareseite. Haben Sie den Link aus Versehen angeklickt wird über den Browser Malware auf Ihrem Rechner installiert wenn Sie den angeboten Download runterladen, entpacken und doppel klicken. Ich habe den Link bei Virustotal prüfen lassen:

virust

Sollten Sie den Link angeklickt haben wird Ihnen ein Download angeboten. Bitte klicken Sie nicht auf den Link, laden Sie nichts runter. Entpacken Sie nichts. Löschen Sie die Email sofort. Die runtergeladene Datei installiert eine Backdoor und ermöglich so Zugriff auf Ihren PC.

Falls es doch passiert ist empfehle ich an dieser Stelle Malwarebytes und einen kompletten Scan des Systems. Wenn ich weitere Informationen über die Infektion habe werde ich diese hier reinschreiben. Bleiben Sie dran.

 

 

Die Telekom selbst gibt Hilfe für die Erkennung von Emails und schreibt auf Ihrer Webseite:

Woran erkenne ich die Echtheit meiner Rechnung per E-Mail von der Telekom (rechnung-online@telekom.de)?

Die Echtheit unserer Rechnung per E-Mail erkennen Sie an folgenden Merkmalen:

  • Sie werden -außer bei Firmen- in der E-Mail persönlich angesprochen.
  • Ihre exakte Buchungskontonummer steht in der Betreffzeile.
  • Es sind keine Rechnungs- oder Kundennummern angegeben.
  • Die E-Mail enthält keine Passwörter.
  • Die Rechnung (ohne digitale Signatur) ist nur als Datei mit der Endung *.pdf angehängt.
  • In der Benachrichtigung per E-Mail ist niemals eine Datei enthalten.

Die Telekom kann jedoch keine Garantie dafür übernehmen, dass nicht auch gefälschte E-Mails diese Merkmale enthalten.

Sie können den Rechnungsbetrag aus der E-Mail jederzeit im Kundencenter überprüfen, indem Sie dort Ihre Rechnung ansehen. Der darin angegebene Rechnungsbetrag ist in jedem Fall richtig. Weist Ihr Rechnungsanschreiben einen anderen Betrag aus, handelt es sich um eine gefälschte E-Mail, die Sie umgehend löschen sollten.

Weiterer Hinweis zu betrügerischen E-Mails:
Betrüger nutzen oft hohe, unleserliche oder ungewöhnliche Rechnungsbeträge in der E-Mail, um den Empfänger zu veranlassen, Anhänge zu öffnen oder auf Links zu klicken. Durch Fälschen des Absenders der Telekom Deutschland GmbH wird versucht, die Echtheit der E-Mail vorzutäuschen. Gefälschte E-Mails erreichen den Empfänger meist an einem Tag, an dem die Rechnung per E-Mail nicht erwartet wird und unterscheiden sich beim Vergleich (siehe oben) mit der E-Mail der Deutschen Telekom GmbH vom Vormonat.


Hinterlasse einen Kommentar

Software Deployment unter MS Server – msi Dateien für Essentials erzeugen

Als Admin in einem MS Windows Netzwerk stolpert man häufiger über das Problem über Gruppenrichtlinien Software zu verteilen. Es geht schon bei den Essentials los. MS will MSI Dateien haben, sonst wird das Deployment scheitern. Nun ist die Frage wie komme ich an die MSI Dateien.

Ich kann mit einigen Tools msi Dateien erzeugen. Um diese Tools zu bedienen muss man aber mindestens ein Masterdiplom im MS Deployment absolviert haben. Es kostet unmenge an Zeit und scheitert dann doch recht häufig an den Installationseinstellunge die für jede Installation definiert werden müssen.

Auf der Webseite http://www.klaus-hartnegg.de/gpo/ finden sich hervorragende Tipps zur Bereitstellung und Erzeugung von MSI Dateien. Dies betrifft die Essentials wie Flashplayer, Adobe Reader, Java etc.

Damit sparen sich Admins eine Menge Zeit. Ich danke Klaus Hartnegg für dieses Blog. Es hat mir schon öfters viel Arbeit und Zeit erspart. Danke dafür.


Ein Kommentar

Aartemis.com Startseite erscheint immer wieder

aarteGestern hatte ich den Fall von Browser Hijacking zum zigsten Mal auf einem Win7 PC. Alle dort installierten Browser zeigten als Startseite aartemis.com und die ließ sich auch nicht so einfach entfernen. Googelt man nach dieser Pest erhält man zig Suchergebnisse die einem erklären wie sich aartemis.com wieder löschen lässt. Der Haken dabei: Es funktioniert nicht. Aartemis sitzt viel tiefer im Browser als nur auf der Startseite. Aartemis ist eine recht dubiose Suchseite die m. E. den persönlichen Traffic über die eigene Webseite umleitet. Damit erhält aartemis.com die Möglichkeit ihr Surfverhalten auszuspionieren und kann genau definieren wann sie welchen Klick gemacht haben. Klingt nach NSA, ist aber die ganz normale Marktwirtschaft die hier spioniert. Die Methoden unterscheiden sich nicht mehr inzwischen.

Auf den Suchergebnisse die mir Google anbot fand ich die Standardtipps um die Startseite wieder herzustellen. Die funktionieren alle nicht und die braucht man nicht versuchen. Zeitverschwendung. Am schlimmsten fiel mir diese Seite ins Auge, die auch prompt einen Software zum Beseitigen anbietet. hstp://www.entfernenspyware.de/aartemis-com-entfernen.html (link unbrauchbar gemacht)

Installiert man diese Software hat man noch mehr Adware auf dem PC. Es wird hier nichts entfernt nur schwachsinnige Programme werden installiert die den PC noch mehr ausbremsen und ausspionieren. Zusätzlich werden Ihnen Treiberupdates und Sicherheitsprogramme empfohlen. Installieren Sie bloss nichts aus dieser Quelle! Das ist alles totaler Müll, der allerdings seriös aussieht.

Lösung:

Nachdem ich nun alle Einstellungen der Browser, Einträge in der Registrierung gelöscht hatte starteten die Browser immer noch mit Aartemis.com. Langsam reichte es mir. Mit der Software adwCleaner konnte ich Aartemis den Garaus machen. Es werden in vorhanden Links, die die Browser benutzen falsche URLs hinterlegt. Gerade der Firefox ist anfällig dafür. Mit adwCleaner konnte ich alle Einträge elimienieren. Zusätzlich fand adwCleaner noch einen Ordner wo zusätzlich noch Updatestoff für Aartemis steckte. Nach einem Neustart war der Spuk dann vorbei.

adwCleaner bekommen Sie bei Heise.de im Softwareverzeichnis:

http://www.heise.de/download/adwcleaner-1191313.html

Viel Erfolg beim Beseitigen!