Frischfisch

fish life reporting


Ein Kommentar

Email vom Amazon Service: Bestaetigen Sie Ihren Amazon-Account

Auch heute wieder ein neuer Versuch meine Zugangsdaten auszuspionieren!

Diese Email kam gerade angeblich von Amazon:

 

Guten Tag, 
Durch das von uns entwickelte System zur Erkennung von Betrugs-versuchen was unter anderem Ihren Standort der Bezahlvorgänge miteinander vergleicht, war es uns nicht möglich diesen Vorgang eindeutig Ihrem Handeln zuzuordnen.

Bei der letzten Überprüfung ihres Accounts sind uns ungewöhnliche Aktivitäten aufgefallen, im Bezug auf ihre hinterlegten Zahlungsmittel und ihr Zahlverhalten.
Bitte bestätigen Sie ihre hinterlegten Informationen, damit sie ihren Account wieder in vollem Umfang nutzen können. 


Zur Verifizierung
/link entfernt/

Diese überprüfung ist für Sie selbstverständlich vollkommen kostenlos.

Mit freundlichen Grüssen,
Amazon.de

Dies ist eine automatisch versendete Nachricht. Bitte antworten Sie nicht auf dieses Schreiben, da die Adresse nur zur Versendung von E-Mails eingerichtet ist.

 

Diese Email ist nicht von Amazon, der Absender lautet test@jgroeneveld.de. Sicher eine dieser gehackten Emailadressen wovon man in letzter Zeit häufiger hörte. Klicken Sie auf den Link landen man auf: http://www.azazn-bestaetigen.com/login.php?ap/openid.claimed_id wo man versucht den Benutzer dazu zu überreden seine Amazon Zugangsdaten einzugeben. Tun Sie das nicht!

Löschen Sie diese Email und beachten Sie solche  Emails nicht mehr. Es handelt sich hier um reinen Identitätsdiebstahl. Haben Sie Ihre Daten bereits dort eingegeben und übersendet wenden Sie sich sofort an den richtigen, echten Amazon Support. Besuchen Sie dafür die echte Amazon Webseite. Loggen Sie sich ein und nehmen Sie Kontakt auf. Dort wird Ihnen geholfen.

 

Advertisements


Hinterlasse einen Kommentar >

Seit heute sind vermehrt Emails aufgetaucht angeblich vom Amazon Support. Es ist ein Anhang enthalten mit einer Rechnung.

Diese Rechnung ist verpackt als .rar Datei (Archiv) und trägt keinen Dateinamen. Entpackt heißt der Anhang dann Rechnung_384783.scr (wobei die Rechnungsnnr. variiert).

Enthalten ist ein Trojaner Zbot. Löschen Sie diese Email sofort!

Der Mailtext lautet wie folgt:

 

Wenn Sie dieser E-Mail antworten, wird Amazon.de Ihre E-Mail-Adresse mit einer von Amazon bereitgestellten Adresse ersetzen, Um Ihre Identitat zu schutzen, und die Nachricht in Ihrem Namen weiterleiten. Um einen moglichen Betrug zu verhindern, setzt Amazon.de Filtertechniken ein. Nachrichten, die diesen Filter nicht passieren, werden nicht weitergeleitet. Amazon.de behalt Kopien aller uber diesen Service gesendeten und empfangenen E-Mails, einschlie?lich der Nachricht, die Sie hier eingeben. Amazon.de wird diese Kopien insbesondere zur Klarung von eingereichten A-bis-z-Garantie-Antragen heranziehen. Indem Sie diesen Dienst nutzen, erklaren Sie sich mit diesem Vorgehen einverstanden.

 

Weg damit in den Papierkorb!


2 Kommentare

iSCSI Target ist plötzlich verschwunden

Schöner Schock am frühen Morgen. Ich habe ein NAS Raid als iSCSI Target an zwei MS Server 2008r2 parallel eingehängt. 3.5 Tb an Daten liegen dort, beide Server greifen darauf zu und alles lief bis gestern lange Zeit einwandfrei.

Nun sah ich heute morgen das beide Server für dieses eingebundene Laufwerk verschiedene Inhalte anzeigte. Der erste Server zeigte keinerlei Änderungen mehr an die ich über den zweiten Server im Dateisystem ausgeführt hatte. Ich trennte das iSCSI Target am ersten Server und hing es wieder ans Ziel. Der Laufwerksbuchstabe erschien im Arbeitsplatz am Server, das Target wurde mir jedoch als RAW Laufwerk angezeigt und Windows Server fragte nach Formatieren des Datenträgers. HILFE! RAW verheißt nicht Gutes!

Am zweiten Server wollte ich noch ein paar Daten auf das Target schieben, da kamen schon die ersten Fehlermeldungen. Ressource steht nicht zur Verfügung. 😦
Erstmal das NAS neu starten. Nach dem Neustart war die Platte immer noch in RAW. 😦

Am zweiten Server trennte ich nun auch die Verbindung zum iSCSI Target und verband das Target im Anschluss wieder. Auch hier wird der Datenträger angezeigt, aber im RAW Format. 3.5 TB an Daten futsch! Jetzt wurde ich langsam nervös. Es gab keinen Backup von dem Target, die Daten wären futsch wenn ich sie nicht retten kann.

 

Einfache Abhilfe fand ich in der Eingabeaufforderung. Mit dem Befehl chkdsk f: /f  (wobei f: der zugewiesene Laufwerksbuchstabe ist)

Nachdem Checkdisk gefühlte 1 Million Einträge korrigiert hat ist Laufwerk F wieder als NTFS erkennbar. Alle Daten sind noch vorhanden. Puh, Glück gehabt.

chkdsk

 

Irgendwie ist die Sicherheitskennung der einzelnen Dateien sowie für das ganze Laufwerk verloren gegangen. Checkdisk hat es repariert.  Bei meiner ersten Recherche fand ich Hinweise auf Datenrettungssoftware. Bei 3.5 TB hätte alleine schon der Scan nach verlorenen Daten 4 – 5 Tage gedauert und die Dateien wären dann noch nicht mal wieder hergestellt. Daher mein Versuch mit chkdsk, hat ca. 5 Minuten gedauert. Viel Erfolg!

 


Ein Kommentar

Admin Tools online: Email Tester

Jeder Admin kennt die Situation. Ein Mitarbeiter ruft an und berichtet das er keine Emails empfängt. Für eine erste Analyse eignet sich

http://www.hq42.net/net_tools/test_email_addr.php

ganz gut. Einfach Emailadresse angeben und abwarten. Sofort weiß man wo man ansetzen muss um den Fehler zu beheben.

Auf der Seite sind weitere Tools vorhanden. DNS, PING etc sind online möglich. http://www.hq42.net/net_tools/index.php

Prädikat: Hilfreich. 10 Punkte von mir!

Natürlich auch für den Privatanwender sinnvoll wenn man die Fehlermeldungen deuten kann.

 

UPDATE: Leider ist dieser Service nicht mehr verfügbar. Schade drum. Ich hab ihn oft benutzt. Momentan nutze ich http://mxtoolbox.com für alle möglichen Tests die ich brauche. Auch ganz cool gemacht und von SPF, DKIM, DNS und weitere Services kann ich hier abfragen und Konfigurationsfehler auslesen.


Hinterlasse einen Kommentar

Cryptorbit: Erpressungs-Trojaner Bitcrypt entschlüsselt!

In letzter Zeit ist wieder einiges an Verschlüsselungsviren unterwegs. Letztens berichtete ich über eine Ransomware die sich Cryptorbit nennt und einem die Daten schreddert. Aufgrund der Tatsache das die Programmierer dieser Ransomware die Verschlüsselung nur auf 128 Stellen Länge gesetzt war ließ sich der RSA Schlüssel knacken. RSA 128 bedeutet eigentlich eine Schlüssellänge von 1024bit… dadurch das der aber nur 128 Stellen lang war müssen nur 426bit entschlüsselt werden was lediglich einige Stunden dauerte.

Mit diesem Schlüssel ist es nun möglich die Dateien wieder herzustellen. Zwar muss erstmal den Schlüssel wieder herstellen um dann die Dateien entschlüsseln zu können aber es gibt ein Perl Skript welches das erledigt. Fabien Perigaud, Cedric Pernet  von Airbus Defense Systems stellen dafür eine Analyse und das Skript zu Verfügung. Ich gehe davon aus das diverse Softwarebuden für Virensoftware darauf basierend Verschlüsselungstools veröffentlichen werden die für den Endverbraucher sicher einfacher zu bedienen sind als die Ausführung von Perl Skripten erlernen zu müssen. Blogbeitrag von Airbus Defense Systems         Perl Skript zum Dekodieren des Schlüssels

 

Hier ein Beitrag aus der Spiceworks Community der sehr hilfreich sein könnte:

http://community.spiceworks.com/topic/540722-4-days-to-pay-what-happens-when-you-pay-a-crypto-ransom?utm_campaign=0717&utm_medium=spotlight&utm_source=swemail

 

 


Hinterlasse einen Kommentar

Email erhalten: Fax von 049130…. von Fritzbox

Seit heute kursieren Emails die angeblich von dem Absender Fritzbox verschickt werden. Der Betreff lautet „Fax vom 049130“ oder „Fax vom 0303“ oder so ähnlich. Im Anhang befindet sich eine Datei „Telefax.zip“ oder „Faxsendung.zip“.

Löschen Sie diese Mail sofort. Der Anhang beinhaltet einen Trojaner, der von den meisten Virenscannern noch nicht erkannt wird. Malwarebytes erkennt ihn seit dem letzten Update als „Trojan.Crypt.NKN „

Es ist davon auszugehen das auch dieser Trojaner die Daten auf dem PC verschlüsselt. Vermutlich eine neue Ransomware. wie letztens von der Telekom oder Vodafone.


2 Kommentare

Cryptorbit: Alle Dateien sind verschlüsselt

Und schon ist die nächste Erpressersoftware unterwegs. Via Email wird zur Zeit viel Malware verschickt. Die Absender werden immer besser und verschicken täuschend gut aussehende Firmenmails. Meist von der Telekom, Vodafone oder sonstigen Anbietern. Hier ist es laut Anwender irgendeine Webseite gewesen die dies verursacht hat. Die Virensoftware hat wie so oft nicht reagiert.

Diese Ransom Ware entdeckte ich heute auf einem Windows Server. Sie ist vom PC auf die Netzwerkfreigaben „gesprungen“. Für die Firma ein Riesenausfall. Niemand kann arbeiten bis die Daten wiederhergestellt und die Server wieder sauber sind.

Heute sind alle Fotos, Dokumente und andere Dateien in den Netzwerkfreigaben verschlüsselt. Zusätzlich findet sich in jedem Verzeichnis zwei Dateien. Eine Gif Datei und ein Textdokument. Die GIF Datei fordert dazu auf einen Tor Browser zu installieren. Tun Sie das nicht!!!! Im Text steht der gleich Wortlaut.

cryptorbit

Im Gegensatz zur letzte Ransom Ware Seuche behalten diese Dateien ihren Dateinamen bei und werden nicht umbenannt.

Wo diese Seuche herkommt und wie man Sie wieder los wird muss ich jetzt erstmal recherchieren. Ich halte Sie auf dem Laufenden, bleiben Sie dran

EIN HINWEIS!:

Wenn man mit Google nach dieser Seuche sucht werden viele Ergebnisse angezeigt. Die ersten Suchergebnisse führen zu Webseiten die dazu verleiten eine Entfernungssoftware zu installieren. Laden Sie keine Software aus unbekannten Quellen runter! Meist wird SpyHunter zum Entfernen empfohlen und direkt als Download angeboten. SpyHunter entfernt nichts, es nistet sich ein und installiert noch mehr unerwünschtes Zeugs welches buntes Icons auf dem Desktop ablegt. Was Sie auch nicht tun sollten ist der Anleitung in der Textdatei oder im GIF zu folgen. Selbst wenn Sie tausend Euro bezahlen wird dadurch nichts rückgängig gemacht. Die Dateien bleiben zerstört.

Wichtig wäre den Infektionsweg nachvollziehen zu können. Wenn Sie auch betroffen sind wäre ich Ihnen dankbar wenn Sie einen Kommentar hinterlassen wie der Virus auf Ihr System kam. Vielen Dank dafür.

 

[update]

 

Hier ein Beitrag aus der Spiceworks Community der sehr hilfreich sein könnte:

http://community.spiceworks.com/topic/540722-4-days-to-pay-what-happens-when-you-pay-a-crypto-ransom?utm_campaign=0717&utm_medium=spotlight&utm_source=swemail

[/update]