Viren, Spyware, Datenschutz 11.021 Themen, 91.068 Beiträge

News: Viren, Spyware, Datenschutz

Ransom32 basiert auf JavaScript – und ist damit system-unabhängig...

Olaf19 / 21 Antworten / Baumansicht Nickles

Ransomware ist eine Schadsoftware, die die persönlichen Daten des Anwenders gegen dessen Willen verschlüsselt und den Key zum Enschlüsseln nur gegen ein Lösegeld herausgibt – so weit, so bekannt.

Das Besondere an Ransom32 ist: diese Software basiert auf Java Script, was im Prinzip auf allen erdenklichen Betriebssystemen – Windows, Linux, Mac OS X – verfügbar ist, wenn auch für die beiden letztgenannten geringfügige Anpassungen notwendig sind.

Mit 22 MB ist Ransom32 ungewöhnlich groß, üblich für Ransomware ist 1 MB. Die Entwickler beanspruchen übrigen 25% der eingespielten Lösegelder als "Tantieme"...

Quelle: www.heise.de

Olaf19 meint: Toll, was man mit Software-Entwicklung so alles Schönes anstellen kann. Um so bedauerlicher, dass einige Arschgeigen ihr Talent an derart miese Projekte verschwenden... aber so war ein Teil der Menschheit schon immer, auch lange vor dem IT-Zeitalter.

Hinweis: Vielen Dank an Olaf19 für das Verfassen der News. Diese News stammt von einem Nickles.de-Teilnehmer. Die Nickles.de Redaktion übernimmt keine Verantwortung für den Inhalt und die Richtigkeit dieser News.

Bei Nickles.de kann übrigens jeder mitmachen und News schreiben. Dazu wird einfach in einem Forum ein neues Thema begonnen und im Editor die Option "News" gewählt.

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
mawe2 Olaf19

„Ransom32 basiert auf JavaScript – und ist damit system-unabhängig...“

Optionen
aber so war ein Teil der Menschheit schon immer

Leider.

Wie gut könnte es allen Menschen auf der Welt gehen, wenn nicht einige Idioten immer wieder quer schießen würden!

Leider wird in dem Heise-Artikel nicht beschrieben, wie die Malware verteilt wird. Das genau wäre aber wichtig zu wissen, um sich davor zu schützen.

Da ich generell eine Google-Allergie habe, würde ich allerdings schon mal nie auf die Idee kommen, eine chrome.exe zu starten. Nun kann sich so ein Programm aber auch mit ganz anderen Namen schmücken...

Gruß, mawe2

"When bankers get together for dinner, they discuss Art. When artists get together for dinner, they discuss Money" (Oscar Wilde)
bei Antwort benachrichtigen
Andreas42 mawe2

„Leider. Wie gut könnte es allen Menschen auf der Welt gehen, wenn nicht einige Idioten immer wieder quer schießen ...“

Optionen

Hi!

Leider wird in dem Heise-Artikel nicht beschrieben, wie die Malware verteilt wird.

Das ist, soweit ich das verstanden habe, nicht so einfach zu sagen. Heise bezieht sich auf eine (im Artikel verlinkte Analyse) einer Malwareseite (bleepingcomputer.com), welche die eigentliche Untersuchung der Malware durchgeführt hat.

http://www.bleepingcomputer.com/news/security/ransom32-is-the-first-ransomware-written-in-javascript/

Die wiederum zitieren von hier:

http://blog.emsisoft.com/2016/01/01/meet-ransom32-the-first-javascript-ransomware/

Die Malware wird als Kit im TOR-Netzwerk zum Kauf angeboten. Diese "Kaufrohfassung" wurde untersucht und enthält nur das eigentliche Verschlüsselungs-Erpressungmodul und keine Routinen zur Verbreitung. Die Malware wird nach den Konfigurationswünschen des Käufers erzeugt und dann zum Download angeboten: "Once the customized ransomware is downloaded, it is up to the affiliate to determine how it should be distributed."

Der Anbieter dieser Malware tritt offenbar auch als Geldverwalter und Verteiler der Erlöse auf, dass Ganze ist fast wie ein Werbenetzwerk aufgezogen. Der Anbieter kassiert eine Umsatzbeteiligung der erzeugten Einnahmen.

Da die Verteilung der Malware dem Käufer überlassen wird, muss man allen möglichen Infektionswegen rechnen. Das Paket soll relativ groß sein, ich würde daher ein "Mitliefern" mit bekannter Software als üblichen Weg vermuten. Bei einer Installation könnte man das Teil Nachladen lassen, das fällt dann zeitlich kaum auf und vergrößert den Download ersteinmal nicht nennenswert.

Aber prinzipiell spricht auch nichts gegen eine Verteilung per Mail oder Driveby-Download sofern dann nur ein kleiner Downloader verteilt wird, der den Rest dann in einer ruhigen Minute nachlädt. Dem Malwarekäufer stehen halt alle "Vertriebswege" offen - leider.

Bis dann
Andreas

Kein Popcorn! "Mist!" (Zitat Bernd das Brot) Wieso ist kein Popcorn mehr da? Immer wenn es spannend wird! Menno!
bei Antwort benachrichtigen
mawe2 Andreas42

„Hi! Das ist, soweit ich das verstanden habe, nicht so einfach zu sagen. Heise bezieht sich auf eine im Artikel verlinkte ...“

Optionen
Dem Malwarekäufer stehen halt alle "Vertriebswege" offen - leider.

OK, dann ist klar, dass das jetzt noch nicht erklärt wird. (Ich hatte leider keine Zeit, die ganzen Originalquellen zu studieren.)

So lange es keine wirklich neuen Verbreitungswege gibt, schützt man sich quasi vor jeglicher (neuer) Malware auf die selbe Art und Weise wie immer. Also man lässt z.B. keine Infektion per eMail zu und keine per Drive-by-Download. Immer das selbe Spiel.

Gefährlich wird neue Malware doch nur, wenn wirklich neue (und vollkommen unerwartete) Verbreitungswege auftauchen.

Insofern ist zwar die Info über diese Malware trotzdem interessant, erzeugt aber beim User zunächst keinerlei Handlungsbedarf.

Gruß, mawe2

"When bankers get together for dinner, they discuss Art. When artists get together for dinner, they discuss Money" (Oscar Wilde)
bei Antwort benachrichtigen
Olaf19 mawe2

„OK, dann ist klar, dass das jetzt noch nicht erklärt wird. Ich hatte leider keine Zeit, die ganzen Originalquellen zu ...“

Optionen
schützt man sich quasi vor jeglicher (neuer) Malware auf die selbe Art und Weise wie immer. Also man lässt z.B. keine Infektion per eMail zu und keine per Drive-by-Download. Immer das selbe Spiel.

Dass man keine zweifelhaften E-Mail-Anhänge öffnen sollte, ist schon klar, nur: Wie kann man sich denn vor Drive-by-Downloads schützen? Die finden doch quasi ohne Zutun des Anwenders beim Surfen auf irgendwelchen Websites statt. AFAIR reicht es da schon, auf einer im Prinzip seriösen Website unterwegs zu sein, wo ein Werbepartner ein Banner geschaltet hat, das nicht ganz koscher ist.

Ich weiß: da war es wieder, unser Lieblingsthema Werbeblocker. Aber sind diese Banner wirklich die einzige Gefahr?

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
Borlander Olaf19

„Dass man keine zweifelhaften E-Mail-Anhänge öffnen sollte, ist schon klar, nur: Wie kann man sich denn vor ...“

Optionen

Soweit ich das auf dem Heise-Bericht entnehmn kann muss der User da schon noch selbst aktiv werden. Auch wenn das ganze in JS implementiert ist: Einfach direkt im Browser kann die Schadsoftware ihre Wirkung nicht entfalten, sondern nur in Verbindung mit der Laufzeitungebung und somit kein unterschied zu ausführbaren Binärdateien.

Gruß
bor

bei Antwort benachrichtigen
giana0212 Olaf19

„Ransom32 basiert auf JavaScript – und ist damit system-unabhängig...“

Optionen

Hi, Olaf.

Hier hat Sempervideo ein Video herausgebracht, das die ganze Geschichte noch einmal verständlich erklärt:

https://www.youtube.com/watch?v=N04VbgjrRsE

Ein Irrtum dieser Zeit ist es, Glück mit Besitz zu verwechseln.
bei Antwort benachrichtigen
Olaf19 giana0212

„Hi, Olaf. Hier hat Sempervideo ein Video herausgebracht, das die ganze Geschichte noch einmal verständlich erklärt: ...“

Optionen

Hi Giana, das Video ist schon ganz okay.

Allerdings finde ich den Artikel nicht weniger verständlich. Dafür aber etwas kürzer.

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
Borlander Olaf19

„Hi Giana, das Video ist schon ganz okay. Allerdings finde ich den Artikel nicht weniger verständlich. Dafür aber etwas ...“

Optionen
Allerdings finde ich den Artikel nicht weniger verständlich. Dafür aber etwas kürzer.

Ist das unnötige Aufblähen von Inhalten nicht das Kernkonzept von Semper-Video?

bei Antwort benachrichtigen
giana0212 Borlander

„Ist das unnötige Aufblähen von Inhalten nicht das Kernkonzept von Semper-Video?“

Optionen

Nein, ist es nicht. Die vermitteln solche Themen einfach leicht verständlich. Es wird auch ganz leicht darauf eingegangen, wie so etwas auf den Rechner kommt. Dazu gibt es dann auch noch weitere Videos. Olaf hatte ja geäußert, er weiß nicht, wie das auf den Rechner kommt. Voila! Sehen heißt lernen!

Dazu werden regelmäßig auch Videos veröffentlicht, wie Rechner angegriffen werden können, wie man sich schützen kann, wie man eine Schadware wieder los wird. Besonders lustig sind dann die Kommentare unter den Videos, das könne einem ja nicht passieren, von wegen Virenschutz und so.

Ein Irrtum dieser Zeit ist es, Glück mit Besitz zu verwechseln.
bei Antwort benachrichtigen
Borlander giana0212

„Nein, ist es nicht. Die vermitteln solche Themen einfach leicht verständlich. Es wird auch ganz leicht darauf eingegangen, ...“

Optionen
wie man eine Schadware wieder los wird

Das stärkt nicht Vertrauen in die Qualität von Semper-Video nicht gerade (um es vorsichtig auszudrücken)…

Die vermitteln solche Themen einfach leicht verständlich. Es wird auch ganz leicht darauf eingegangen, wie so etwas auf den Rechner kommt. […] Besonders lustig sind dann die Kommentare unter den Videos, das könne einem ja nicht passieren, von wegen Virenschutz und so.

Möglicherweise dann doch nicht einfach genug für die Zuschauer? :-\

bei Antwort benachrichtigen
giana0212 Borlander

„Das stärkt nicht Vertrauen in die Qualität von Semper-Video nicht gerade um es vorsichtig auszudrücken Möglicherweise ...“

Optionen

Hi, Borlander.

Menschen sind eben kompliziert und nehmen nicht jeden Rat an. Das kannst Du nicht SemperVideo anlasten. Wenn ich ein Video sehe, wo ein System verseucht wird, es wird genau und verständlich erklärt, wie es funktioniert, dann hilft ein Kommentar "habe doch einen Virenscanner" kein bißchen. SemperVideo führt den Nutzern vor Augen, daß ein System keineswegs sicher ist. Und zeigt, was man besser machen kann. Man macht es oder man lässt es. Fertig.

Daß Menschen kompliziert sind, manchmal beratungsresistent, kannst Du auf jeder Plattform beobachten, mir fällt gerade kein Beispiel ein.Zwinkernd

Auf den Punkt gebracht: Wissen wird unterhaltsam vermittelt, in nicht zu langen Videos, das Wissen bleibt eher hängen als bei seitenlangen Texten und ich kann immer wieder "nachschlagen", die Videos sind schnell wiedergefunden.

Ein Irrtum dieser Zeit ist es, Glück mit Besitz zu verwechseln.
bei Antwort benachrichtigen
Olaf19 giana0212

„Hi, Borlander. Menschen sind eben kompliziert und nehmen nicht jeden Rat an. Das kannst Du nicht SemperVideo anlasten. Wenn ...“

Optionen

Naja, schlecht fand ich das Video nun auch wieder nicht. Nur erschien es mir nicht einleuchtender als der Artikel, und letzterer hat eben den Vorteil, dass man bestimmte Textpassagen leichter wiederfindet.

Was mawe geäußert hat, mit den überheblichen Kommentaren, nun – das ist mir an ein, zwei Stellen auch aufgefallen. Aber sei's drum.

CU, Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
giana0212 Olaf19

„Naja, schlecht fand ich das Video nun auch wieder nicht. Nur erschien es mir nicht einleuchtender als der Artikel, und ...“

Optionen

Sieh mal, würden die einfach ein Video machen, wo ein Sprecher zB den Artikel einfach trocken vorliest, würde kein Mensch die Videos ansehen, da sie keinen Mehrwert bieten würden. Ich weiß nicht genau, was da jetzt "überheblich" ist. In den Videos finden oft praktische Vorführungen statt, zB wird ein System tatsächlich verseucht oder übernommen. Für den Laien wird das alles klar nachvollziehbar erklärt. Nebenbei lockert der Sprecher das mit ein paar Witzen oder Anspielungen auf, was die Moderation locker erscheinen lässt. Und der Sprecher weiß genau, wovon er da redet. Im richtigen Leben haben die auch einen Job, beraten nämlich Firmen und Behörden in Sachen Computersicherheit. Mehr als von diesem Kanal kannst Du in Sachen Computer und IT-Sicherheit nirgens lernen, schon gar nicht so leicht. Für private Weiterbildungen im nichtkommerziellem Bereich und für Schulungen dürfen die Videos übrigens mit ausdrücklicher Erlaubnis kostenfrei verwendet werden. Finde ich sehr großzügig.

Ein Irrtum dieser Zeit ist es, Glück mit Besitz zu verwechseln.
bei Antwort benachrichtigen
Olaf19 giana0212

„Nein, ist es nicht. Die vermitteln solche Themen einfach leicht verständlich. Es wird auch ganz leicht darauf eingegangen, ...“

Optionen
Olaf hatte ja geäußert, er weiß nicht, wie das auf den Rechner kommt.

Da hast du etwas falsch verstanden. In meinem Post vom 7.1., 23:03 ging es um Drive-by-Downloads, nicht um Ransom32.

Tipps wie "nicht auf alles klicken, was nicht bei 3 auf den Bäumen ist", finde ich einigermaßen entbehrlich: https://www.youtube.com/watch?v=N04VbgjrRsE&t=5m30s

Voila! Sehen heißt lernen!

Mir ist lesen 10x lieber. Texte kann man nach Stichwörtern durchsuchen, so dass man den gewünschten Passus leicht wiederfindet. Bei Videos ist das nicht möglich.

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
mawe2 Borlander

„Ist das unnötige Aufblähen von Inhalten nicht das Kernkonzept von Semper-Video?“

Optionen
Ist das unnötige Aufblähen von Inhalten nicht das Kernkonzept von Semper-Video?

Das unnötige Aufblähen von Inhalten kombiniert mit überheblichen Kommentaren ist das Kernkonzept...

Und dann veröffentlichen sie ihre Tipps, in denen sie vor JavaScript-Malware warnen auch noch auf einen Plattform, die man nur nutzen kann, wenn man Scripte zulässt.

Sehr zielführend!

"When bankers get together for dinner, they discuss Art. When artists get together for dinner, they discuss Money" (Oscar Wilde)
bei Antwort benachrichtigen
struppi5 Olaf19

„Ransom32 basiert auf JavaScript – und ist damit system-unabhängig...“

Optionen

Die These Javascript ist auf allen erdenklichen Betriebsystemen verfügbar ist so falsch oder richtig, wie die gleiche Aussage über C und welche geringfügigen Anpassungen bei MacOS notwendig sind dürfte nur dem Autor bekannt sein.

Die Schadsoftware ist tatsächlich KEINE Javascript Anwendung hat natürlich auch nichts mit dem im Browser bekannten Javascript zu tun. Nur die Entwicklung einer Schadsoftware für die jeweilige Plattform erfolgt mittels Javascript. Das Framework bietet vermutlich für jede Plattform Bibliotheken die Entwicklung für verschiedene OS erleichtert, das gibt es auch für nahezu jede andere Programmiersprache.

bei Antwort benachrichtigen
struppi5

Nachtrag zu: „Die These Javascript ist auf allen erdenklichen Betriebsystemen verfügbar ist so falsch oder richtig, wie die gleiche ...“

Optionen

Ich hab mir noch mal die Seite die den Schädling genauer beschreibt angeschaut http://www.bleepingcomputer.com/news/security/ransom32-is-the-first-ransomware-written-in-javascript/ - offensichtlich enthält der Schädling, der angeblich ja alle Betriebsystem befallen kann, VB Code.

Auch die Seite erklärt nicht, warum JS mehr Plattformübergreifend sein, als C. Du musst ja nur ein entsprechendes Framework verwenden, aber die kompilierte Anwendung läuft trotzdem immer nur auf dem Zielbetriebssystem.

bei Antwort benachrichtigen
Olaf19 struppi5

„Die These Javascript ist auf allen erdenklichen Betriebsystemen verfügbar ist so falsch oder richtig, wie die gleiche ...“

Optionen
Die These Javascript ist auf allen erdenklichen Betriebsystemen verfügbar ist so falsch oder richtig, wie die gleiche Aussage über C

Das stimmt. Ich würde beide Aussagen für richtig erachten ;-)

Hier noch einmal der genaue Wortlaut aus dem Artikel – ich hatte das evtl. zu stark verkürzend zusammengefasst – Fettschrift von mir:

"Ransom32 soll auf dem NW.js-Framework aufbauen, über das Entwickler Desktop-Applikationen auf JavaScript-Basis mit Cross-Plattform-Ausrichtung erstellen können. Somit könnten Angreifer die Ransomware mit wenigen Handgriffen auch mit Linux und OS X kompatibel machen, erläuterten die Sicherheitsforscher. 

Die mit dem NW.js-Framework erstellten Desktop-Applikationen sollen wesentlich tiefer in das Betriebssystem eingreifen können als eine JavaScript-Anwendung, die in einer Sandbox abgeschottet in einem Webbrowser läuft."

Das spricht für das, was du im letzten Absatz sagst, also dass das Framework verschiedene Bibliotheken mitbringt, die die Adaption auf anderen OSsen erleichtert.

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
struppi5 Olaf19

„Das stimmt. Ich würde beide Aussagen für richtig erachten - Hier noch einmal der genaue Wortlaut aus dem Artikel ich ...“

Optionen

Es gibt kaum eine Sprache, die keine Bibliothek zum Entwickeln für verschiedene Plattformen hat und jede erstellte Anwendung hat prinzipiell Zugriff auf das OS. Insofern ist auch diese Aussage irreführend.

Das die Schadsoftware "mit wenigen Handgriffen" auch für andere Plattformen kompatibel wäre ist anhand des Artikels nicht erkennbar.

Die mit MW.js (und Node.js) erstellte Anwendung benutzt Chrome als GUI. In dem Fall wird eine chrome.exe auf den Rechner gepackt. Dann sind mehrere VB Skripte enthalten (wobei ich mich da Frage, woher die kommen? Ich glaube nicht, dass die von Node oder MW erzeugt werden können, womit aber die Plattformunabhängigkeit dahin wäre) und darüber hinaus eine DLL und eine exe als Behälter für die Netzwerkfunktionen.

Ich bezweifle ganz stark, dass hier wirklich eine Plattformunabhängige oder "mit wenigen Handgriffen" an andere System anpassbare Software erstellt wurde. Da sind ganz masiv Windowsspezifische Komponenten enthalten, deren Ursprung nicht klar ist.

Zumal das Framework gar keine "echte" Plattformunabhängigkeit hat, bzw. nur für deren Verwendungszweck - es benutzt den Chromebrowser als GUI. Darüber hinaus finde ich keinen Hinweis, dass damit Zugriffe auf das OS möglich sind (ausser über Node.js, aber das muss ja auch installiert werden). Das sind wohl Komponenten, die von aussen in die Anwendung eingebunden werden.

Das einzige worüber sich hier gewundert wird - was  aber eigentlich nichts besonders erwähnenswertes ist - ist, dass eine Programmiersprache, die die meisten Leute nur als Sprache im Browser kennen (und sie daher für "Gefährlich" halten, wie dieses schreckliche Semperviedeo auch suggeriert), auch in anderen Kontexten eingesetzt wird.

Es gibt aber auch umgekehrt Plugins die andere Programmiersprachen im Browser zulassen oder Javascript auf dem Server ist seit ein paar Jahren mit Node.js wieder sehr in Mode gekommen.

Im Gegensatz zu Javascript (genauer ECMAScript) das in verschiedenen Umgebungen laufen kann und dann auch sehr verschiedene Gefahrenszenarien erzeugt, ist Java nur in einer Java Umgebung lauffähig. Das ist aber Plattformunabhängig. Da jedes Kompilat auf jeden OS nativ läuft. Deshalb und weil Java auch Zugriff auf OS interna hat, sind Java Lücken wirklich gefährlich und Schadsoftware die mit Java erstellt wurde ebenfalls. Nur die wäre wirklich Plattformunabhängig (und würde auch relativ viele System erreichen, das Java recht weit verbreitet ist).

bei Antwort benachrichtigen
Olaf19 struppi5

„Es gibt kaum eine Sprache, die keine Bibliothek zum Entwickeln für verschiedene Plattformen hat und jede erstellte ...“

Optionen

Hi Struppi, danke für deine guten und detaillierten Erläuterungen.

Ich bezweifle ganz stark, dass hier wirklich eine Plattformunabhängige oder "mit wenigen Handgriffen" an andere System anpassbare Software erstellt wurde. Da sind ganz masiv Windowsspezifische Komponenten enthalten, deren Ursprung nicht klar ist.

Dann wären die Anwender alternativer Betriebssysteme, quasi alles außer Windows, also doch wieder im Vorteil, weil Javascript eben doch nicht systemübergreifend gleichermaßen funktioniert. Ich hatte den Artikel ursprünglich so verstanden, dass das OS des Anwenders in diesem Fall egal ist – etwa so, wie es auch keinen Unterschied macht, ob ich unter Mac OS X, Linux oder Windows meine TAN-Nummern an Gangster herausgebe. Die freuen sich in jedem Fall und könenn damit Schaden anrichten (was wiederum ein nicht ganz sauberer, weil stark vereinfachender Vergleich von mir ist).

wie dieses schreckliche Semperviedeo auch suggeriert

Findest du es jetzt deswegen "schrecklich", weil es den Sachverhalt ähnlich unzulässig vereinfacht wie der Heise-Artikel, oder hat das andere Gründe? Anschaulich fand ich es im Prinzip schon.

CU
Olaf

Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
Borlander struppi5

„Es gibt kaum eine Sprache, die keine Bibliothek zum Entwickeln für verschiedene Plattformen hat und jede erstellte ...“

Optionen
Dann sind mehrere VB Skripte enthalten […] Ich bezweifle ganz stark, dass hier wirklich eine Plattformunabhängige oder "mit wenigen Handgriffen" an andere System anpassbare Software erstellt wurde. Da sind ganz masiv Windowsspezifische Komponenten enthalten, deren Ursprung nicht klar ist. Zumal das Framework gar keine "echte" Plattformunabhängigkeit hat,

Spätestens für die unbemerkte Verschlüsselung im Hintergrund (oder z.B. ein Autostart der sich nicht einfach über Boardmittel des Betriebssystems abschalten lässt) braucht es eine systemspezifische Implementierung.

Deshalb und weil Java auch Zugriff auf OS interna hat, sind Java Lücken wirklich gefährlich

Letztendlich ist Java an dieser Stelle genauso gefährlich oder ungefährlich wie andere  Anwendungen die lokal mit Benutzerrechten ausgeführt werden.

bei Antwort benachrichtigen