Cleverer, gefährlicher und teurer als alle Erpresser-Trojaner zuvor: Samsa zwingt sogar das FBI zum Handeln

TeslaCrypt war der Anfang, Locky richtete besonders groen Schaden an, auch Petya und PowerWare nehmen in diesen Tagen Hunderttausende Rechner in Gefangenschaft und fordern hohe Summen, um Daten wieder freizugeben. Nun erreichte mich die Nachricht eines weiteren heimtckischen Erpresser-Trojaner, der Ihrem System noch greren Schaden zufgt und noch hhere Lsegelder fordert als all seine Vorgnger. Sein Name lautet: Samsa.

Bislang treibt der Trojaner vor allem in den USA sein Unwesen. Ich wei aus sicherer Quelle, dass die Erpresser in krzester Zeit bereits 115.000 US-Dollar (umgerechnet 101.646 Euro) von Anwendern erpresst haben. Darunter befindet sich mit dem Hollywood Presbyterian Medical Center auch ein prominentes Opfer, das 40 Bitcoins und damit umgerechnet knapp 15.000 Euro an die Kriminellen berwies. Auch das FBI hat sich diesem Fall bereits angenommen und eine offizielle Warnung vor dem heimtckischen Trojaner ausgesprochen.

Die Programmierer von Samsa fordern nicht nur enorme Summen, sie gehen bei der bernahme Ihres Rechners auch noch cleverer vor, als Locky und Co.. Samsa, das auch als Samsam, Samas oder Mokoponi in Erscheinung tritt, verschlsselt nach der bertragung nicht einfach alle greifbaren Daten, nein, Samsa bricht gezielt in verwundbare Netze ein.

Dort versteckt sich der Trojaner zunchst unbemerkt, untersucht die Infrastruktur und verbreitet sich in Ihrem Netzwerk in alle Systembereiche. Erst im letzten Schritt verschlsseln die Erpresser manuell eine gewaltige Zahl von Daten inklusive Ihrer Backups, die teilweise auch ganz gelscht werden. Die verschlsselten Dateien enden alle auf encedRSA oder auch encrypted.RSA.

Schtzen knnen Sie sich derzeit nur durch hohe Wachsamkeit. Sie sollten in diesen Tagen, wo die Zahl der gefhrlichen Trojaner ein Allzeit-Hoch erreicht hat, so wachsam sein, wie nie zuvor. ffnen Sie keine E-Mail-Anhnge und seien Sie misstrauisch, wenn sie E-Mails erhalten, deren Absender sie nicht kennen. berprfen Sie dabei auch immer die genaue Adresse des Absenders. Entspricht diese nicht exakt der des Unternehmens, Ihres Bekannten oder Freundes, lschen Sie die E-Mail umgehend.

Ich wünsche Ihnen viel Erfolg und Spaß bei der Lektüre Ihres Viren-Tickers,

Ihr

Daniel Gerb
Herausgeber "Viren-Ticker"

Windows 10-Lcke entdeckt: Deutscher Forscher erhlt 100.000 Dollar

Ein deutscher Sicherheitsforscher hat einen vollstndigen und zuverlssigen Exploit fr Internet Explorer 11 (64 Bit) unter Windows 10 prsentiert, mit dem es einem Angreifer gelingt, eine Remote-Code-Ausfhrung durch den Ausbruch aus der Sandbox zu vollziehen. Microsoft zahlte fr die Einreichung der Sicherheitslcke die Hchstsumme von 100.000 US-Dollar.

Microsofts Bug Bounty Programm luft erst seit Mitte 2013. Der Konzern zahlt dabei fr die bersendung von Schwachstellen in ihren Produkten und Web-Anwendungen mehrere hundert bis zu einigen tausend US-Dollar im Normalfall. Fr besonders schwerwiegende Sicherheitsprobleme greift Microsoft aber auch tiefer in die Tasche - was allerdings sehr selten passiert.

Nun wird zum vierten Mal in der Geschichte des Bug Bounty Programms die Hchstsumme von 100.000 US-Dollar fr einen Exploit gezahlt. Der deutsche Sicherheitsforscher Moritz Jodeit vom Frankfurter Unternehmen Blue Frost Security erhlt den Preis fr die bersendung eines Exploits, an dem Jodeit laut Heise rund drei Monate gearbeitet hatte.

Sein Exploit zielt auf eine Schwachstelle im Internet Explorer 11 (64 Bit) unter Windows 10, "welcher die Ausfhrung beliebigen Codes im Kontext des angegriffenen Benutzers ermglicht", erlutert das Unternehmen Blue Frost Security in einem Blogeintrag. "Neben der initialen Schwachstelle enthielt die Einreichung eine Technik zum Ausbruch aus der Internet Explorer Enhanced Protected Mode (EPM) Sandbox sowie zustzlich einen Weg zur Umgehung des Enhanced Mitigation Experience Toolkit (EMET) in der aktuellen Version 5.5."

Derzeit arbeitet Microsoft an der Behebung der gemeldeten Schwachstellen. Erst wenn entsprechende Updates vorliegen, die die Fehler bereinigen, will Blue Frost Security Details zu dem Exploit und zu den verwendeten Techniken zur Umgehung der Sicherheitsbarrieren verffentlichen.

Quelle: WinFuture

Exploit-Code für Android-Lücke gesichtet

Eine als kritisch eingestufte Sicherheitslücke in Android kann durch böswillige Apps genutzt werden, um sich Root-Rechte zu verschaffen. Inzwischen sind Exploits für diese Lücke aufgetaucht.

Mitte März hat Google eine Sicherheitsmeldung zur einer kritischen Android-Schwachstelle veröffentlicht. Die Lücke ist unter dem Bezeichner CVE-2015-1805 bekannt und kann es Apps ermöglichen Root-Rechte zu erlangen. Das japanische Sicherheitsunternehmen Trend Micro hat inzwischen Exploits (Angriffs-Code) für diese Lücke im Netz entdeckt und erwartet, dass in Kürze damit ausgestattete Apps auftauchen werden.

Die Schwachstelle geht auf eine Lücke im Linux-Kernel vor Version 3.18 zurück, die bereits im April 2014 entdeckt worden war. Doch der Patch für den Linux-Kernel wurde nicht nach Android portiert, das ebenfalls auf Linux basiert. Anfällig sind Android-Geräte, die mit dem Linux-Kernel 3.4, 3.10 und 3.14 arbeiten, etwa Googles Nexus-Geräte (auch bei Android 6.x) und etliche andere. Android-Versionen mit Linux-Kernel 3.18 sind nicht betroffen.

Die Schwachstelle wurde an sich als DoS-Lücke (Denial of Service) mittlerer Risikostufe betrachtet. Doch ein funktionierender Exploit, der Apps Root-Zugriff auf das System ermöglicht, kann die Sicherheit des Android-Gerät erheblich beeinträchtigen. Schädliche Apps können sich so tief ins System eingraben, dass sie durch den Benutzer kaum noch zu entfernen sind. Im englischen TrendLabs Security Intelligence Blog finden Sie technische Details zur Schwachstelle.

Google erlaubt in seinem Play Store kein Rooting-Apps – wer nur Apps aus Google Play installiert, sollte also auf der sicheren Seite sein. Allerdings hatte es eine nicht näher benannte Rooting-App, die diese Schwachstelle ausnutzt, in den Play Store geschafft. Sie war auch in anderen App-Portalen erhältlich und ist es womöglich zum Teil noch immer. Google hat zwar ein Sicherheits-Update bereit gestellt, das die Lücke stopfen soll, das ist jedoch noch längst nicht bei allen betroffenen Geräten angekommen.

Quelle: PC Welt