Ransomware "Locky"

Z

Zar

0
Hallo liebe Community,
die seit kurzer Zeit kusierende Ransomware "Locky" hat in der Öffentlichkeit recht viel Aufmerksamkeit erregt und dies nicht unbegründet.
Leider hat die Software mittlerweile auch öffentliche Institution erreicht, wie z.b. Krankenhäuser.
Nun wollte ich mir das Teil mal genauer anschauen, doch leider war keiner meiner 3 Honeypot Emails befallen.
Hat jemand von euch eine der aktuellen Versionen von "Locky" zur Hand ?
Am besten mit Makro(WordDoc) und dem dazugehörigen Payload(Exe).

Da ich selbstverständlich die Forenregeln gelesen habe, möchte ich hier ausdrücklich nochmal betonen,
dass ich die Schadsoftware nur zu reinen Testzwecken benötigte. (RE & break)


Da dies mein erster Post hier im Forum ist, stelle ich mich mal kurz vor..
Ich bin Zar, schon ziemlich lange in der Szene aktiv...mit immer wieder anstehenden Pausen. Ich beschäftige mich hauptsächlich mit:
theoretischer & praktischer Kryptografie, - Kryptoanalyse
Softwareentwicklung sowie Reserve Engineering
allgemeine Sytsem & IT-Security
Forensik und Antiforensik
und manchmal bin ich auch einfach nur gerne der irrationale Coder...:D

Vielen Dank im voraus...

Zar
 
Nun wollte ich mir das Teil mal genauer anschauen, doch leider war keiner meiner 3 Honeypot Emails befallen.
Hat jemand von euch eine der aktuellen Versionen von "Locky" zur Hand ?
Am besten mit Makro(WordDoc) und dem dazugehörigen Payload(Exe).
Zum Vergrößern anklicken....
Ganz frisch aus der Mailbox (leider als JS-Downloader).
 
Funktionieren nicht

Hallo liebes Forum
Ich bin neu hier, und ich wollte gerne einige der hier verlinkten Viren in einer Virtuellen Maschine ausprobieren. Da ich mich gerne im IT-Bereich weiterbilden möchte, wäre es für mich interessant zu sehen wie diese Viren reagieren und was sie genau anrichten auf dem System.
Ich bräuchte aber Hilfe. Wenn ich diese von GitHub, welche von bitmuncher verlinkt wurden, herunterlade und entpacke, habe ich beim Beispiel von Locky eine Datei ohne Dateiendung vor mir, welche nach dem Versuch sie mit verschiedenen Programmen zu öffnen nichts macht. Und wenn ich das JScript, welches von CDW verlinkt wurde, anklicke, sagt Windows dass er die Datei aufgrund von Inkompatibilität nicht öffnen kann.
Was mache ich falsch? Wäre um Hilfe wirklich froh :)
 
Turw41th hat gesagt.:
Wenn ich diese von GitHub, welche von bitmuncher verlinkt wurden, herunterlade und entpacke, habe ich beim Beispiel von Locky eine Datei ohne Dateiendung vor mir,
Zum Vergrößern anklicken....
Das sollten ganz normale Exen sein, nur eben ohne die Endung "exe":
Code: 
 % file Locky
Locky: PE32 executable (GUI) Intel 80386, for MS Windows

Btw:
nicht wundern, falls irgendeine Malware in einer virtuellen Maschine "nichts macht" - VM Erkennung ist schon länger gang und gäbe und in einfachen Fällen mit ein paar Zeilen (kopierten) Code umsetzbar. Sollte wohl die misstrauischen Nutzer in Sicherheit wiegen und einfache Analys (auch mittels Onlinediensten) erschweren.

welche nach dem Versuch sie mit verschiedenen Programmen zu öffnen nichts macht. Und wenn ich das JScript, welches von CDW verlinkt wurde, anklicke, sagt Windows dass er die Datei aufgrund von Inkompatibilität nicht öffnen kann.
Zum Vergrößern anklicken....

Ich bezweifele, dass die Downloadadresse im Script noch gültig ist ;).
Die ZIP-Datei wurde "as is" hier angehangen – sprich, ich habe die Mail:
Code: 
From: <documents@inbox.ru>
To: <emperor_of_earth@galaxy.gal>
Subject: Emailing: MX62EDO  01.03.2016
Date: Tue, 01 Mar 2016 13:49:47 -0500
X-Mailer: Microsoft Office Outlook 11


Your message is ready to be sent with the following file or link
attachments:

MX62EDO  01.03.2016 SERVICE SHEET


Note: To protect against computer viruses, e-mail programs may prevent
sending or receiving certain types of file attachments.  Check your e-mail
security settings to determine how attachments are handled.


---
This email has been checked for viruses by Avast antivirus software.
https://www.avast.com/antivirus

[MX62EDO201603010928561.zip  application/zip (2800 bytes)]
so erhalten. Vermutlich müsste man's im Webmailer oder im Outlook öffnen.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben