(Echte) jpg-Datei mit Schadcode?

alouette · 25.02.2022, 15:11

Dankeschön für den Link

Ich habe die jpg-Datei von wintotal und hybrid-analysis testen lassen, und in beiden Fällen wurde das file als "sauber" deklariert.

Stellt sich nur die Frage, ob ein etwaiger Script in der Datei überhaupt entdeckt werden kann?

Bei der suche nach 8553-synccrypt-ransomware bin ich auf diese Seite geraten:

https://www.itmagazine.ch/artikel/65344/Ransomware_Synccrypt_versteckt_sich_in_JPG-Dateien.html

Dort steht:

Zitat:

Wie "Heise.de" in einem Beitrag meldet, verbreitet sich die Schadsoftware mittels Spam-Mails, deren Anhang ein Windows Script File (.wsf) ist, das bei Aktivierung den Download von Synccrypt startet. Weil sich Synccrypt in einer JPG-Datei versteckt, wird sie von Virenscannern nicht entdeckt. Ist die Datei erst einmal auf dem Rechner, öffnet das Script ein in der Bilddatei verstecktes Zip-Archiv, in dem sich die eigentliche Schadsoftware befindet, die danach ausgeführt wird.
...
Aktuell gibt es noch keine Möglichkeit, die verschlüsselten Dateien wieder zu entschlüsseln, aber immerhin kann Synccrypt nur durch das Script-File aktiviert werden. Die Bilddatei selbst ist für sich genommen harmlos.

Der Anhang war ja (meiner Meinung nach) keine .wsf-Datei sondern ein jpg-file. Wenn die wsf-Datei sich in der JPG-Datei befindet und beim Öffnen des Bildes der Download von Synccrypt gestartet wird, wie lange würde es dauern, bis ich davon etwas merke? Zur Zeit scheinen noch keine Daten verschlüsselt zu sein. Kann es Stunden, Tage oder gar Wochen dauern, bis das Zip-Archiv in der Bilddatei geöffnet wird, in der sich die Schadsoftware befinden könnte? Auf jeden Fall habe ich die besagte Datei umgehend (wenn auch erst gerade) gelöscht!

die für mich einigermassen verständlichste Erklärung findet sich bei heise security: https://www.heise.de/security/meldung/SyncCrypt-Neue-Ransomware-lauert-in-JPG-Dateien-3808437.html

Zur Ausführung des Scripts (Schadcode) ist erwähnt:

Zitat:

Um zu überprüfen, ob SyncCrypts Tarnung funktioniert, lud Abrams sowohl die .jpg- als auch die daraus extrahierte .exe-Datei beim Online-Scandienst VirusTotal hoch. Unmittelbar nach dem Upload erkannte nur einer von 58 Scannern die .jpg-Datei, während immerhin 28 von 63 Engines bei der .exe-Datei Alarm schlugen.

Abrams betont, dass die Bilddatei für sich genommen keinen Schaden anrichten könne. Rufe man sie direkt über eine von drei im Skript enthaltenen URLs auf, so sehe man einfach nur ein Album-Cover des isländischen Musikers Ólafur Arnalds. Erst in Kombination mit dem Windows Script File komme der enthaltene Schadcode zur Ausführung.

Ich kann mich nicht an den Inhalt des "Bildes" erinnern. Es war Text. Auf jeden Fall gab es in der e-mail keine URL's zum anklicken.

(Echte) jpg-Datei mit Schadcode?

Diskussionsforum: (Echte) jpg-Datei mit Schadcode?

(Echte) jpg-Datei mit Schadcode?

Ähnliche Themen: (Echte) jpg-Datei mit Schadcode?