Malware auf meinem iMac mit Erpressungsversuch
 

Liebe Forumsmitglieder,

ich habe am 04.01.2018 folgende Email auf meinem Emailkonto erhalten:

---------------------------------------------------------------------------------------------------------
Hallo!

Wie Sie vielleicht bemerkt haben, habe ich Ihnen eine E-Mail von Ihrem Konto aus gesendet.
Dies bedeutet, dass ich vollen Zugriff auf Ihr Konto habe.

Ihr Passwort zum Zeitpunkt des Hackens: kramer69
Selbst wenn Sie es ändern passwort, spielt es keine Rolle. Mein Trojaner wird und copien es abfangen.

Ich habe dich jetzt seit ein paar Monaten beobachtet.
Tatsache ist, dass Sie über eine von Ihnen besuchte Website für Erwachsene mit Malware infiziert wurden.

Wenn Sie damit nicht vertraut sind, erkläre ich es Ihnen.
Der Trojaner-Virus ermöglicht mir den vollständigen Zugriff und die Kontrolle über einen Computer oder ein anderes Gerät.
Das heißt, ich kann alles auf Ihrem Bildschirm sehen, Kamera und Mikrofon einschalten, aber Sie wissen nichts davon.

Ich habe auch Zugriff auf alle Ihre Kontakte und Ihre Korrespondenz.

Warum hat Ihr Antivirus keine Malware entdeckt?
Antwort: Meine Malware verwendet den Treiber.
Ich aktualisiere alle vier Stunden die Signaturen, damit Ihr Antivirus nicht verwendet wird.

Ich habe ein Video gemacht, das zeigt, wie du befriedigst dich... in der linken Hälfte des Bildschirms zufriedenstellen,
und in der rechten Hälfte sehen Sie das Video, das Sie angesehen haben.
Mit einem Mausklick kann ich dieses Video an alle Ihre E-Mails und Kontakte in sozialen Netzwerken senden.
Ich kann auch Zugriff auf alle Ihre E-Mail-Korrespondenz und Messenger, die Sie verwenden, posten.

Wenn Sie dies verhindern möchten, übertragen Sie den Betrag von 330€ an meine Bitcoin-Adresse
(wenn Sie nicht wissen, wie Sie dies tun sollen, schreiben Sie an Google: "Buy Bitcoin").

Meine Bitcoin-Adresse (BTC Wallet) lautet: 1Mj5cjH35v4GPBrj9FQykKrUMM4to8xWEq

Nach Zahlungseingang lösche ich das Video und Sie werden mich nie wieder hören.
Ich gebe dir 48 Stunden, um zu bezahlen.
Ich erhalte eine Benachrichtigung, dass Sie diesen Brief gelesen haben, und der Timer funktioniert, wenn Sie diesen Brief sehen.

Eine Beschwerde irgendwo einzureichen ist nicht sinnvoll, da diese E-Mail nicht wie meine Bitcoin-Adresse verfolgt werden kann.
Ich mache keine Fehler.

Wenn ich es herausfinde, dass Sie diese Nachricht mit einer anderen Person geteilt haben, wird das Video sofort verteilt.

Schöne Grüße!

---------------------------------------------------------------------------------------------------------

Das komische war das diese Email dem ersten Anblick nach von meiner eigenen Emailadresse gesendet wurde.

Ich dachte mir nichts dabei, habe aber vorsichtshalber das Passwort für alle meine Mailaccounts geändert. Nun habe ich heute und gestern wieder die gleiche Nachricht "anscheinend" wieder von meinem Account bekommen. Da mache ich mir nun doch Sorgen ob nicht doch etwas dran ist.

Hab heute schon mit dem Support von Checkdomain (wo ich die Emailadressen registriert habe) telefoniert. Der Mitarbeiter dort meinte sie hätten diese Mail auch bekommen und nach Prüfung der IP herausgefunden das die Mail von einem Server aus Asien kam und nicht vom eigenen. Er hat mir weiter geraten meinen Virenscanner auf Intensiv über mein System laufen zu lassen. Dieser läuft gerade hat aber noch nichts gefunden. Ich nutze einen "Kaspersky (19.0.0.294b)".

Laut IP Suche kam die Nachricht aus Melbourne.

Vielleicht hat jemand einen Tip was ich zur Sicherheit noch machen kann.

Vielen Dank schon einmal im voraus für Eure Hilfe.

-------------------------------------------------------------------------------------------------------------------------------------------------
Hier hätte ich nun noch den Quelltext der Email falls das irgendetwas zu bedeuten hat.

Return-Path: <info@kramerladen-glentleiten.de>
X-Original-To: info@kramerladen-glentleiten.de
Delivered-To: sxdgeotq1@host49.checkdomain.de
Received: from mx2.checkdomain.de (mx2.checkdomain.de [IPv6:2a01:4f8:10b:1067:c61b:626:b6c3:fc60])
by host49.checkdomain.de (Postfix) with ESMTPS id A20A67DA066E
for <info@kramerladen-glentleiten.de>; Fri, 4 Jan 2019 11:40:31 +0100 (CET)
Received: from 60-240-132-79.static.tpgi.com.au ([60.240.132.79])
by mx2.checkdomain.de with esmtp (Exim 4.89)
(envelope-from <info@kramerladen-glentleiten.de>)
id 1gfMts-00085z-Ix
for info@kramerladen-glentleiten.de; Fri, 04 Jan 2019 11:40:31 +0100
Message-ID: <111724211624965171208578@kramerladen-glentleiten.de>
From: <info@kramerladen-glentleiten.de>
To: "kramer69" <info@kramerladen-glentleiten.de>
Subject: Hohe Gefahr. Konto wurde angegriffen.
Date: 5 Jan 2019 07:16:14 +1000
MIME-Version: 1.0
Content-type: multipart/alternative;
boundary="---13672ED9395A90CEBAF304E4874D1367"
X-Mailer: Pvcfkbe vkdhhqc
X-SpamExperts-Class: unsure
X-SpamExperts-Evidence: Combined (0.81)
X-Recommended-Action: accept
X-Filter-ID: PqwsvolAWURa0gwxuN3S5aX1D1WTqZz4ZUVZsEKIAZmQZhrrHO4tCCdd7Glc/hE6+wo0G8vn7osS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==
X-Report-Abuse-To: spam@mx1.checkdomain.de

This is a multi-part message in MIME format.

-----13672ED9395A90CEBAF304E4874D1367
Content-type: text/plain;
charset="ibm852"
Content-transfer-encoding: quoted-printable

Hallo!

Wie Sie vielleicht bemerkt haben, habe ich Ihnen eine E-Mail von Ihrem =
Konto aus gesendet.
Dies bedeutet, dass ich vollen Zugriff auf Ihr Konto habe.

Ihr Passwort zum Zeitpunkt des Hackens: kramer69
Selbst wenn Sie es ändern passwort, spielt es keine Rolle. Mein =
Trojaner wird und copien es abfangen.

Ich habe dich jetzt seit ein paar Monaten beobachtet.
Tatsache ist, dass Sie über eine von Ihnen besuchte Website =
für Erwachsene mit Malware infiziert wurden.

Wenn Sie damit nicht vertraut sind, erkläre ich es Ihnen.
Der Trojaner-Virus ermöglicht mir den vollständigen Zugriff =
und die Kontrolle über einen Computer oder ein anderes Gerät.
Das heißt, ich kann alles auf Ihrem Bildschirm sehen, Kamera und =
Mikrofon einschalten, aber Sie wissen nichts davon.

Ich habe auch Zugriff auf alle Ihre Kontakte und Ihre Korrespondenz.

Warum hat Ihr Antivirus keine Malware entdeckt?
Antwort: Meine Malware verwendet den Treiber.
Ich aktualisiere alle vier Stunden die Signaturen, damit Ihr Antivirus =
nicht verwendet wird.

Ich habe ein Video gemacht, das zeigt, wie du befriedigst dich... in der =
linken Hälfte des Bildschirms zufriedenstellen,=20
und in der rechten Hälfte sehen Sie das Video, das Sie angesehen =
haben.
Mit einem Mausklick kann ich dieses Video an alle Ihre E-Mails und =
Kontakte in sozialen Netzwerken senden.=20
Ich kann auch Zugriff auf alle Ihre E-Mail-Korrespondenz und Messenger, =
die Sie verwenden, posten.

Wenn Sie dies verhindern möchten, übertragen Sie den Betrag =
von 330€ an meine Bitcoin-Adresse=20
(wenn Sie nicht wissen, wie Sie dies tun sollen, schreiben Sie an =
Google: "Buy Bitcoin").

Meine Bitcoin-Adresse (BTC Wallet) lautet: =
1Mj5cjH35v4GPBrj9FQykKrUMM4to8xWEq

Nach Zahlungseingang lösche ich das Video und Sie werden mich nie =
wieder hören.
Ich gebe dir 48 Stunden, um zu bezahlen.
Ich erhalte eine Benachrichtigung, dass Sie diesen Brief gelesen haben, =
und der Timer funktioniert, wenn Sie diesen Brief sehen.

Eine Beschwerde irgendwo einzureichen ist nicht sinnvoll, da diese =
E-Mail nicht wie meine Bitcoin-Adresse verfolgt werden kann.
Ich mache keine Fehler.

Wenn ich es herausfinde, dass Sie diese Nachricht mit einer anderen =
Person geteilt haben, wird das Video sofort verteilt.

Schöne Grüße!
-----13672ED9395A90CEBAF304E4874D1367
Content-type: text/html;
charset="ibm852"
Content-transfer-encoding: quoted-printable

<html><head>
<meta http-equiv=3DContent-Type content=3D"text/html; =
charset=3Dibm852"></head>
<body>Hallo!<br>
<br>
Wie Sie vielleicht bemerkt haben, habe ich Ihnen eine E-Mail von Ihrem =
Konto aus gesendet.<br>
Dies bedeutet, dass ich vollen Zugriff auf Ihr Konto habe.<br>
<br>
Ihr Passwort zum Zeitpunkt des Hackens: kramer69<br>
Selbst wenn Sie es ändern passwort, spielt es keine Rolle. Mein =
Trojaner wird und copien es abfangen.<br>
<br>
Ich habe dich jetzt seit ein paar Monaten beobachtet.<br>
Tatsache ist, dass Sie über eine von Ihnen besuchte Website =
für Erwachsene mit Malware infiziert wurden.<br>
<br>
Wenn Sie damit nicht vertraut sind, erkläre ich es Ihnen.<br>
Der Trojaner-Virus ermöglicht mir den vollständigen Zugriff =
und die Kontrolle über einen Computer oder ein anderes =
Gerät.<br>
Das heißt, ich kann alles auf Ihrem Bildschirm sehen, Kamera und =
Mikrofon einschalten, aber Sie wissen nichts davon.<br>
<br>
Ich habe auch Zugriff auf alle Ihre Kontakte und Ihre Korrespondenz.<br>
<br>
Warum hat Ihr Antivirus keine Malware entdeckt?<br>
Antwort: Meine Malware verwendet den Treiber.<br>
Ich aktualisiere alle vier Stunden die Signaturen, damit Ihr Antivirus =
nicht verwendet wird.<br>
<br>
Ich habe ein Video gemacht, das zeigt, wie du befriedigst dich... in der =
linken Hälfte des Bildschirms zufriedenstellen, <br>
und in der rechten Hälfte sehen Sie das Video, das Sie angesehen =
haben.<br>
Mit einem Mausklick kann ich dieses Video an alle Ihre E-Mails und =
Kontakte in sozialen Netzwerken senden. <br>
Ich kann auch Zugriff auf alle Ihre E-Mail-Korrespondenz und Messenger, =
die Sie verwenden, posten.<br>
<br>
Wenn Sie dies verhindern möchten, übertragen Sie den Betrag =
von 330€ an meine Bitcoin-Adresse <br>
(wenn Sie nicht wissen, wie Sie dies tun sollen, schreiben Sie an =
Google: "Buy Bitcoin").<br>
<br>
Meine Bitcoin-Adresse (BTC Wallet) lautet: =
1Mj5cjH35v4GPBrj9FQykKrUMM4to8xWEq<br>
<br>
Nach Zahlungseingang lösche ich das Video und Sie werden mich nie =
wieder hören.<br>
Ich gebe dir 48 Stunden, um zu bezahlen.<br>
Ich erhalte eine Benachrichtigung, dass Sie diesen Brief gelesen haben, =
und der Timer funktioniert, wenn Sie diesen Brief sehen.<br>
<br>
Eine Beschwerde irgendwo einzureichen ist nicht sinnvoll, da diese =
E-Mail nicht wie meine Bitcoin-Adresse verfolgt werden kann.<br>
Ich mache keine Fehler.<br>
<br>
Wenn ich es herausfinde, dass Sie diese Nachricht mit einer anderen =
Person geteilt haben, wird das Video sofort verteilt.<br>
<br>
Schöne Grüße!</body></html>
-----13672ED9395A90CEBAF304E4874D1367--

Servus,




Drohung ignorieren, Mail löschen, nicht zahlen!



Das klingt nach Erpresser-Mail, siehe dazu auch hier:

Vorsicht vor neuen Porno-Erpresser-Mails
Erpresser-Mails: Online-Gauner kassieren jetzt mit Handynummern ab
Passwort-Mail: Erpresser machen schnelle Kasse
Erpressungsmails mit echten Passwörtern im Umlauf

Servus,

danke das dachte ich auch aber woher hat er dann das Passwort? Und was mir gerade noch aufgefallen ist seit dem versucht sich immer wer von meiner IP bei Checkdomain einzuloggen anscheinend mit falschem Passwort da meine IP dann dort komplett gesperrt wird.

Danke schon mal für die Antwort.

Steht doch in mindestens einem der Artikel!

..."Diese Daten stammen wahrscheinlich aus Cyber-Einbrüchen bei Online-Diensten wie Yahoo, LinkedIn, eBay oder YouPorn. Inzwischen kursieren mehrere Milliarden Account-Daten im Netz, viele davon findet man leicht im Netz – oder gegen einen kleinen Obolus im Darknet."

Je nachde welches email Programm verwendet wird, und eine automatische Lesebestätigung versandt wird, hat der Sender der email die Kenntnis dass die email gelesen wurde und diese email Adresse existiert. Das Wort --kramer-- (vom passwort: kramer69) kommt in jedem Lexikon und Wortdatenbank vor so dass die Hacker Software nur noch zwei Zahlen Kombinationen ausprobieren muss. Solch ein Passwort zu verwenden ist gar nicht gut. Außerdem verfuegt er wohl nun auch ueber die IP Adresse deines Rechners und konnte ggf. Dein Rechner angreifen. Hoffentlich hast Du alle Sicherheits Patches der Anwendungen, Betriebssystem und Router gemacht. Kann der Router vieleicht auch schon kompromitiert sein? Ich wurde in gar keinem Fall antworten, diese email ist einfach nur ein Fake, ich habe auf ueber 50 Servern diese emails in den letzten Tagen mehrmals ueber verschiedene email Konten auch erhalten. Schlecht waere es wenn ein email Programm html code oder Bilder nachlaed die in der email versteckt oder auch sichtbar sind. Denn dann koennte je nach email Anwendung und Konfiguration u.U. Code nachgeladen werden. Das sicherste wäre einen kompletten Systemcheck durchzufuehren. Falls Hilfe benoetigt wird einfach melden.
Gruß
Martin
Information Security Officer

Hinweis zu Deiner email Header Information:

Von hier kam die email --also nicht von Deinem email Konto--, und vermutl. war Dein Konto zu diesem zeitpunkt auch noch nicht gehackt.
Received: from 60-240-132-79.static.tpgi.com.au ([60.240.132.79]) <= Absender IP Adresse

by mx2.checkdomain.de with esmtp (Exim 4.89) <= empfangen vom email server
(envelope-from <info@kramerladen-glentleiten.de>) <= Absender email nur vorgtäuscht !

Gruss
Martin
Information Security Beauftragter

Hallo,

ich habe diese E-Mail auch bekommen. Man kann Absender-E-Mail-Adresse vorgaukeln. Also irgendeine real existierende Adresse als Absender in diversen Programmen eingeben und E-Mails versenden.

Wenn diese Leute tatsächlich, wie behauptet ("..., habe ich Ihnen eine E-Mail von Ihrem Konto aus gesendet."), diese E-Mail von meinem Konto aus gesendet hätte, müsste es auch unter Gesendete Objekte zu finden sein.

Ich habe das überprüft, mich über einen Webbrowser in meinem E-Mail-Account eingeloggt, diese E-Mail war dort nicht zu finde. Ergo: diese E-Mail wurde nicht von meinem Account versendet. Das bedeutet für mich, diese Leute machen viel Lärm um Nichts, erzeugen Angst und wollen Geld erpressen. --> ab in den Müll damit.

So einfach ist das aber nicht :p - Wenn die phöhsen Hacker Zugriff auf dein Konto hätten, können sie auch (online) die Nachricht aus Gesendet löschen ;)