kryptowehrmann.com ist down, wehrmann.legal ist erreichbar

Genau

Was auch immer da mit "zerlegt" gemeint ist

Sieht so aus, als wär der DNS-Eintrag bzw. die Domain gelöscht:

Erstaunlich wie schnell das ging

Nur mal als Sicherheitshinweis: Werbeanzeigen auf Facebook sind nun mal gar keine Quelle, an der man sich orientieren, geschweige denn anhand derer man einen Anwalt aussuchen, geschweige denn irgendwas runterladen und installieren sollte. Das ist trotz allen FraudGPTs und Co immer noch die gleiche Regel, wie sie schon vor 20 Jahren galt. Das ist das ganz simple Web-ABC.

Und: Solche Werbeanzeigen bekommt man überhaupt gar nicht erst zu Gesicht, wenn man einen Adblocker wie uBlock Origin verwendet. Dann muss man nicht mal den Kopf bemühen und entscheiden, da nicht drauf zu klicken. Es taucht schlichtweg nicht auf.

Es sind gekaufte Werbeanzeigen die im FEED von Facebook angezeigt werden. Einige sind so deutlich Fake, andere weniger. Bekomme diese immer wieder angezeigt. Manche sind normale Werbeanzeigen manche sind aber auch echt Betrug.

Ich hab auch ein VPN (Surfshark) der hat eine CleanWeb Funktion.

ABer okay uBlock Origin müsste man ausprobieren

Beispiel:

https://i.ibb.co/wCYCWqV/12222222.jpg

Die "Werbeanzeige" ist so dümmlich, dass sich die Zehennägel kräuseln.

Ofensichtlich hat man Mitbürger im Visier, bei denen bereits die Ankündigung auf Gratisgeld die verbliebenen Hirnzellen ausschaltet.

Solche Werbeanzeigen habe ich noch nie gesehen, weil ich vor Jahren nach nicht einmal 6 Monaten meinen damaligen Facebook Account gelöscht habe und auch sonst nicht bei Social Media wie Instagram, Twitter oder Sonstiges einen Account hätte.

Noch ein Beispiel

https://i.ibb.co/VjWKV3G/13.jpg

Und solche Werbeanzeigen bekommst du in deinem Bowser unter Windows angezeigt bei Facebook? auch dann, wenn du uBlock Origin für deinen Browser benutzt?

Das teste ich aus

Ist - wie erwartet ein Infostealer. Da läuft eine Variante von RedLine.

Zum Nachlesen:

https://securityscorecard.com/resear...dline-stealer/ (englisch)
https://sectank.net/magazin/2023/05/...nter-der-lupe/ (deutsch)

Dass du nach dem Starten der Datei nix gesehen hast, ist Absicht. Es passiert auch nix auf dem Bildschirm. Im Hintergrund hingegen schon. Speziell deine Datei macht folgendes:

Sie klaut Zugangsdaten für Kryptowährungen, dabei prüft Sie, ob es folgende Pfade auf dem Rechner gibt:

"C:\Users\%USERNAME%\AppData\Roaming\Armory"
"%LOCALAPPDATA%\COINOMI\COINOMI\WALLETS"
"C:\Users\%USERNAME%\AppData\Roaming\ELECTRUM\WALLETS"
"C:\Users\%USERNAME%\AppData\Roaming\ETHEREUM\WALLETS"
"C:\Users\%USERNAME%\AppData\Roaming\EXODUS\EXODUS.WALLET"
"C:\Users\%USERNAME%\Documents\MONERO\WALLETS"
"%LOCALAPPDATA%\COINOMI\COINOMI\WALLETS"
"%APPDATA%\ELECTRUM\WALLETS"
"%APPDATA%\ETHEREUM\WALLETS"
"%APPDATA%\EXODUS\EXODUS.WALLET"
"%USERPROFILE%\Documents\MONERO\WALLETS"
Wenn die Pfade vorhanden sind, wird versucht, jeweils die Walletadressen zu kopieren.

Weiterhin wird versucht, Benutzerdaten auszulesen, unter anderem aus Browsern und von FTP-Zugängen und natürlich Wallets:

"C:\Users\%USERNAME%\AppData\Roaming\K-Meleon"
"%LOCALAPPDATA%\CHROMIUM\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\GOOGLE\CHROME\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\MAPLESTUDIO\CHROMEPLUS\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\IRIDIUM\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\7STAR\7STAR\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\CENTBROWSER\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\CHEDOT\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\VIVALDI\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\KOMETA\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\ELEMENTS BROWSER\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\EPIC PRIVACY BROWSER\USER DATA"
"C:\Users\%USERNAME%\AppData\Local\UCOZMEDIA\URAN\USER DATA"
"%APPDATA%\Thunderbird"
Dann lernt das Programm noch deinen Rechner kennen:

IP-Adresse
Stadt
Land
aktueller Benutzername
Version des Betriebssystems
UAC-Einstellungen
Administratorrechte vorhanden?
PC-Prozessor
Grafikkarte
Antiviren-Software
Antispyware-Software
Firewall
All das, was dabei rumkommt, jagt der Infostealer erstmal heim. "Daheim" ist die IP 5.42.65.48 an Port 8477. Die IP ist online und wird von einem russischen Unternehmen gehostet.

Das bedeutet: wenn nicht dein Antivirenprogramm dazwischengegrätscht ist, hast du einen aktiven Infostealer auf deinem System, der direkt brav erstmal alles nach Hause telefoniert hat, was er gefunden hat.

Das bedeutet: über einen anderen Rechner die Zugangsdaten der Dienste ändern, die du nutzt und in der Liste oben jeweils aufgeführt sind.

Bei den Kollegen von trojaner-board.de Bescheid geben und jemanden dort bitten, deinen Rechner aus der Ferne zu überprüfen. Die haben das feste Routinen mit Freeware wie Combofix und RKill.





Quelle:

https://www.antispam-ev.de/forum/showthread.php?42839-Warnung-kryptowehrmann-com-schickt-Malware/page2

Hat übrigens geklapppt mit den Plugin
Sehe keine Facebook Werbeanzeigen mehr

Wir wissen schon, warum wir uBlock Origin nutzen und es auch anderen Usern empfehlen. Aber es kann noch mehr: es schützt auch vor unseriösen Downloads bekannter Software wo die Installer mit Adware behaftet sind.

Ja kenne ich die leider auch sehr gut in Google gelistet sind