Thema "Re: Trojaner - Ransomware - Haben Sie weitere Tipps?" in IT-Club

Trojaner - Ransomware - Haben Sie weitere Tipps?

Katja_Knoedel — Fri, 22 Apr 2016 14:35:13 GMT

In unserem Intro des IT-Clubs sprechen wir den Trojaner auch an. Es kommt immer wieder die Frage? Was kann ich tun?

Die Teilnehmer beantworten die Frage oftmals selbst:

1. Gesicherter und geschützter Internetzugang (bei DATEV Sichere Kanzlei-IT von und mit DATEV )

2. Lokaler aktueller Virenscanner (Bei DATEV der VIWAS)

3. Mitarbeiter schulen und sensibilisieren

4. Ordentliche Datensicherung

Bezahlen des Lösegeldes halten die meisten für nicht sinnvoll

Denn wer einmal bezahlt, der könnte ja auch Geld für ein zweites Mal haben

http://www.winboard.org/artikel-ratgeber/6678-ransomware-jigsaw-so-wird-man-den-datenkiller-wieder-los.html

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

deusex — Fri, 22 Apr 2016 15:19:34 GMT

Der beste Tipp ?! Zitat aus Ihrem Link:

"Öffne niemals einen Anhang einer E-Mail, deren Absender du nicht kennst!"

... und Mitarbeiter eindringlich "briefen".

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

mkinzler — Fri, 22 Apr 2016 15:31:24 GMT

Aber auch von bekannten Absendern erhält man leider gefährliche Anhänge.

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

deusex — Fri, 22 Apr 2016 15:36:25 GMT

Deswegen hieß der Tipp auch nicht:

"Öffne immer Anhänge von e-mails, deren Absender Du kennst !"

Es hört sich zwar wie das Gegenteil an, ist jedoch etwas ganz anderes...

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

mkinzler — Fri, 22 Apr 2016 15:41:56 GMT

So hatte ich es auch nicht verstanden. Aber Anhänge werden immer gefährlicher.

Wichtig ist es auch, dass nur Anhänge geöffnet werden, welche man erwartet. Man muss auch abwägen, in wieweit Sicherheitsvorkehrungen bzgl der Anhänge sinnvoll sind ( z.B. Sperrung von gefährlichen Dateitypen mit Makros, bzw. autom. Entfernung von Makros.), aber das ist in der Praxis oft nicht möglich.

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

agmü — Fri, 22 Apr 2016 15:47:32 GMT

Absolute Sicherheit wird es nicht geben.

Gerade in Zeiten, in denen die Aufmerksamkeitsspanne täglich sinkt

Ich versuche meinen Mitarbeitern folgende Fragen einzuschärfen:

Ist der Anzeigename und die E-Mailadresse identisch?

Kenne ich den Absender?

Erwarte ich von diesem Absender eine Nachricht?

Sind Kontaktdaten in der E-Mail- enthalten (Signatur im Outlook-Sprech)?

Stimmen die Kontaktdaten mit den mir bekannten Daten überein?

Erwarte ich eine Nachricht mit Anhang?

Welche Art von Anhang erwarte ich (pdf, docx, zip)?

Wenn nur eine der Fragen mit nein/vielleicht zu beantworten ist, -> anrufen, ob Mail versendet wurde. sonst "delete"

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

theo — Fri, 22 Apr 2016 18:17:07 GMT

Aber auch von bekannten Absendern erhält man leider gefährliche Anhänge.

Echt? Da würd mich das konkrete Beispiel interessieren. Ich bin bisher davon ausgegangen, dass die Zeiten von Viren vorbei sind.

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

theo — Fri, 22 Apr 2016 18:23:04 GMT

- Sandboxing / Virtualisierung der Mailclients. M.W. gibts es bisher keine gängige Schadsoftware, die aus sowas ausbricht (Targeted / Government Attacks ausgenommen)
- Verzicht auf Standardsoftware (99% aller Attacken beziehen sich darauf

und das ganze standardlich.

Ein Emailclient, der unter einem schlanken Non-Targeted OS läuft, kostet zw. 50 - 500MB Diskspace u. 5MB - 1GB RAM. Also kein Ding heutzutage.

Ich glaube, beim letzten IT-Club wo ich war (so vor ca. 5 Jahren) fand die Datev die Blackberry-Virtualisierung ganz toll. Das das Mist ist, weiss man ja jetzt, closed source halt

Mit open source standards sollte es allerdings klappen....

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

Katja_Knoedel — Tue, 26 Apr 2016 12:45:36 GMT

Hier noch ein interessanter Beitrag

https://www.dsin-blog.de/noch-einmal-locky-und-konsorten

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

Tue, 26 Apr 2016 15:48:13 GMT

Moin,

da die meisten Trojaner im User Kontext ausgeführt werden kann man in Netzwerkumgebungen die Ausführung von Programmen in diesen mittels SRP (Software Restriction Policies) verbieten. Nicht ganz trivial, könnte aber hilfreich sein.

Gruß

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

thomas_goertz — Tue, 26 Apr 2016 21:24:12 GMT

Guten Abend,

wir haben uns über die Technik informiert, die von der Firma AppSense angeboten wird. Mit der Software "AppSense Application Manager" kann man genau das Ergebnis erzielen. Stichwort: "Trusted Ownership Checking". ABER: In einer DATEV Umgebung ist der Installationsaufwand sehr hoch - wenn überhaupt möglich. Das musste nach einer genauen Recherche bei AppSense dann auch so zugegeben werden.

Der local User muss - je nach Konfiguration - eben doch innerhalb der DATEV Umgebung zu viele Rechte haben, die man mit dieser Technik nur schwer einschränken kann.

Wir verfolgen da eher neben den wichtigen Faktoren wie Sensibilisierung MA, Datensicherung u.a. (siehe 1. Eintrag von Frau Knödel) den Weg über die Firewall. Hier setzen wir auch das Sandboxing von SOPHOS ein.

Gruß

Thomas Goertz

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

Katja_Knoedel — Sun, 01 May 2016 19:49:16 GMT

Jetzt mal eine bestimmte Branche - Anwälte

http://www.heise.de/newsticker/meldung/Spionage-Angriff-auf-deutsche-Anwaltskanzleien-3189778.html

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

agmü — Mon, 02 May 2016 07:58:06 GMT

Welcher Kollege/Versicherung versendet die Schreiben im Zip - Format?

Allein dass der Anhang gezippt ist, sollte alle Alarmanlagen mit 100 dB läuten lassen.

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

mkinzler — Mon, 02 May 2016 08:01:30 GMT

Gezippte Anhänge sind keine Seltenheit, da dies oft die "einfachste" Form von "Verschlüsselung" ist oder um die Dateigröße zu verringern.

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

Mon, 02 May 2016 08:12:01 GMT

Moin,

leider sind zip Dateien oftmals der einzige Weg, um Dateianhänge zwischen der Windowswelt und z. B. Mac OS ohne Verluste zu versenden.

Gruß

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

agmü — Mon, 02 May 2016 16:13:22 GMT

für den Versand von Dokumenten eignet sich auch zwischen der Windows und der Apple-Welt das pdf-Format am besten. Es hat den Vorteil, dass Veränderungen nur schwer möglich sind.

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

agmü — Mon, 02 May 2016 16:18:07 GMT

Auch wenn ich persönlich von eBay nichts halte, so finde ich die Hinweise wie Spoofing-Mails von eBay erkannt werden können, doch Lesens und Beachtens wert. http://pages.ebay.de/help/account/recognizing-spoof.html. Gefunden habe ich den Hinweis über den Artikel auf Heise eBay-Phisher gehen mit persönlichen Details auf Opferfang | heise online .

Mir nicht verständlich ist, wie auf die dort wiedergegebene Mail überhaupt jemand reagiert; oder sind die Grundkenntnisse zu Pflichtangaben in Geschäftsbriefen, die auch für E-Mails gelten so miserabel.

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

thomas_goertz — Mon, 02 May 2016 20:36:46 GMT

Guten Abend,

Ihre Aussage kann ich nur bedingt bestätigen. Wir haben auch Mandanten, die in der Apple-Welt zu Hause sind und trotzde klappt der Austausch von Office Dokumenten. Bisher ist mir auch kein Fall bekannt - auch nicht aus dem privaten Umfeld - bei dem Dateien nur in Fragmenten von A nach B übertragen wurden.

Grunsätzlich stimm ich Herrn Müller zu; der Versand von PDF Dokumenten ist von Vorteil. Bei uns wird aber häufig das Excel Format "getauscht", da wir oder der Mandant mit den Daten weiterar muss.

Gezippte kennwortgeschützte Daten bekommen wir aber auch, da es im Handling einfacher ist, als z.B. 10 einzelne Dateien mit Passwort zu versehen.

Gruß

Thomas Goertz

P.S.: Es wäre persönlicher, wenn Sie hier wenigstens mit einem Pseudonym auftreten würden.

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

Tue, 03 May 2016 08:35:11 GMT

Moin,

zunächst, das Problem mit den zip Dateien habe ich über einen Dienstleister gelöst. Ich kann dort Daten versenden, Daten empfangen und habe einen Speicherbereich zum Austausch. Läuft verschlüsselt ab und ist mit einem Passwort geschützt, meine Mandanten auch dem Apple Bereich nehmen das sehr gut an.

Zum PS: ichauch ist ein Pseudonym und das wird auch so bleiben. Die NG ist überall sichtbar und wird von den Kraken indiziert. Meinen Klarnamen will ich nicht überall verbreitet sehen.

Gruß

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

Katja_Knoedel — Thu, 22 Sep 2016 07:59:36 GMT

Ein weiterer Ransomware Virus ist im Anmarsch, er heißt Mischa, es ist wieder eine Bewerbung, nur ist es dem Virus jetzt egal, ob es ein Nutzer mit Admin-Rechten ist oder nur ein "User". Er verschlüsselt auch beim "User" die ganze Festplatte.

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

mkinzler — Thu, 22 Sep 2016 08:04:36 GMT

Das ist leider nicht neu. Cerber und Konsorten benötigten noch nie Adminrechte des angemeldeten Benutzers, da diese Sicherheitslücken im System nutzen, um uneingeschränkten Zugriff auf das System zu erlangen (z.B. über DSIM)

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

uw — Thu, 06 Oct 2016 07:51:53 GMT

Erfahrungsgemäß das einzige was gegen die aktuellen (und auch die alten) Viren zu tun ist ist mit den Activedirectory-Softwareeinschränkungen den Programmaufruf aus C:\USERS sowie \\%SERVER%\RedirectedFolders zu sperren und schon ist Ruhe.

Sperrung problematischer Dateiendungen (XLSM, DOCM usw) in Mails hat sich als sinnlos herausgestellt da sich die Formate täglich ändern und die Mandanten ständig im Unverstand XLSM Dateien in die Kanzlei schicken.

Virenscanner sind wie üblich völlig nutzlos und können direkt weggelassen werden. Ansonsten ist die Wiederherstellung der zerstörten Daten aus Schattenkopien oder Backups ein Kinderspiel, die einzigen die von den Cryptoviren wirklich betroffen sind sind Heimanwender ohne Backup.

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

deusex — Thu, 06 Oct 2016 08:56:56 GMT

die einzigen die von den Cryptoviren wirklich betroffen sind sind Heimanwender ohne Backup.

Diese Aussage ist schlichtweg falsch

Wenn die lokalen Sicherungen im Netz aktiv sind, verbreitet sich Cerber sofort auf diese. Bei uns eine NAS und eine WD Passport. Beide sind in der Regel physisch vom Netz genommen.

Murphys Gesetz: Es wurde auf die NAS gesichert, was einmal im Quartal erfolgt und einmal auf die WD Passport (monatlich). Es wurde versäumt die Geräte auszuschalten bzw. vom Netz zu nehmen. Mit Ausführung der Cerber-Datei wurde alles, was unter Windows formatiert wird, infiziert und damit die ganze Kanzlei.

Sie haben hier dann tatsächlich nur Backupmöglichkeiten nach der Systemneuerherstellung, wenn autarke Sicherungen vorliegen. Im Übrigen sind sämtliche Rechner komplett von Grund auf neu aufzusetzen und nicht nur beschädigte Dateien wiederherzustellen ! Die Infektion erfolgt auf bit-Ebene.

Bitte jetzt keine "weisen Worte"... mit hätte,hätte, Fahrradkätte (hab mir schon genug angehört). Wir haben alles dank DaSi-Online und der DATEV wiederhergestellt.

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

uw — Thu, 06 Oct 2016 09:09:21 GMT

Klar, die Benutzer dürfen natürlich keine Zugriff auf die Backups haben, verbietet sich ja schon aus Datenschutzgründen. Die serverseitigen Schattenkopien sind ausserdem auch nie von den Viren gelöscht worden, der Virus löscht falls er Admin-Rechte auf dem lokalen PC hat zwar die die Schattenkopien aber auf dem Server sind noch alle Dateien mit dem Stand des letzten Snapshot vorhanden.

System-Neuinstallation ist bei ALLEN mir bekannten Cryptoviren vollkommen unnötig, die verwenden allesamt kein Rootkit, ersetzen/infizieren keine Systemdateien, bei JEDER Infektion die mir untergekommen ist (bestimmt 30 - 40 Stück) war der Virus nachher eine ganz normale EXE Datei im %TEMP% Verzeichnis des Benutzers der den Virus aufgerufen hat, manchmal alternativ auch im %AppData% oder %LocalAppData% Verzeichnis. Warum? Es ist nicht erforderlich hier große Verrenkungen zu betreiben um den Virus zu verstecken. Die Anwender sind unbedarft genaug dass sie eh alles anklicken was nicht bei 3 auf den Bäumen ist und ein Crypto-Virus hat ja nichts davon dass er wochenlang unbemerkt auf dem Rechner ist, nach 2-3 Stunden ist der mit seiner "Arbeit" durch.

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

deusex — Thu, 06 Oct 2016 09:26:55 GMT

Hallo Herr Wurst,

ich habe diesbezüglich zwei richtige Profis in der Sache befragt; ein renommiertes Systemhaus, welche hauptberuflich, regelmäßig Infizierungen fixen sowie einen Freund aus der Jugend, der sich bereits seit 35 Jahren hauptberuflich und freizeitlich, mitunter auch sehr "inoffiziell" in den dunklen Pfründen der IT-Welt bewegt(e) und dies beruflich nutzt, um Rückverfolgungen durchzuführen, die bis ins tiefste Russland führen.

Dieser Programmierung zollt mein Jugendfreund höchsten Respekt ab und bezeichnet dies als das bisher beste "Produkt"; die Speerspitze der Viren-Programmierung.

Cerber stellt hier wohl eine Besonderheit dar und wer sicher sein will, dass sein System nach einer gewissen Zeit wieder reinfiziert werden kann, muss dieser Schritt aus Eigen- und Kontaktschutz gegangen werden.

Die "alten" Cryptos sind dagegen wohl "Kinderfasching" - befassen Sie sich doch einmal intensiver mit dem Thema "CERBER Ransomware" und teilen dann ggf. nochmals Ihre Meinung mit. Sie würde mich wirklich interessieren.

Meine beiden o.g. Kontakte hatten diesen Rat übrigens unabhängig voneinander erbracht, mangelnde Kompetenz doer wirtschaftliche Interessen an der Vorgehensweise kann ich ausschließen.

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

uw — Thu, 06 Oct 2016 09:41:45 GMT

Cerber hab ich auch schon bestimmt 10 Stück entsorgt und hinterher aufgeräumt/wiederhergestellt. Der ist genauso simpel wie Locky und Konsorten programmiert, verwendet keinerlei Stealth-Technik, liegt als normale EXE Datei im %AppData% Verzeichnis und ruft diese Datei ohne besondere Tricks aus ein paar Schlüsseln in der Registry auf.

Die ganzen Crypto-Viren sind technisch gesehen Kinderkram, das einzige interessante ist die Geld-Transaktion so anonym wie möglich zu machen. Wie gut DAS funktioniert kann ich nicht beurteilen, da kommt es vor allem darauf an dass die keine blöden Fehler bei ihrer TOR Seite machen und die Bitcoin-Zahlung wirklich so anonym ist wie die sich das vorstellen.

Ob der Downloader den das Opfer geöffnet hat neben Cerber noch weitere Viren ins System bringt kann man natürlich nie ausschliessen aber die Erfahrung zeigt: nein, ist noch nie passiert und um den Cerber loszuwerden genügt es wirklich die eine EXE Datei zu löschen.

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

mkinzler — Thu, 06 Oct 2016 09:45:16 GMT

Cerber schafft das aber, ohne entsprechende Rechte des Benutzers. Das ist, was ihn so gefährlich macht:

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

uw — Thu, 06 Oct 2016 09:56:27 GMT

Hallo Herr Kinzler,

das einzige was der Virus interessant macht ist die UAC zu überwinden. Das ist aber lediglich local-privilege-escalation und verschafft im Netzwerk keinerlei weitere Rechte.

das Verbieten von Programmaufrufen aus C:\USERS hilft auch gegen Cerber zuverlässig.

Viele Grüße von der Virenfront,

Ulrich Wurst

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

mkinzler — Thu, 06 Oct 2016 09:59:00 GMT

Das sehen die Experten aber anders: https://blog.malwarebytes.com/threat-analysis/2016/03/cerber-ransomware-new-but-mature/

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

uw — Thu, 06 Oct 2016 10:05:05 GMT

Auf der Seite steht exakt das was ich eben erzählt hab.

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

deusex — Thu, 06 Oct 2016 13:04:46 GMT

Herr Wurst, fachlich muss ich mich da persönlich ausklinken.

Ich traue den "Beiden" genug Fach- und Sachverstand zu. Gerade unter dem Aspekt, wieder eine saubere, vertrauensvolle Kanzleiumgebung zu haben und nicht wieder mir nichts Dir nichts, die Kanzlei zwei Wochen schließen zu müssen, waren mir diese Handlungen des Neuaufsetzens nicht zu wenig.

Es hilft nichts, hier zu experimentieren und ich möchte Ihnen nochmals die Frage stellen, als erfahrenen Viren-Jäger:

Haben Sie schon ein Netzwerk säubern müssen, welches von CERBER befallen war oder stützen Sie sich auf theoretische Annahmen?

Bite nicht falsch verstehen. Ich möchte Sie nicht kompromittieren, sondern nur diese Info haben.
Ich weiß zufällig, dass seitens meines Freundes, innerhalb eines Teams versucht wird, CERBER gerade unter dem Aspekt des "Morphing" eine Entschlüsselung zu programmieren.

Ransomware Cerber in nur 3 Schritten entschlüsseln | Expertiger

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

mkinzler — Thu, 06 Oct 2016 13:08:03 GMT

Katz- und Mausspiel

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

deusex — Thu, 06 Oct 2016 13:11:55 GMT

404 !

Thx.

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

uw — Thu, 06 Oct 2016 13:23:14 GMT

Klar, ver-cerberte Systeme hab ich in der letzten Zeit bestimmt 10 Stück bereinigt. Die Privatanwender ohne Backup hatten jedes Mal Pech gehabt (Schattenkopien gelöscht), die Firmenkunden mit Backup hatten den Großteil der Daten verloren die am jeweiligen Vormittag bearbeitet worden sind (Schattenkopie macht ja üblicherweise um 7:00 einen Snapshot - dann kommt es eben darauf an wann der Virus aktiv wird und wann er erkannt wird), alles in allem waren die Auswirkungen aber vernachlässigbar.

Viele Grüße, Ulrich Wurst

Re: Trojaner - Ransomware - Haben Sie weitere Tipps?

deusex — Thu, 06 Oct 2016 13:45:48 GMT

Danke für die Info.