1 2 Zurück Weiter 34 Antworten Neueste Antwort am 06.10.2016 15:45 von deusex

    Trojaner - Ransomware - Haben Sie weitere Tipps?

    it-club DATEV-Mitarbeiter

      In unserem Intro des IT-Clubs sprechen wir den Trojaner auch an. Es kommt immer wieder die Frage? Was kann ich tun?

      Die Teilnehmer beantworten die Frage oftmals selbst:

      1. Gesicherter und geschützter Internetzugang (bei DATEV Sichere Kanzlei-IT von und mit DATEV )

      2. Lokaler aktueller Virenscanner (Bei DATEV der VIWAS)

      3. Mitarbeiter schulen und sensibilisieren

      4. Ordentliche Datensicherung

       

      Bezahlen des Lösegeldes halten die meisten für nicht sinnvoll

      Denn wer einmal bezahlt, der könnte ja auch Geld für ein zweites Mal haben

       

      http://www.winboard.org/artikel-ratgeber/6678-ransomware-jigsaw-so-wird-man-den-datenkiller-wieder-los.html

      Geändert am 22.04.16 um 17:32 Uhr
        Alle Antworten
        • 1. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
          deusex Fortgeschrittener

          Der beste Tipp ?! Zitat aus Ihrem Link:

           

          "Öffne niemals einen Anhang einer E-Mail, deren Absender du nicht kennst!"

           

          ... und Mitarbeiter eindringlich "briefen".

          • 2. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
            mkinzler Erfahrener

            Aber auch von bekannten Absendern erhält man leider gefährliche Anhänge.

            • 3. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
              deusex Fortgeschrittener

              Deswegen hieß der Tipp auch nicht:

               

              "Öffne immer Anhänge von e-mails, deren Absender Du kennst !"

               

              Es hört sich zwar wie das Gegenteil an, ist jedoch etwas ganz anderes...

              • 4. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                mkinzler Erfahrener

                So hatte ich es auch nicht verstanden. Aber Anhänge werden immer gefährlicher.

                 

                Wichtig ist es auch, dass nur Anhänge geöffnet werden, welche man erwartet. Man muss auch abwägen, in wieweit Sicherheitsvorkehrungen bzgl der Anhänge sinnvoll sind ( z.B. Sperrung von gefährlichen Dateitypen mit Makros, bzw. autom. Entfernung von Makros.), aber das ist in der Praxis oft nicht möglich.

                • 5. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                  agmü Aufsteiger

                  Absolute Sicherheit wird es nicht geben.

                   

                  Gerade in Zeiten, in denen die Aufmerksamkeitsspanne täglich sinkt

                   

                  Ich versuche meinen Mitarbeitern folgende Fragen einzuschärfen:

                   

                  Ist der Anzeigename und die E-Mailadresse identisch?

                  Kenne ich den Absender?

                  Erwarte ich von diesem Absender eine Nachricht?

                  Sind Kontaktdaten in der E-Mail- enthalten (Signatur im Outlook-Sprech)?

                  Stimmen die Kontaktdaten mit den mir bekannten Daten überein?

                  Erwarte ich eine Nachricht mit Anhang?

                  Welche Art von Anhang erwarte ich (pdf, docx, zip)?

                   

                  Wenn nur eine der Fragen mit nein/vielleicht zu beantworten ist, -> anrufen, ob Mail versendet wurde. sonst "delete"

                  • 6. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                    theo Fortgeschrittener

                    Aber auch von bekannten Absendern erhält man leider gefährliche Anhänge.

                    Echt? Da würd mich das konkrete Beispiel interessieren. Ich bin bisher davon ausgegangen, dass die Zeiten von Viren vorbei sind.

                    • 7. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                      theo Fortgeschrittener

                      - Sandboxing / Virtualisierung der Mailclients. M.W. gibts es bisher keine gängige Schadsoftware, die aus sowas ausbricht (Targeted / Government Attacks ausgenommen)
                      - Verzicht auf Standardsoftware (99% aller Attacken beziehen sich darauf

                       

                      und das ganze standardlich.

                       

                      Ein Emailclient, der unter einem schlanken Non-Targeted OS läuft, kostet zw. 50 - 500MB Diskspace u. 5MB - 1GB RAM. Also kein Ding heutzutage.

                       

                      Ich glaube, beim letzten IT-Club wo ich war (so vor ca. 5 Jahren) fand die Datev die Blackberry-Virtualisierung ganz toll. Das das Mist ist, weiss man ja jetzt, closed source halt


                      Mit open source standards sollte es allerdings klappen....

                      • 9. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                        ichauch Erfahrener

                        Moin,

                         

                        da die meisten Trojaner im User Kontext ausgeführt werden kann man in Netzwerkumgebungen die Ausführung von Programmen in diesen mittels SRP (Software Restriction Policies) verbieten. Nicht ganz trivial, könnte aber hilfreich sein.

                         

                        Gruß

                        KP

                        • 10. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                          thomas.goertz Beginner

                          Guten Abend,

                           

                          wir haben uns über die Technik informiert, die von der Firma AppSense angeboten wird. Mit der Software "AppSense Application Manager" kann man genau das Ergebnis erzielen. Stichwort: "Trusted Ownership Checking". ABER: In einer DATEV Umgebung ist der Installationsaufwand sehr hoch - wenn überhaupt möglich. Das musste nach einer genauen Recherche bei AppSense dann auch so zugegeben werden.

                           

                          Der local User muss - je nach Konfiguration - eben doch innerhalb der DATEV Umgebung zu viele Rechte haben, die man mit dieser Technik nur schwer einschränken kann.

                           

                          Wir verfolgen da eher neben den wichtigen Faktoren wie Sensibilisierung MA, Datensicherung u.a. (siehe 1. Eintrag von Frau Knödel) den Weg über die Firewall. Hier setzen wir auch das Sandboxing von SOPHOS ein.

                           

                          Gruß

                          Thomas Goertz

                          Geändert am 26.04.16 um 23:25 Uhr
                          • 12. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                            agmü Aufsteiger

                            Welcher Kollege/Versicherung versendet die Schreiben im Zip - Format?

                             

                            Allein dass der Anhang gezippt ist, sollte alle Alarmanlagen mit 100 dB läuten lassen.

                            • 13. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                              mkinzler Erfahrener

                              Gezippte  Anhänge sind keine Seltenheit, da dies oft die "einfachste" Form von "Verschlüsselung" ist oder um die Dateigröße zu verringern.

                              • 14. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                                ichauch Erfahrener

                                Moin,

                                 

                                leider sind zip Dateien oftmals der einzige Weg, um Dateianhänge zwischen der Windowswelt und z. B. Mac OS ohne Verluste zu versenden.

                                 

                                Gruß

                                KP

                                • 15. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                                  agmü Aufsteiger

                                  für den Versand von Dokumenten eignet sich auch zwischen der Windows und der Apple-Welt das pdf-Format am besten.  Es hat den Vorteil, dass Veränderungen nur schwer möglich sind.

                                  • 16. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                                    agmü Aufsteiger

                                    Auch wenn ich persönlich von eBay nichts halte, so finde ich die Hinweise wie Spoofing-Mails von eBay erkannt werden können, doch Lesens und Beachtens wert.  http://pages.ebay.de/help/account/recognizing-spoof.html.  Gefunden habe ich den Hinweis über den Artikel auf Heise eBay-Phisher gehen mit persönlichen Details auf Opferfang | heise online

                                     

                                    Mir nicht verständlich ist, wie auf die dort wiedergegebene Mail überhaupt jemand reagiert; oder sind die Grundkenntnisse zu Pflichtangaben in Geschäftsbriefen, die auch für E-Mails gelten so miserabel.

                                    • 17. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                                      thomas.goertz Beginner

                                      Guten Abend,

                                       

                                      Ihre Aussage kann ich nur bedingt bestätigen. Wir haben auch Mandanten, die in der Apple-Welt zu Hause sind und trotzde klappt der Austausch von Office Dokumenten. Bisher ist mir auch kein Fall bekannt - auch nicht aus dem privaten Umfeld - bei dem Dateien nur in Fragmenten von A nach B übertragen wurden.

                                       

                                      Grunsätzlich stimm ich Herrn Müller zu; der Versand von PDF Dokumenten ist von Vorteil. Bei uns wird aber häufig das Excel Format "getauscht", da wir oder der Mandant mit den Daten weiterar muss.

                                       

                                      Gezippte kennwortgeschützte Daten bekommen wir aber auch, da es im Handling einfacher ist, als z.B. 10 einzelne Dateien mit Passwort zu versehen.

                                       

                                      Gruß

                                      Thomas Goertz

                                       

                                      P.S.: Es wäre persönlicher, wenn Sie hier wenigstens mit einem Pseudonym auftreten würden.

                                      • 18. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                                        ichauch Erfahrener

                                        Moin,

                                         

                                        zunächst, das Problem mit den zip Dateien habe ich über einen Dienstleister gelöst. Ich kann dort Daten versenden, Daten empfangen und habe einen Speicherbereich zum Austausch. Läuft verschlüsselt ab und ist mit einem Passwort geschützt, meine Mandanten auch dem Apple Bereich nehmen das sehr gut an.

                                         

                                        Zum PS: ichauch ist ein Pseudonym und das wird auch so bleiben. Die NG ist überall sichtbar und wird von den Kraken indiziert. Meinen Klarnamen will ich nicht überall verbreitet sehen.

                                         

                                        Gruß

                                        KP

                                        • 19. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                                          it-club DATEV-Mitarbeiter

                                          Ein weiterer Ransomware Virus ist im Anmarsch, er heißt Mischa, es ist wieder eine Bewerbung, nur ist es dem Virus jetzt egal, ob es ein Nutzer mit Admin-Rechten ist oder nur ein "User". Er verschlüsselt auch beim "User" die ganze Festplatte.

                                          • 20. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                                            mkinzler Erfahrener

                                            Das ist leider nicht neu. Cerber und Konsorten benötigten noch nie Adminrechte des angemeldeten Benutzers, da diese Sicherheitslücken im System nutzen, um uneingeschränkten Zugriff auf das System zu erlangen (z.B. über DSIM)

                                            • 21. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                                              uw@snit.de Neuling

                                              Erfahrungsgemäß das einzige was gegen die aktuellen (und auch die alten) Viren zu tun ist ist mit den Activedirectory-Softwareeinschränkungen den Programmaufruf aus C:\USERS sowie \\%SERVER%\RedirectedFolders zu sperren und schon ist Ruhe.

                                               

                                              Sperrung problematischer Dateiendungen (XLSM, DOCM usw) in Mails hat sich als sinnlos herausgestellt da sich die Formate täglich ändern und die Mandanten ständig im Unverstand XLSM Dateien in die Kanzlei schicken.

                                               

                                              Virenscanner sind wie üblich völlig nutzlos und können direkt weggelassen werden. Ansonsten ist die Wiederherstellung der zerstörten Daten aus Schattenkopien oder Backups ein Kinderspiel, die einzigen die von den Cryptoviren wirklich betroffen sind sind Heimanwender ohne Backup.

                                              • 22. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                                                deusex Fortgeschrittener

                                                die einzigen die von den Cryptoviren wirklich betroffen sind sind Heimanwender ohne Backup.

                                                 

                                                Diese Aussage ist schlichtweg falsch

                                                 

                                                Wenn die lokalen Sicherungen im Netz aktiv sind, verbreitet sich Cerber sofort auf diese. Bei uns eine NAS und eine WD Passport. Beide sind in der Regel physisch vom Netz genommen.

                                                 

                                                Murphys Gesetz: Es wurde auf die NAS gesichert, was einmal im Quartal erfolgt und einmal auf die WD Passport (monatlich). Es wurde versäumt die Geräte auszuschalten bzw. vom Netz zu nehmen. Mit Ausführung der Cerber-Datei wurde alles, was unter Windows formatiert wird, infiziert und damit die ganze Kanzlei.

                                                 

                                                Sie haben hier dann tatsächlich nur Backupmöglichkeiten nach der Systemneuerherstellung, wenn autarke Sicherungen vorliegen. Im Übrigen sind sämtliche Rechner komplett von Grund auf neu aufzusetzen und nicht nur beschädigte Dateien wiederherzustellen ! Die Infektion erfolgt auf bit-Ebene.

                                                 

                                                Bitte jetzt keine "weisen Worte"... mit hätte,hätte, Fahrradkätte (hab mir schon genug angehört). Wir haben alles dank DaSi-Online und der DATEV wiederhergestellt.

                                                • 23. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                                                  uw@snit.de Neuling

                                                  Klar, die Benutzer dürfen natürlich keine Zugriff auf die Backups haben, verbietet sich ja schon aus Datenschutzgründen. Die serverseitigen Schattenkopien sind ausserdem auch nie von den Viren gelöscht worden, der Virus löscht falls er Admin-Rechte auf dem lokalen PC hat zwar die die Schattenkopien aber auf dem Server sind noch alle Dateien mit dem Stand des letzten Snapshot vorhanden.

                                                  System-Neuinstallation ist bei ALLEN mir bekannten Cryptoviren vollkommen unnötig, die verwenden allesamt kein Rootkit, ersetzen/infizieren keine Systemdateien, bei JEDER Infektion die mir untergekommen ist (bestimmt 30 - 40 Stück) war der Virus nachher eine ganz normale EXE Datei im %TEMP% Verzeichnis des Benutzers der den Virus aufgerufen hat, manchmal alternativ auch im %AppData% oder %LocalAppData% Verzeichnis. Warum? Es ist nicht erforderlich hier große Verrenkungen zu betreiben um den Virus zu verstecken. Die Anwender sind unbedarft genaug dass sie eh alles anklicken was nicht bei 3 auf den Bäumen ist und ein Crypto-Virus hat ja nichts davon dass er wochenlang unbemerkt auf dem Rechner ist, nach 2-3 Stunden ist der mit seiner "Arbeit" durch.

                                                  • 24. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                                                    deusex Fortgeschrittener

                                                    Hallo Herr Wurst,

                                                     

                                                    ich habe diesbezüglich zwei richtige Profis in der Sache befragt; ein renommiertes Systemhaus, welche hauptberuflich, regelmäßig Infizierungen fixen sowie einen Freund aus der Jugend, der sich bereits seit 35 Jahren hauptberuflich und freizeitlich, mitunter auch sehr "inoffiziell" in den dunklen Pfründen der IT-Welt bewegt(e) und dies beruflich nutzt, um Rückverfolgungen durchzuführen, die bis ins tiefste Russland führen.

                                                    Dieser Programmierung zollt mein Jugendfreund höchsten Respekt ab und bezeichnet dies als das bisher beste "Produkt"; die Speerspitze der Viren-Programmierung.

                                                     

                                                    Cerber stellt hier wohl eine Besonderheit dar und wer sicher sein will, dass sein System nach einer gewissen Zeit wieder reinfiziert werden kann, muss dieser Schritt aus Eigen- und Kontaktschutz gegangen werden.

                                                     

                                                    Die "alten" Cryptos sind dagegen wohl "Kinderfasching" - befassen Sie sich doch einmal intensiver mit dem Thema "CERBER Ransomware" und teilen dann ggf. nochmals Ihre Meinung mit. Sie würde mich wirklich interessieren.

                                                     

                                                    Meine beiden o.g. Kontakte hatten diesen Rat übrigens unabhängig voneinander erbracht, mangelnde Kompetenz doer wirtschaftliche Interessen an der Vorgehensweise kann ich ausschließen.

                                                    • 25. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                                                      uw@snit.de Neuling

                                                      Cerber hab ich auch schon bestimmt 10 Stück entsorgt und hinterher aufgeräumt/wiederhergestellt. Der ist genauso simpel wie Locky und Konsorten programmiert, verwendet keinerlei Stealth-Technik, liegt als normale EXE Datei im %AppData% Verzeichnis und ruft diese Datei ohne besondere Tricks aus ein paar Schlüsseln in der Registry auf.

                                                      Die ganzen Crypto-Viren sind technisch gesehen Kinderkram, das einzige interessante ist die Geld-Transaktion so anonym wie möglich zu machen. Wie gut DAS funktioniert kann ich nicht beurteilen, da kommt es vor allem darauf an dass die keine blöden Fehler bei ihrer TOR Seite machen und die Bitcoin-Zahlung wirklich so anonym ist wie die sich das vorstellen.

                                                      Ob der Downloader den das Opfer geöffnet hat neben Cerber noch weitere Viren ins System bringt kann man natürlich nie ausschliessen aber die Erfahrung zeigt: nein, ist noch nie passiert und um den Cerber loszuwerden genügt es wirklich die eine EXE Datei zu löschen.

                                                      • 26. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                                                        mkinzler Erfahrener

                                                        Cerber schafft das aber, ohne entsprechende Rechte des Benutzers. Das ist, was ihn so gefährlich macht:

                                                        • 27. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                                                          uw@snit.de Neuling

                                                          Hallo Herr Kinzler,

                                                           

                                                          das einzige was der Virus interessant macht ist die UAC zu überwinden. Das ist aber lediglich local-privilege-escalation und verschafft im Netzwerk keinerlei weitere Rechte.

                                                           

                                                          das Verbieten von Programmaufrufen aus C:\USERS hilft auch gegen Cerber zuverlässig.

                                                           

                                                          Viele Grüße von der Virenfront,

                                                           

                                                          Ulrich Wurst

                                                          • 29. Re: Trojaner - Ransomware - Haben Sie weitere Tipps?
                                                            uw@snit.de Neuling

                                                            Auf der Seite steht exakt das was ich eben erzählt hab.

                                                            1 2 Zurück Weiter