abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Trojaner - Ransomware - Haben Sie weitere Tipps?

34
letzte Antwort am 06.10.2016 15:45:48 von deusex
Dieser Beitrag ist geschlossen
0 Personen hatten auch diese Frage
DATEV-Mitarbeiter
Katja_Knoedel
DATEV-Mitarbeiter
DATEV-Mitarbeiter
Offline Online
Nachricht 1 von 35
2743 Mal angesehen

In unserem Intro des IT-Clubs sprechen wir den Trojaner auch an. Es kommt immer wieder die Frage? Was kann ich tun?

Die Teilnehmer beantworten die Frage oftmals selbst:

1. Gesicherter und geschützter Internetzugang (bei DATEV Sichere Kanzlei-IT von und mit DATEV )

2. Lokaler aktueller Virenscanner (Bei DATEV der VIWAS)

3. Mitarbeiter schulen und sensibilisieren

4. Ordentliche Datensicherung

Bezahlen des Lösegeldes halten die meisten für nicht sinnvoll

Denn wer einmal bezahlt, der könnte ja auch Geld für ein zweites Mal haben

http://www.winboard.org/artikel-ratgeber/6678-ransomware-jigsaw-so-wird-man-den-datenkiller-wieder-los.html

deusex
Experte
Offline Online
Nachricht 2 von 35
428 Mal angesehen

Der beste Tipp ?! Zitat aus Ihrem Link:

"Öffne niemals einen Anhang einer E-Mail, deren Absender du nicht kennst!"

... und Mitarbeiter eindringlich "briefen".

0100011101110010011101010111001101110011 0101001001100001011011000111000001101000 0100110101100001011010010110010101110010
mkinzler
Meister
Offline Online
Nachricht 3 von 35
428 Mal angesehen

Aber auch von bekannten Absendern erhält man leider gefährliche Anhänge.

deusex
Experte
Offline Online
Nachricht 4 von 35
428 Mal angesehen

Deswegen hieß der Tipp auch nicht:

"Öffne immer Anhänge von e-mails, deren Absender Du kennst !"

Es hört sich zwar wie das Gegenteil an, ist jedoch etwas ganz anderes...

0100011101110010011101010111001101110011 0101001001100001011011000111000001101000 0100110101100001011010010110010101110010
0 Kudos
mkinzler
Meister
Offline Online
Nachricht 5 von 35
428 Mal angesehen

So hatte ich es auch nicht verstanden. Aber Anhänge werden immer gefährlicher.

Wichtig ist es auch, dass nur Anhänge geöffnet werden, welche man erwartet. Man muss auch abwägen, in wieweit Sicherheitsvorkehrungen bzgl der Anhänge sinnvoll sind ( z.B. Sperrung von gefährlichen Dateitypen mit Makros, bzw. autom. Entfernung von Makros.), aber das ist in der Praxis oft nicht möglich.

0 Kudos
agmü
Meister
Offline Online
Nachricht 6 von 35
428 Mal angesehen

Absolute Sicherheit wird es nicht geben.

Gerade in Zeiten, in denen die Aufmerksamkeitsspanne täglich sinkt

Ich versuche meinen Mitarbeitern folgende Fragen einzuschärfen:

Ist der Anzeigename und die E-Mailadresse identisch?

Kenne ich den Absender?

Erwarte ich von diesem Absender eine Nachricht?

Sind Kontaktdaten in der E-Mail- enthalten (Signatur im Outlook-Sprech)?

Stimmen die Kontaktdaten mit den mir bekannten Daten überein?

Erwarte ich eine Nachricht mit Anhang?

Welche Art von Anhang erwarte ich (pdf, docx, zip)?

Wenn nur eine der Fragen mit nein/vielleicht zu beantworten ist, -> anrufen, ob Mail versendet wurde. sonst "delete"

Andreas G. Müller - Rechtsanwalt -
frei nach dem Motto: "Gestern standen wir am Abgrund, heute sind wir einen Schritt weiter."
0 Kudos
theo
Meister
Offline Online
Nachricht 7 von 35
428 Mal angesehen

Aber auch von bekannten Absendern erhält man leider gefährliche Anhänge.

Echt? Da würd mich das konkrete Beispiel interessieren. Ich bin bisher davon ausgegangen, dass die Zeiten von Viren vorbei sind.

in dubio pro theo
0 Kudos
theo
Meister
Offline Online
Nachricht 8 von 35
428 Mal angesehen

- Sandboxing / Virtualisierung der Mailclients. M.W. gibts es bisher keine gängige Schadsoftware, die aus sowas ausbricht (Targeted / Government Attacks ausgenommen)
- Verzicht auf Standardsoftware (99% aller Attacken beziehen sich darauf

und das ganze standardlich.

Ein Emailclient, der unter einem schlanken Non-Targeted OS läuft, kostet zw. 50 - 500MB Diskspace u. 5MB - 1GB RAM. Also kein Ding heutzutage.

Ich glaube, beim letzten IT-Club wo ich war (so vor ca. 5 Jahren) fand die Datev die Blackberry-Virtualisierung ganz toll. Das das Mist ist, weiss man ja jetzt, closed source halt


Mit open source standards sollte es allerdings klappen....

in dubio pro theo
DATEV-Mitarbeiter
Katja_Knoedel
DATEV-Mitarbeiter
DATEV-Mitarbeiter
Offline Online
Nachricht 9 von 35
428 Mal angesehen
0 Kudos
Offline Online
Nachricht 10 von 35
428 Mal angesehen

Moin,

da die meisten Trojaner im User Kontext ausgeführt werden kann man in Netzwerkumgebungen die Ausführung von Programmen in diesen mittels SRP (Software Restriction Policies) verbieten. Nicht ganz trivial, könnte aber hilfreich sein.

Gruß

KP

0 Kudos
thomas_goertz
Beginner
Offline Online
Nachricht 11 von 35
428 Mal angesehen

Guten Abend,

wir haben uns über die Technik informiert, die von der Firma AppSense angeboten wird. Mit der Software "AppSense Application Manager" kann man genau das Ergebnis erzielen. Stichwort: "Trusted Ownership Checking". ABER: In einer DATEV Umgebung ist der Installationsaufwand sehr hoch - wenn überhaupt möglich. Das musste nach einer genauen Recherche bei AppSense dann auch so zugegeben werden.

Der local User muss - je nach Konfiguration - eben doch innerhalb der DATEV Umgebung zu viele Rechte haben, die man mit dieser Technik nur schwer einschränken kann.

Wir verfolgen da eher neben den wichtigen Faktoren wie Sensibilisierung MA, Datensicherung u.a. (siehe 1. Eintrag von Frau Knödel) den Weg über die Firewall. Hier setzen wir auch das Sandboxing von SOPHOS ein.

Gruß

Thomas Goertz

0 Kudos
DATEV-Mitarbeiter
Katja_Knoedel
DATEV-Mitarbeiter
DATEV-Mitarbeiter
Offline Online
Nachricht 12 von 35
428 Mal angesehen
agmü
Meister
Offline Online
Nachricht 13 von 35
428 Mal angesehen

Welcher Kollege/Versicherung versendet die Schreiben im Zip - Format?

Allein dass der Anhang gezippt ist, sollte alle Alarmanlagen mit 100 dB läuten lassen.

Andreas G. Müller - Rechtsanwalt -
frei nach dem Motto: "Gestern standen wir am Abgrund, heute sind wir einen Schritt weiter."
0 Kudos
mkinzler
Meister
Offline Online
Nachricht 14 von 35
428 Mal angesehen

Gezippte  Anhänge sind keine Seltenheit, da dies oft die "einfachste" Form von "Verschlüsselung" ist oder um die Dateigröße zu verringern.

Offline Online
Nachricht 15 von 35
428 Mal angesehen

Moin,

leider sind zip Dateien oftmals der einzige Weg, um Dateianhänge zwischen der Windowswelt und z. B. Mac OS ohne Verluste zu versenden.

Gruß

KP

0 Kudos
agmü
Meister
Offline Online
Nachricht 16 von 35
428 Mal angesehen

für den Versand von Dokumenten eignet sich auch zwischen der Windows und der Apple-Welt das pdf-Format am besten.  Es hat den Vorteil, dass Veränderungen nur schwer möglich sind.

Andreas G. Müller - Rechtsanwalt -
frei nach dem Motto: "Gestern standen wir am Abgrund, heute sind wir einen Schritt weiter."
0 Kudos
agmü
Meister
Offline Online
Nachricht 17 von 35
428 Mal angesehen

Auch wenn ich persönlich von eBay nichts halte, so finde ich die Hinweise wie Spoofing-Mails von eBay erkannt werden können, doch Lesens und Beachtens wert.  http://pages.ebay.de/help/account/recognizing-spoof.html.  Gefunden habe ich den Hinweis über den Artikel auf Heise eBay-Phisher gehen mit persönlichen Details auf Opferfang | heise online

Mir nicht verständlich ist, wie auf die dort wiedergegebene Mail überhaupt jemand reagiert; oder sind die Grundkenntnisse zu Pflichtangaben in Geschäftsbriefen, die auch für E-Mails gelten so miserabel.

Andreas G. Müller - Rechtsanwalt -
frei nach dem Motto: "Gestern standen wir am Abgrund, heute sind wir einen Schritt weiter."
0 Kudos
thomas_goertz
Beginner
Offline Online
Nachricht 18 von 35
428 Mal angesehen

Guten Abend,

Ihre Aussage kann ich nur bedingt bestätigen. Wir haben auch Mandanten, die in der Apple-Welt zu Hause sind und trotzde klappt der Austausch von Office Dokumenten. Bisher ist mir auch kein Fall bekannt - auch nicht aus dem privaten Umfeld - bei dem Dateien nur in Fragmenten von A nach B übertragen wurden.

Grunsätzlich stimm ich Herrn Müller zu; der Versand von PDF Dokumenten ist von Vorteil. Bei uns wird aber häufig das Excel Format "getauscht", da wir oder der Mandant mit den Daten weiterar muss.

Gezippte kennwortgeschützte Daten bekommen wir aber auch, da es im Handling einfacher ist, als z.B. 10 einzelne Dateien mit Passwort zu versehen.

Gruß

Thomas Goertz

P.S.: Es wäre persönlicher, wenn Sie hier wenigstens mit einem Pseudonym auftreten würden.

Offline Online
Nachricht 19 von 35
428 Mal angesehen

Moin,

zunächst, das Problem mit den zip Dateien habe ich über einen Dienstleister gelöst. Ich kann dort Daten versenden, Daten empfangen und habe einen Speicherbereich zum Austausch. Läuft verschlüsselt ab und ist mit einem Passwort geschützt, meine Mandanten auch dem Apple Bereich nehmen das sehr gut an.

Zum PS: ichauch ist ein Pseudonym und das wird auch so bleiben. Die NG ist überall sichtbar und wird von den Kraken indiziert. Meinen Klarnamen will ich nicht überall verbreitet sehen.

Gruß

KP

0 Kudos
DATEV-Mitarbeiter
Katja_Knoedel
DATEV-Mitarbeiter
DATEV-Mitarbeiter
Offline Online
Nachricht 20 von 35
428 Mal angesehen

Ein weiterer Ransomware Virus ist im Anmarsch, er heißt Mischa, es ist wieder eine Bewerbung, nur ist es dem Virus jetzt egal, ob es ein Nutzer mit Admin-Rechten ist oder nur ein "User". Er verschlüsselt auch beim "User" die ganze Festplatte.

0 Kudos
mkinzler
Meister
Offline Online
Nachricht 21 von 35
428 Mal angesehen

Das ist leider nicht neu. Cerber und Konsorten benötigten noch nie Adminrechte des angemeldeten Benutzers, da diese Sicherheitslücken im System nutzen, um uneingeschränkten Zugriff auf das System zu erlangen (z.B. über DSIM)

0 Kudos
uw
Beginner
Offline Online
Nachricht 22 von 35
428 Mal angesehen

Erfahrungsgemäß das einzige was gegen die aktuellen (und auch die alten) Viren zu tun ist ist mit den Activedirectory-Softwareeinschränkungen den Programmaufruf aus C:\USERS sowie \\%SERVER%\RedirectedFolders zu sperren und schon ist Ruhe.

Sperrung problematischer Dateiendungen (XLSM, DOCM usw) in Mails hat sich als sinnlos herausgestellt da sich die Formate täglich ändern und die Mandanten ständig im Unverstand XLSM Dateien in die Kanzlei schicken.

Virenscanner sind wie üblich völlig nutzlos und können direkt weggelassen werden. Ansonsten ist die Wiederherstellung der zerstörten Daten aus Schattenkopien oder Backups ein Kinderspiel, die einzigen die von den Cryptoviren wirklich betroffen sind sind Heimanwender ohne Backup.

0 Kudos
deusex
Experte
Offline Online
Nachricht 23 von 35
428 Mal angesehen

die einzigen die von den Cryptoviren wirklich betroffen sind sind Heimanwender ohne Backup.

Diese Aussage ist schlichtweg falsch

Wenn die lokalen Sicherungen im Netz aktiv sind, verbreitet sich Cerber sofort auf diese. Bei uns eine NAS und eine WD Passport. Beide sind in der Regel physisch vom Netz genommen.

Murphys Gesetz: Es wurde auf die NAS gesichert, was einmal im Quartal erfolgt und einmal auf die WD Passport (monatlich). Es wurde versäumt die Geräte auszuschalten bzw. vom Netz zu nehmen. Mit Ausführung der Cerber-Datei wurde alles, was unter Windows formatiert wird, infiziert und damit die ganze Kanzlei.

Sie haben hier dann tatsächlich nur Backupmöglichkeiten nach der Systemneuerherstellung, wenn autarke Sicherungen vorliegen. Im Übrigen sind sämtliche Rechner komplett von Grund auf neu aufzusetzen und nicht nur beschädigte Dateien wiederherzustellen ! Die Infektion erfolgt auf bit-Ebene.

Bitte jetzt keine "weisen Worte"... mit hätte,hätte, Fahrradkätte (hab mir schon genug angehört). Wir haben alles dank DaSi-Online und der DATEV wiederhergestellt.

0100011101110010011101010111001101110011 0101001001100001011011000111000001101000 0100110101100001011010010110010101110010
0 Kudos
uw
Beginner
Offline Online
Nachricht 24 von 35
428 Mal angesehen

Klar, die Benutzer dürfen natürlich keine Zugriff auf die Backups haben, verbietet sich ja schon aus Datenschutzgründen. Die serverseitigen Schattenkopien sind ausserdem auch nie von den Viren gelöscht worden, der Virus löscht falls er Admin-Rechte auf dem lokalen PC hat zwar die die Schattenkopien aber auf dem Server sind noch alle Dateien mit dem Stand des letzten Snapshot vorhanden.

System-Neuinstallation ist bei ALLEN mir bekannten Cryptoviren vollkommen unnötig, die verwenden allesamt kein Rootkit, ersetzen/infizieren keine Systemdateien, bei JEDER Infektion die mir untergekommen ist (bestimmt 30 - 40 Stück) war der Virus nachher eine ganz normale EXE Datei im %TEMP% Verzeichnis des Benutzers der den Virus aufgerufen hat, manchmal alternativ auch im %AppData% oder %LocalAppData% Verzeichnis. Warum? Es ist nicht erforderlich hier große Verrenkungen zu betreiben um den Virus zu verstecken. Die Anwender sind unbedarft genaug dass sie eh alles anklicken was nicht bei 3 auf den Bäumen ist und ein Crypto-Virus hat ja nichts davon dass er wochenlang unbemerkt auf dem Rechner ist, nach 2-3 Stunden ist der mit seiner "Arbeit" durch.

0 Kudos
deusex
Experte
Offline Online
Nachricht 25 von 35
428 Mal angesehen

Hallo Herr Wurst,

ich habe diesbezüglich zwei richtige Profis in der Sache befragt; ein renommiertes Systemhaus, welche hauptberuflich, regelmäßig Infizierungen fixen sowie einen Freund aus der Jugend, der sich bereits seit 35 Jahren hauptberuflich und freizeitlich, mitunter auch sehr "inoffiziell" in den dunklen Pfründen der IT-Welt bewegt(e) und dies beruflich nutzt, um Rückverfolgungen durchzuführen, die bis ins tiefste Russland führen.

Dieser Programmierung zollt mein Jugendfreund höchsten Respekt ab und bezeichnet dies als das bisher beste "Produkt"; die Speerspitze der Viren-Programmierung.

Cerber stellt hier wohl eine Besonderheit dar und wer sicher sein will, dass sein System nach einer gewissen Zeit wieder reinfiziert werden kann, muss dieser Schritt aus Eigen- und Kontaktschutz gegangen werden.

Die "alten" Cryptos sind dagegen wohl "Kinderfasching" - befassen Sie sich doch einmal intensiver mit dem Thema "CERBER Ransomware" und teilen dann ggf. nochmals Ihre Meinung mit. Sie würde mich wirklich interessieren.

Meine beiden o.g. Kontakte hatten diesen Rat übrigens unabhängig voneinander erbracht, mangelnde Kompetenz doer wirtschaftliche Interessen an der Vorgehensweise kann ich ausschließen.

0100011101110010011101010111001101110011 0101001001100001011011000111000001101000 0100110101100001011010010110010101110010
0 Kudos
uw
Beginner
Offline Online
Nachricht 26 von 35
428 Mal angesehen

Cerber hab ich auch schon bestimmt 10 Stück entsorgt und hinterher aufgeräumt/wiederhergestellt. Der ist genauso simpel wie Locky und Konsorten programmiert, verwendet keinerlei Stealth-Technik, liegt als normale EXE Datei im %AppData% Verzeichnis und ruft diese Datei ohne besondere Tricks aus ein paar Schlüsseln in der Registry auf.

Die ganzen Crypto-Viren sind technisch gesehen Kinderkram, das einzige interessante ist die Geld-Transaktion so anonym wie möglich zu machen. Wie gut DAS funktioniert kann ich nicht beurteilen, da kommt es vor allem darauf an dass die keine blöden Fehler bei ihrer TOR Seite machen und die Bitcoin-Zahlung wirklich so anonym ist wie die sich das vorstellen.

Ob der Downloader den das Opfer geöffnet hat neben Cerber noch weitere Viren ins System bringt kann man natürlich nie ausschliessen aber die Erfahrung zeigt: nein, ist noch nie passiert und um den Cerber loszuwerden genügt es wirklich die eine EXE Datei zu löschen.

0 Kudos
mkinzler
Meister
Offline Online
Nachricht 27 von 35
428 Mal angesehen

Cerber schafft das aber, ohne entsprechende Rechte des Benutzers. Das ist, was ihn so gefährlich macht:

0 Kudos
uw
Beginner
Offline Online
Nachricht 28 von 35
428 Mal angesehen

Hallo Herr Kinzler,

das einzige was der Virus interessant macht ist die UAC zu überwinden. Das ist aber lediglich local-privilege-escalation und verschafft im Netzwerk keinerlei weitere Rechte.

das Verbieten von Programmaufrufen aus C:\USERS hilft auch gegen Cerber zuverlässig.

Viele Grüße von der Virenfront,

Ulrich Wurst

0 Kudos
mkinzler
Meister
Offline Online
Nachricht 29 von 35
428 Mal angesehen
uw
Beginner
Offline Online
Nachricht 30 von 35
428 Mal angesehen

Auf der Seite steht exakt das was ich eben erzählt hab.

0 Kudos
34
letzte Antwort am 06.10.2016 15:45:48 von deusex
Dieser Beitrag ist geschlossen
0 Personen hatten auch diese Frage