Beitrag vom Nutzer gelöscht

Siehe auch Trojaner - Ransomware - Haben Sie weitere Tipps?

Hallo Herr Hecker,

der Typ hat sich bei uns beworben.

Er heißt "CERBER":

http://http://www.trojaner-info.de/daten-sichern-verschluesseln/aktuelles/vorsicht-vor-neuer-ransomware-cerber-loesegeld-trojaner-der-sich-morphen-kann.html

Ich hoffe, er hat seinen Namen nicht in allzuvielen Dateien verewigt.

Nur im gesamten Netzwerk, auf allen Arbeitsstationen, angeschlossenen Wechseldatenträgern, NAS-Storage und sogar einem Notebook das über WLAN verbunden war.

Nett zu sehen, wenn stehenden Auges auf wundersame Weise die Dateien verschlüsselt werden... it´s magic !

Schon eine tolle Sache so eine ransomware - hat uns zwei Wochen Urlaub beschert und kanzleiweit komplett neu aufgesetzte Maschinen.

Dieser junge Mann sucht offensichtlich händeringend einen neuen Job, er hat sich schon zwei mal diese Woche bei uns beworben (Anhang dieses jpg-Bild + zip-Datei). Einmal stellte er sich als Tim Lercher und beim zweiten Mal als Tim Vogel vor.

Wir hatten am 31.05.16 bereits eine verseuchte Bewerbungsmail bekommen, da war der Aufbau und Inhalt noch anders. Kein jpg-Bild, aber eine Word-Datei im Anhang. Der Text dieser Datei war kryptisch dargestellt, über dem Text war ein gelbes Hinweisfeld, in dem es hieß, der Inhalt wäre so dargestellt, weil dieses Word-Dokument mit einer höheren Office-Version erstellt wurde, als wir verwenden. Um den Text lesen zu können müsse man auf die Schaltfläche klicken, dann wird er an unsere Version angepasst. Kollegin hat dies geglaubt und hat auf die Schaltfläche geklickt, so hatten wir unsere erste Begegnung mit Cerber auf unserem Server. Sie hat mich sofort informiert, als auf ihrem Bildschirm die Fenster von Cerber mit "descrypt your files" aufgingen, ich habe umgehend unseren IT-ler angerufen. Trotz oder Dank meiner schnellen Reaktion hat er dennoch 3 Stunden gebraucht, um unseren Server zu entseuchen.

Das Bild ist sauber.

Die Öffnung der ZIP-Datei selbst führt auch noch nicht zum Schaden.

Die Dateien in der ZIP lauten

Lebenslauf.doc.js

Bewerbung.doc.js

Klick-Klick auf eins und los geht´s !

Selbst nach einer Server-Säuberung muss das Netzwerk komplett untersucht werden. Unser IT-ler hat sich diesbezüglich kundig gemacht und gemeint, diese ransomware könnte sich auch innerhalb einer Datei verstecken und bei Nutzung Wochen später wieder aktiviert werden. Eine Rundumsäuberung ist damit obligatorisch.

Eine Arbeitsstation hatten wir später mit einer Virensoftware gescannt. Dieser Zugriff auf die Dateien reichte aus, um die Verschlüsselung anzustoßen; schon beängstigend.

Hallo Frau Knödel,

endeckt Datevnet den Virus?

Schöne Grüße

Willi Müller

"Eine Arbeitsstation hatten wir später mit einer Virensoftware gescannt. Dieser Zugriff auf die Dateien reichte aus, um die Verschlüsselung anzustoßen; schon beängstigend."

Es handelte sich aber um einen zuvor ausgelösten Virus, oder? Bitte sagen Sie jetzt nicht, dass bereits das Scannen einer verseuchten Datei schon die Infizierung auslösen kann!

Das halte ich für unwahrscheinlich. Der Trojaner trägt sich aber an verschiedenen Stellen in der Registry ein: Autostart, Shell, Bildschirmschoner, ...

Möglicherweise war er noch (schlafend) aktiv.

Herr Mayer, Herr Kinzler,

nach dem der Befall festgestellt wurde, wurden die Netzverbindungen physisch gekappt.

Auf einer anderen Arbeitsstation, die bereits angeschaltet war, recherchierte ich nach einem Scanprogramm, der auf CERBER-Signaturen anspringen soll.

Den Windows-Explorer hatte ich geöffnet und in einem Verzeichnis hunderte Dateien gesehen, hin und her gewechselt, mal eine Datei, mal eine Graphik geöffnet; nichts passierte.

Den Virenscanner startetet ich dann und im zuletzt geöffneten Verzeichnis konnte ich beobachten, wie eine Datei nach der anderen verschlüsselt und zusätzliche Textdateien generiert wurden; Letzterer Inhalt bezog sich auf das Verschlüsseln und den Angriff und die Abhilfe die dann irgendwann erfolgen soll, gegen Bezahlung.

Der Verschlüsselungsvorgang begann innerhalb zwei Sekunden nach Start des Scanprogrammes, womit ich persönlich dies als auslösendes Moment sehen würde, es aber letztlich nicht garantieren kann.

Hallo H. Müller,

ohne jetzt mit der Fachabteilung gesprochen zu haben, gebe ich einfach wieder, was mir in den letzten 3 Monaten unserer Veranstaltungen die Systempartner wiedergespiegelt haben. Die sagen, dass der Befall überwiegend bei Anwendern liegt, die kein DATEVnet haben. In den Veranstaltungen erzählen uns die Teilnehmer manchmal, wenn es sie getroffen hat, daß Sie kein DATEVnet hatten. Unternehmer hat es leider auch getroffen, mindestens einer pro Veranstaltung, der es sich sagen hat trauen.

Schon eine tolle Sache so eine ransomware - hat uns zwei Wochen Urlaub beschert und kanzleiweit komplett neu aufgesetzte Maschinen.

Sauber. Wer hats verbockt, der Boss? Zwei Wochen bis Ihr die Daten entschlüsselt hattet oder zwei Wochen um alles neu einzutippen? muhaha scnr

Nur im gesamten Netzwerk, auf allen Arbeitsstationen, angeschlossenen Wechseldatenträgern, NAS-Storage und sogar einem Notebook das über WLAN verbunden war.

Naja meine Oma hätte jetzt gesagt, wer nicht hören will* muss fühlen, evtl. auch Strafe muss sein.

Der Boss hätte jetzt gesagt, Abschottung nach außen, Abschottung nach innen. Wer taub, blind und stumm ist, lebt hundert Jahre in Frieden.

Omertà – Wikipedia

Ich hätte jetzt gesagt, ich habs Euch ja gesagt (Re: Trojaner - Ransomware - Haben Sie weitere Tipps? ). Der Boss hat wie immer recht. 100 % safe wenn man sich nicht ganz blöd anstellt. Kost auch nüscht....

(* u. seine produktive Datev-Windowsumgebung wider besseren Wissens mit Websurfing, Email-Eingang, java, IE, flash u. AV-Scannern malträ- bzw. penetriert)

Nett zu sehen, wenn stehenden Auges auf wundersame Weise die Dateien verschlüsselt werden... it´s magic !

Ja wirklich ein schöner Anblick, z.B. die Truecrypt-Vollverschlüsselung. In Deinem Fall würde ich den Anblick eines FI-Schalters in unmittelbarer Reichweite allerdings bevorzugen.

Zit. Katja Knödel:

Die sagen, dass der Befall überwiegend bei Anwendern liegt, die kein DATEVnet haben. In den Veranstaltungen erzählen uns die Teilnehmer manchmal, wenn es sie getroffen hat, daß Sie kein DATEVnet hatten.

Ein System nach Datev-Standardkonfig. ist ja auch brandgefährlich. Datevnet hinkt der o.g. Variante allerdings hinterher, da dort die Schadsoftware erstens nicht lauffähig ist, zweitens nicht (ohne zutun) ins produktive System gelangt u. sie nicht auf (zeitverzögerte d.h. zu späte) Malware-Signaturen, insb. bei  Verschlüsselung, angewiesen ist.

Der wird auch als Bewerbung getarnt. Absender ist jeweils eine seriös wirkende T-Online-Absender-Adresse.

Wenn sich dieser Typ bei Ihnen bewirbt ist Vorsicht geboten!

Bei Schlips u. Krawatte bzw. Photoshop ohne Glanzkorrektur gehen eh alle Warnlämpchen an.

Den Kollegen die Tage fand ich auch ganz ok, ich musste jedenfalls ein zweites Mal hinschauen (Absender "PayPal Deutschland" je nach Ansicht / alles in schwarz war richtig).

Ich frag mich allerdings wieso die heutigen Spammer optisch/sprachlich tiptoppe Spammails hinbekommen u. dann dermaßen beschissenedilettantische Links/Mailabsender verwenden...

Wer den Schaden hat, spottet jeder Beschreibung !

Ich weiß jetzt auch nicht recht, ob es angemessen ist, sich darüber lustig zu machen oder jemanden als verblödet zu bezeichnen.

Wäre Datensicherung online nicht am Start gewesen, wären zigtausend Ablagedokumente dem Zugriff entzogen worden. Wenn Sie schon so clever sind, sollten Sie wissen, dass "Cerber-Dateien" derzeit nicht "offiziell-sauber" entschlüsselt werden können; aber Hauptsache die Tasten haben geklimpert

... und auf die Forderungen einzugehen, war für mich keine Option: https://dieviren.de/cerber-decryptor/

Trotz klugsch...en Daherredens wünsche ich es weder Dir oder irgendjemand anderen und würde an der Stelle nochmals alle zu erhöhter Vorsicht mahnen.

Nur eins: Dieses Thema hat bei uns sehr hohe Priorität, wird laufend "gebrieft" und dennoch ist die Falle, im Eifer des Tagesgeschäftes, zugeschnappt. Wir hatten die letzten Wochen ein erhöhtes Bewerbungsaufkommen, wo dieser "nette Herr" mit einer tadellosen Bewerbung erfolgreich reingerutscht ist.

Nix für ungut, Theo !

Was Deus Ex anspricht ist ja die Krux des Problems. Man kann natürlich nahezu hundertprozentige Sicherheit schaffen, dies alles aber geht zur Lasten der Produktivität und verlangsamt die Arbeitsabläufe. Hinzu kommt noch, dass so gut wie jeder sich ziemlich am Riemen reißen muss um jedes Mal erst einmal durch alle Reifen zu hüpfen und die auf Bedrohungen zu prüfen anstatt zu arbeiten.

Eine Frage, wäre das generelle Unterbinden von .exe Dateien eine Lösung? Ich hätte mir das so vorgestellt, dass es eine Positivliste von Anwendungen gibt, die ganzen Anwendungen von DATEV natürlich und gegebenenfalls eine Handvoll anderer und dass alles andere unterdrückt wird, oder zumindest eine Sicherheitsabfrage erscheint wenn ein Programm ausgeführt werden soll, das nicht auf der Liste steht. Wäre dies möglich und/oder realistisch? Nur mal ein Gedanke, die Schufte sind ja leider wirklich geschickt darin Virenprogramme zu tarnen.

Wer den Schaden hat, spottet jeder Beschreibung !

Wer das Forum aufmerksam verfolgt, hat bestimmt auch mitbekommen, dass selbst den besten Kommentarschreibern mal was durch die Finger flutscht

Ich weiß jetzt auch nicht recht, ob es angemessen ist, sich darüber lustig zu machen oder jemanden als verblödet zu bezeichnen.

Spass muss sein u. 2 Wochen Urlaub sind ja auch nicht schlecht. Aber hier geht was durcheinander.

Das 'wenn man sich nicht ganz blöd anstellt' bezieht sich auf meine o,g. Konfig. Per default kommt da nix (außer ggf. targeted) raus. Falls ich aber bspw. nicht auf mein Outlook verzichten möchte u. es mit den Netzwerkfreigaben
zu doll treib, ist der Effekt für die Katz.

Trotz klugsch...en Daherredens wünsche ich es niemanden und würde an der Stelle nochmals alle zu erhöhter Vorsicht mahnen.

Nur eins: Dieses Thema hat bei uns sehr hohe Priorität, wird laufend "gebrieft" und dennoch ist die Falle, im Eifer des Tagesgeschäftes, zugeschnappt. Wir hatten die letzten Wochen ein erhöhtes Bewerbungsaufkommen, wo dieser "nette Herr" mit einer tadellosen Bewerbung erfolgreich reingerutscht ist.

Nur eins: Das tue ich auch. U. ich zeige dabei einfache, kugelsichere Lösungsmöglichkeiten auf. So dass nicht jeder Klick gleich im Armageddon mündet.

Man kann natürlich nahezu hundertprozentige Sicherheit schaffen, dies alles aber geht zur Lasten der Produktivität und verlangsamt die Arbeitsabläufe.

Das sehe ich nicht. Eine VM lässt sich im Nahtlosen Modus wie ein ganz normales Fenster behandeln (kennt man evtl. von den Kunden die Datev mit Macs benutzen). Performancemäßig haben wir schon lange genug Ressourcen dafür.

Gegen Viren mag das Helfen, aber gegen z.B. Cerber nichts. Er nutzt Sicherheitslücken des Systems und injiziert seinen Code in Programme, welche ihre Rechte erhöhen können.

Hallo Frau Knödel,

können Sie bitte doch bei Ihren DATEVnet Experten nachfragen, ob DATEVnet mehr Sicherheit gegen diesen Angriff bietet? Eine klare Aussage hierzufinde ich bei einem so wichtigen Thema doch besser als der Eindruck aus Seminaren. Aufgrund der nicht unbeträchtlichen Kosten für DATEVnet ist es übrigens kein Wunder, dass die meisten Teilnehmer Ihrer Seminare DATEVnet nicht einsetzen und deshalb der Prozentsatz der betroffenenNichtDATEVnet Anwender höher ist ..;-)

Schöne Grüße

Willi Müller

Hallo Frau Knödel,

noch eine Ergänzung: Bei der Firma Intranator habe ich folgende Pressemeldung zu dem Thema gefunden:

Pressemeldung 12.04.2016

Schutz vor Ransomware per E-Mail

Intra2net Security Gateway sperrt Krypto-Trojaner mit neuem E-Mail-Anhangfilter aus

Tübingen, 12.04.2016 - Krypto-Trojaner wie "Locky" oder "TeslaCrypt" zählen zu den derzeit gefährlichsten Cyber-Bedrohungen. Der deutsche Security- und Groupware-Spezialist Intra2net (www.intra2net.com) schützt Anwender jetzt mit einem neuen E-Mail-Anhangfilter wirksam vor Schadsoftware, die über Office-Dokumente mit Makros oder Dateien mit aktiven Inhalten verbreitet wird. Die neuen Schutzfunktionen stehen in der Version 6.4.2 der Unified-Threat-Management-Lösung Intra2net Security Gateway zur Verfügung. Intra2net ist damit einer der ersten Anbieter überhaupt, der einen praxistauglichen E-Mail-Schutz vor Krypto-Trojanern zur Verfügung stellt.

Wir nutzen DATEVnet. Bietet das auch einen solchen Schutz?

Schöne Grüße

Willi Müller

Hallo zusammen,

DATEVnet bietet eine Reihe von Sicherheitsmaßnamen, die es den Krypto Trojanern sehr schwer machen sollten, durch die Sicherheitsinfrastruktur zu gelangen. Allerdings wird es 100% Sicherheit aufgrund der ständig neuen Varianten nie geben. Auch DATEVnet verspricht dies nicht.

DATEVnet hat mit all seinen Schutzfunktionen eine sehr hohe Erkennungsrate - die fehlenden Promille sitzen häufig vor dem PC

Aus unserem DATEVnet-Werkzeugkoffer hier ein paar Beispiele:

• Neben dem Einsatz von mehreren, sich laufend aktualisierenden Virenscannern, können wir auch schnell und effizient eigene Antiviren Signaturen gegen aktuelle Schädlinge bauen.
• Im E-Mail-Verkehr prüfen wir unverschlüsselte ZIP Dateien incl. Inhalte und lassen bestimmte, potentiell gefährliche Dateiendungen (*.bat, *.com, *.cpl, *.exe, *.hta, *.pac, *.pif, *.scr, *.vbr) gar nicht erst zu.
• Mit der aktualisierten Virenerkennung an den zentralen Systemen werden auch bereits zugestellte E-Mails erneut auf Schädlinge überprüft. Im Fall eines zum Zeitpunkt der Zustellung noch unbekannten Schädlings kann der Mailempfänger im Nachgang auf die Gefahr hingewiesen werden.
• Unser Mail-Radar warnt Sie explizit, wenn Sie E-Mails mit Dateianhängen erhalten, die ausführbare Programme in zip-Archiven, Office-Dokumente mit VBA-Makros oder eine Verknüpfung auf Online-Speicherdienste (z.B. Dropbox usw.) beinhalten.
• Der erweiterte SPAM-Schutz bietet die Möglichkeit, als SPAM eingestufte E-Mails gar nicht erst durch die DATEV-Mailserver anzunehmen. 
• Ist der erweiterte SPAM-Schutz nicht aktiviert, weist das Mail-Radar darauf hin und warnt, dass es sich um SPAM und/oder vielleicht sogar um Fake-Emails mit „gefährlichen“ Internetlinks handeln könnte.
• Neben DATEVnet ist der Einsatz eines lokalen Antivirenprogrammes unerlässlich. DATEV bietet hierfür VIWAS (inkl. Cloudbasierter Echtzeit-Virenerkennung  Dok.-Nr. 1071268) als kostenlose Ergänzung zu DATEVnet an.
• Eine konsequente Datensicherung (z.B. über Datensicherung online) rundet Ihr Sicherheitskonzept ab.

Grüße aus Nürnberg

Alexander Volk

DATEVnet-Support

Die neueste Falle:

DOMAIN-TRANSFER der DENIC.

Hallo Herr Volk,

das machen wir auch so. Allerdings mit weit mehr Dateitypen. *.js sollte unbedingt auch gefiltert werden. Die DHL-Fakes kommen aktuell mit gezippten JS-Dateien.

Gruß aus Hamburg

Beitrag vom Nutzer gelöscht

Keine Sorge Herr Hecker,

die DENIC kann das

Nice try Kollege.

PS McAffe aka Viwas failt.

Selbiges auch hier aufgeschlagen... jedoch mit einem völlig verkehrtem Adressaten 😉