Topic: Warnung: 2016, das Jahr der Cryptoviren - locky and co - oder Ransomsoftware - page 3. (Read 6754 times)

Der war gut

Kurze Frage: Ich nutze Kaspersky als Virenschutz und zusätzlich Sandboxie.
Wenn ich mir über eine Datei unsicher bin starte ich diese mit Sandboxie.
Dies hat sich bis jetzt bewährt. Ist das aus eurer Sicht eine gute zusätzliche Lösung?

Wenn du leere Docs in Mails löschst wird der Virenschreiber eben was reinschreiben.

Jede Regel von Virenscannern kann wenn man sie erstmal weis umgangen werden. Das Regelwerk für Heuristik muss also so sein, sie den Virus "unmöglich" macht. zB wenn eine DOC gespeichert wird und dann 100% anders ist, stimmt was nicht. jetzt könnnte der Virus aber den header unverschlüsselt lassen und damit zwar anzeigen, wer die Datei angelegt hat, aber der Inhalt wäre trotzdem weg. Und die Heuristik ausgetrickst.

Was ich dir 100% zustimmen muss: man muss selbst aktiv werden. Nur sind diese Menschen eben nicht Dumm.

Und was das zahlen angeht. Es bringt nichts, wenn man statt 150Euro Erpressungsgeld 500Euro Betriebskosten hat. Und das wissen die Hacker auch. Löblich, Kunden davon abbringen zu wollen, aber wirtschaftlich nicht vertretbar. Leider bringt das immer mehr dazu auf den Zug aufzuspringen.

Was nun gefragt ist, sind Lösungen. Wie verhindert man Verschlüsselung. Leider sind die Aussichten hier eher schlecht. Das einzige was mir dazu einfällt: UEFI Secure Mode und den will ich eigentlich auch nicht durchsetzen weil er privat viele Nachteile hat. Eigentlich ist der UEFI-Mode teurer als Erpressungstrojaner.

Aber wie immer: gib dem Menschen etwas womit er scheisse bauen kann und er baut scheisse.

Ich kann leider auch bestätigen dass in den letzten drei, vier Wochen bei unseren Kunden der Befall durch Ransomsoftware stark zugenommen hat.
Die Woche verging kein Tag an dem wir keinen Server wieder wieder auf den Stand der letzten Sicherung zurücksetzen mussten.

Bisher konnten wir Kunden die am überlegen waren zu zahlen noch davon überzeugen es nicht zu tun. Aber bei einer größeren Arztpraxis die dadurch zwei Tage lang sogut wie zumachen muss, ist das nicht einfach.
Die Wahrscheinlichkeit dass man alles wieder entschlüsselt bekommt nachdem man zahlt stufe ich eigentlich recht hoch ein, da es sich sonst schnell rumsprechen würde dass zahlen eh nix bringt und keiner mehr zahlen würde. Allerdings müsste man auch dann jede Menge Aufwand in die Diagnostik stecken von welchem Rechner im Netzwerk der Befall los ging und was alles wirklich infiziert wurde. D.h. man müsste sich wirklich jeden Rechner im Netzwerk genau ansehen. Auch dann kann keiner garantieren dass der Schädling wirklich weg ist und nicht in zwei Monaten einfach wieder kommt.

Backup zurückspielen ist in meinen Augen die sinnvollste Lösung, trotz Ausfall und evtl verlorener Daten der letzten paar Stunden bis zurück zum letzten Zeitpunkt des Backups. Auch wenn dieser Aufwand den Kunden mehr kostet als die 0,5 BTC.

Im aktuellen Fall kam halt leider noch mehr Leichtsinn vom Kunden dazu, da der Arzt wohl das Administratorkennwort an seine Mitarbeiter mal weitergegeben hat und der Virus von einem PC über das Admin-Konto sogut wie alle Daten am Server verschlüsseln konnte. Wie genau es dazu kam, lässt sich schlecht raus finden da es natürlich keiner gewesen sein möchte.

Ich bin gespannt wie das Thema weitergeht und was die Hersteller von Schutzsoftware sich einfallen lassen.

Grüße

Warum wird da so ein Aufhebens drum gemacht, sogar in den Radionachrichten und wer weiß wo sonst noch, dabei ist es so einfach: Ein DOC im ZIP, und dann kommt die Makrowarnung -> alles in den Müll.
Soweit meine Tests ergeben haben, passiert ohne die Aktivierung des Makros genau gar nichts.
Exes in ZPIs werden schon vom normalen Office und Antivirus abgefangen.

Angeblich hilft nichts dagegen, man bekommt die Mail und der PC brennt. Ist das alles Medianpanikmache, oder einfach nur dumme Redakteure die meinen "alle reden davon, wenn wir's nicht auch tun meinen unsere Kunden sie wären schlecht informiert und kaufen eher die anderen"?

Und warum bekommen die etablierten Virenwarner es nicht in den Griff, ein Erkennerprog zu schreiben, das "leere" DOCs in ZIPs in Mails stumpf löscht?

Soweit ich sehe ist der einzige Streß dann, wenn irgend ein Mitarbeiter so doof war die Makros zu aktivieren.
In dem Moment hat man verloren, weil wohl wirklich alles in Reichweite verschlüsselt wird.
Interessant: Es scheint mit dem Lösegeld tatsächlich zu funzen, früher haben "die" ja oft nur kassiert und weiter kam nichts.
Und: Ich bezweifle, das ein User mehr als die eigenen Rechte auf einem Serverdrive nutzen kann.
Der Server bewertet den User anhand der gegebenen Credentials, hast du keinen Zugriff, bekommst du auch keinen. Es sei denn Locky wäre so schlau (und der Admin so doof), auch Standard-, leere oder geklaute Credentials anzuwenden.

Ich habe das Gefühl, dass dieses Jahr das Jahr der Viren schlecht hin wird.
Seit ca 5 Jahren arbeite ich in der IT-Branche, und bis gelegentlich ein paar Trojaner und Viren hatte ich abgesehen von Ad-Aware/SPAM nicht wirklich Probleme mit Viren auf der Arbeit.

Der eine oder Andere hat vielleicht schon von den neuen Kryptoviren gehört, der bekannteste ist wohl Locky.
Locky verschlüsselt ALLE Dateien auf dem lokalen System und greift auch auf andere Systeme in einem Netzwerk (z.B. Domain über). Es sind auch schon Fälle bekannt, in denen Locky auch Bereiche verschlüsselt hat, auf die der angemeldete Benutzer keine Zugriff hatte (z.B: Benutzerprofile/ Netzwerk Freigaben / ...).
Ich möchte hier kurz erklären, was die neuen Viren machen, und wieso sie so gefährlich sind.

Herkömmliche Viren richten Schaden an, oder spionieren das infizierte System aus (z.B. abgreifen von Passwörtern, Emailadresse, Onlinebanking, Paypal, ...). Das ist sicherlich nicht gerade ungefährlich, aber fast jeder aktuelle Virenscanner kann dagegen schützen.
Bei Cryptoviren verhält sich das ganze anders: Die Verbreitung geschieht aktuell primär per Email. Im Betreff findet man häuft "Invoice", "Urgent Invoice", "Awaiting Paypemt", "Rechnung", "Eilige Rechnung", "Mahnung"... Mit diesen Betreffen versucht der Absender Panik bei dem Empfänger zu verursachen. Im Anhang der Email befindet sich immer ein Emailanhang. Meißtens ein Worddokument, Excel-Sheet, PDF, ...
Ich persönlich hatte in meinem Umfeld bis jetzt "nur" mit dem Virus zu tun der sich per Emailanhang verschickt und eine Word-Datei im Anhang hatte.
Beim Öffnen/Lesen der Email an sich passiert in der Regel noch nichts. Öffnet man allerdings den Anhang, z.B. ein Word-Dokument so ist dieses meißtens leer. Im oberen Rand von Word sieht man den Hinweis von Microsoft: "Macros wurden aus Sicherheitsgründen deaktiviert. Hier klicken um macros zu aktivieren." Dies sollte man NIEMALS tun. Ich wiederhole, NIEMALS bei Emailanhängen irgendwelche Macros oder ähnliches aktivieren. Macros sind kleine Programme, die im Hintergrund Sachen machen. z.B.  Wird mit einem Macro ein Word-Dokument interaktiv, und der Benutzer kann per Maus z.B. ein Formular ausfüllen.

Was passiert, wenn man das Macro aktiviert?
Ein mal aktiviert, wird ein kleines VB-Skript gestartet. Dies ist an sich ebenfalls noch harmlos, allerdings beginnt nach dem Öffnen dann schon der Download des Virus. Der Virus wird auf schlecht abgesicherten Blogs, Foren bzw deren FTP Servern abgelegt und ist deshalb sehr schwer zurück zu verfolgen.
Ein mal geöffnet wird der Virus heruntergeladen. Das Downloadverzeichnis war fast immer C:\Temp oder %temp% (Temp-Verzeichnis des angemeldeten Benutzers). Die Heruntergeladene Datei hieß in meinem Fall meißtens 1.exe oder 3.exe. Sobald die Datei heruntergeladen ist, wird sie automatisch in fail.exe umbenannt und fängt an, im Hintergrund ALLE Dateien zu verschlüsseln. Es spielt dabei keine Rolle ob es Bilder, PDFs oder gar das eigene verschlüsselte Bitcoin Wallet ist.
Die eingesetzt Verschlüsselung ist immer ein SHA mit 2048bit, also mehr oder weniger fast unknackbar. Aktuell ist keine Möglichkeit bekannt die Daten wieder zu entschlüsseln. Die einzige Rettung bei einem infizierten System ist auf ein (hoffentlich) vorhandenes Backup zurück zu greifen und alle Daten neu einzuspielen.

Auf infizierten Systemen ist ein weiteres Arbeiten nicht mehr möglich, zum Teil bleiben die Rechner sogar im Bootvorgang nach einem Neustart stecken mit dem Hinweis, dass das System verschlüsselt wurde.
Im Windows wird auf den betroffenen Systeme alle Dateien mit der Endung ".locky" angezeigt. Ein Umbenennen des Bildes in z.B. JPG bringt keine Abhilfe !!!
Der Besitzer des infizierten Systems hat allerdings die möglichkeit, einen variierenden Betrag (bei mir waren es immer 0,5) in BTC auf ein BTC Konto zu überweisen. Danach kann man aus dem Darkweb (Zugriff per Tor-Browser) ein Tool herunterladen, dass die eigenen Dateien wieder entschlüsselt. Aktuell ist es so, dass die Dateien wirklich wieder entschlüsselt werden. Ein Kunde von mir (betroffen waren 15 Workstations und 3 Serversysteme) hat die 0,5BTC bezahlt, da er meinte, ca 200€ seien ok, alles besser als 2 Tage kein Arbeiten mit den Rechnern!
Ich persönlich würde davon stark abraten, da uns hier keiner garantiert, dass der Virus wieder kommt.

Und nun zum wichtigsten Teil: Wie kann ich mich schützen und wieso hilft mein Virenscanner nicht?
1. Der installierte Virenscanner hilft nicht, da der Virus sich nicht im Anhang der Datei befindet. Er kommt er später nach dem Öffnen des Anhangs auf den Rechner und enthält KEINE Virensignatur, da ein verschlüsselungsprogramm erst mal nichts schädliches ist.
2. Aktuell gibt es nur ein paar Antivirensoftware Hersteller, die verlässlichen Schutz dagegen bieten. Ich persönlich setze auf "Malwarebytes Anti-Ransomware". Diese Sofware befindet sich aktuell in einer Beta, biete aber schon jetzt einen guten Grundschutz gegen die neue Art von Viren. https://forums.malwarebytes.org/index.php?/topic/177751-introducing-malwarebytes-anti-ransomware/ Downloadlink findet ihr hier im Link, eine Registrierung ist nicht nötig.
Die Software von Malwarebytes scannt den Rechner permanent nach aktuell laufenden Verschlüsselungen, also kann es auch sein, dass sie anschlägt wenn man z.B. einen Container mit TrueCrypt erstellt. Da es eine Beta ist, kann es durchaus sein dass Fehlalarm ausgegeben wird.
3. Man sollte unbedingt ein Backup seiner Dateien anlegen. Es ist unglaublich wichtig, dass das Backup nicht auf eine andere interne Platte oder eine dauerhaft angeschlossene USB HDD läuft, da Locky auch direkt nach der Infizierung anfängt, auch USB und Serverplatten zu verschlüsseln. Auch ein Backup auf einer NAS (dauerhafter Netzwerkzugriff) ist nicht sicher. Ich habe mir z.B. einen Stick zugelegt, auf dem ich nur meine Bitcoinwallets/Litecoin/etc. gesichert habe.
4. Das aller wichtigste: Bitte achtet besonders darauf, was für Emails ihr von wem auf macht. Ich habe auch schon gesehen, dass sich der Virus mit internen Emailabsendern weiter verteilt. Hier ein Beispiel: Kunde besitzt einen Kopiere und hat Scan to Email konfiguriert. Der Virus greift die Adressbücher von infizierten Systemen ab (das hatte ich bis jetzt "nur" bei ca 50% der Fälle) und tarnt sich als interner Mailanhang: Text im betreff ist dann z.B: "More Scanned Files", "More PDF", "Scanner". Absender könnte sein [email protected], [email protected] allerdings halt auch [email protected]. Hier ist es noch wichtiger darauf zu achten, dass man diese Emails nicht löscht.


Ich hoffe, ich konnte hier ein wenig über die neue Art von Viren aufklären. Sollte jemand noch Fragen haben oder Hilfe benötigen, so könnt ihr hier gerne schreiben oder mir eine PM zukommen lassen. Sollte ich in der Lage sein euch zu helfen, so werde ich dies gerne tun.

Grüße,
testbug