Dieser Inhalt wäre ohne die Premium-User nicht finanzierbar. Doch wir brauchen dringend mehr Unterstützer:
Hilf auch du mit!
Angst geht insbesondere bei Windows-Nutzern um: Erpressungstrojaner wie Locky, Petya oder TeslaCrypt befallen immer mehr Rechner – auch in Deutschland. Sie verschlüsseln alle wichtigen Daten auf den internen wie externen Festplatten und rücken den Schlüssel erst nach Zahlung eines Lösegelds raus – falls denn tatsächlich die vermeintlich rettenden Schlüssel übermittelt werden. Denn Ehrenmänner (und -Frauen) sind die Entwickler dieser Trojaner mit Sicherheit nicht.
Henry Krasemann, der Games-Anwalt von GamersGlobal.de und Datenschutz-Jurist, gibt Tipps, wie man den Befall mit diesen Schädlingen verhindert. Und was man tun sollte, wenn doch etwas passiert ist.
Ist das einem hier anwesenden eigentlich schon passiert? Wenn ja, wie?
Jo hier, mir. Es muss eine Fly-By-Variante gewesen sein, also beim Surfen durch den Browser gesickert sein. Hat dann Stück für Stück, brauchte relativ lange, deshalb habe ich ihn auch nach der Hälfte meiner Daten "schon" stoppen können, alle Dateien verschlüsselt. Ekliges Mistvieh. Durch vorhandene Datensicherungen habe ich mich aber auch nicht lange mit möglichen Wiederherstellungsversuchen abgemüht sondern bin den radikalen Weg gegangen. War Anfang dieses Jahres.
Das ist bitter, gut dass du die Datensicherung hattest. War zu dem Zeitpunkt der Infektion ein Virenscanner aktiv?
Ja, es war ein Virenscanner aktiv, Windows Firewall und ne Firewall im Router. Aber all das nützte nix. Kann halt wirklich einfach so passieren. Aber wie gesagt, mit aktuellen Datensicherungen ist das nicht ganz so tragisch. Aber hier noch eine "Warnung": Das Medium mit der Datensicherung nicht am PC stecken lassen. Der Virus hat bei mir auch auf ein Netzlaufwerk zugegriffen, also würde er auch die externen Laufwerke durchforsten, da bin ich mir sicher.
Waren davon auch nicht verbundene Netzlaufwerke betroffen?
Ich hab in meinem lokalen Sambaserver auch schreibende Freigaben, die nicht "browsable" sind, also im Windows-Explorer eigentlich nicht direkt zu finden sind, wenn man sie sich mit \\$hostname anzeigen lässt. Das sind schreibende Freigaben auf meine Bilder, Musik und die Pornosammlung, die normalerweise nur lesbar als Windows-Laufwerk eingebunden sind.
Vielleicht sollte ich auf die Schreibfreigaben Zugriff nur über einen separaten Benutzer erlauben und nicht über den Windowsbenutzer.
Das kann ich dir leider nicht sagen, da ich nur aktive Netzlaufwerke eingebunden hatte. Allerdings hatte jede Datei den zu diesem Zeitpunkt aktiven Benutzer als neuen Besitzer. Daher gehe ich mal ganz stark davon aus, dass nur ein Benutzer mit Schreibrechten auf einer Freigabe auch wirklich Unsinn machen kann. Ich denke mit einem entsprechenden Rechte-Konzept würdest du dich schützen. Das gebietet auch die Logik, allerdings lege ich dafür NICHT meine Hand ins Feuer. Also, tu was um deine Pornos zu schützen ;-)
Ich hab das jetzt auch direkt genutzt und die Freigaben der statischen Dateien mit Schreibrechten abgeschaltet.
Ohne das Video gesehen zu haben scheint mir ein regelmäßiges sicheres (versioniertes) Backup die beste Lösung zu sein, sollte das AV nciht sofort anschlagen.
Wobei das natürlich auch in die Hose gehen kann, wenn die Dateien so langsam durchs Backup sickern und man es merkt, wenn alte Backupstände schon überschrieben sind.
Vielleicht sollte man sich eine Testdatei auf der Kiste ablegen, die man nicht verändert. Sobald die geändert wurde, weiß man, dass was faul ist. Hmm, wäre doch eigentlich ein guter Ansatz. Vielleicht implementiere ich mir das auf dem Server. Ich lege in meiner Freigabe eine Handvoll echter Dateien ab (JPG, Word, Excel, txt, etc.) und erstelle einen Hashwert. Wenn ich nun per cron-Job minütlich den hash-Wert dieser Dateien prüfe und im Falle einer Abwichung direkt dem Samba abschieße, mmüsste das ja passen.
Es steht und fällt nur damit, dass diese Dateien zuerst verschlüsselt werden müssen...
Arbeite mit einem User, der keinen Schreibzugriff auf das Backupverzeichnis hat.
Die Backupplatte ist eh am Server angeschlossen und man kommt von Windows her überhaupt nicht drauf.
Aber das mit dem Hash ließe sich zumindest dort anwenden. Auf beiden Platten einfach eine identische Datei anlegen und vor jedem Backuplauf werden beide Dateien mit einem Sollwert verglichen. Hat sich eine verändert, startet das Backup nicht. So kann man wenigstens verhindern, dass verschlüsselte Dateien auf die Backupplatte kommen und dort die unverschlüsselten überschreiben.
Meine statischen Daten (Bilder, Musik, etc.) werden nämlich nur per rsync auf die externe Platte gespiegelt. Es gibt kein inkrementelles Backup.
Teslacrypt und Co. aktualisiere nicht das Änderungsdatum. Zumal das System meistens lange im Vorfeld verschlüsselt wird und bewusst erst zeitversetzt der Zugriff nicht mehr möglich ist, wenn es einfach viel zu spät ist.
Virenscanner sind zumindest für Unternehmen keine sonderliche Hilfe, da die Cryptowürmer just in dem Moment vor Auslieferung erstellt werden, damit Scanner die Signatur nicht zuordnen können.
Der Inhalt ändert sich und damit der Hashwert.
Dann leg für jede einzelne Datei einen MD5-Hashwert in einer Datenbank an und lass es Vergleichen. Ich sprach vom Änderungsdatum aus dem Dateisystem, welches vom Vorredner auch angesprochen wurde.
Sorry für das Missverständnis. Ich dachte, du beziehst dich auf meinen Beitrag, wenn du auf ihn antwortest. ;)
Darf man fragen welchen Webbrowser du regelmäßig verwendest?
"Es muss eine Fly-By-Variante gewesen sein", hier auf Gamersglobal? Diese aggressiven Takeover haste nicht gesehen? Daher erklärt auch direkt ein Anwalt die technischen Maßnahmen.
Nein, das "hier" sollte ein Melden meinerseits sein und kein Hinweis auf die Seite von der ich es hatte. Wer der Schuldige letzten Endes war weiß ich nicht.
Privat noch nicht.
In der Firma hatten wir sowas mal. Kam als Rechnung getarnt bei einer Zweigstelle an, und die dort Verantwortliche für die Finanzen hat diese Mail halt geöffnet und damit ihr System überrannt. Das komplette eingerichtete Anti-Virenscanner-System interessierte das auch überhaupt nicht.
War eine Abwandlung vom Cryptolocker, die allerdings auch nur dessen Namen teilt.
Aber wir als IT-Support konnten da eigentlich gar nichts machen. Clean Sweep war das einzige, was bei sowas vom Zeitaufwand realistisch gewesen ist ^^.
Die dortigen Netzlaufwerke waren vernünftigerweise mit Passwort geschützt, weshalb nur das Eintrittssystem selbst überrannt wurde.
Mails/Anhänge nur in der Sandbox öffnen!
Mails in Nur-Text lesen/schreiben und Mailanhänge nur nach Rücksprache öffnen.
Oder eben gar nicht.
Gerade Mitarbeiter die eben nicht die große Ahnung von der IT haben (Empfangspersonal oder wie in deinem Fall eine Finanzverantwortliche) sollte für dieses wichtige Thema sensibilisiert werden. Ein falscher Klick des Pförtners kann heutzutage leider das ganze Unternehmen schädigen.
tolles Video.
Bin mal gespannt wann der erste mit Brain.exe kommt.
Brain.exe weniger (der Begriff ist veraltet ;)), aber mit gesundem Menschenverstand und entsprechendem Sicherheitskonzept, mit dem man sich im Netz bewegt. Die Person vor dem Bildschirm bleibt nunmal der größte Unsicherheitsfaktor. Und laut Quelle fängt man sich über diesen den Schädling ein.
Jain, die Krypto-Trojaner werden zum einen durch Mails empfangen, dann kann der Nutzer mit Nachdenken, indem er Anhänge nicht öffnet, dieser Gefahr aus dem Weg gehen. Aber diese Biester werden teilweise auch durch (gehackte) Webseiten (Wordpress Seiten sind da im Moment sehr beliebt) oder über Adserver verbreitet, dann hat man keine Chance es sei denn, man hat wirklich überall(!) einen sehr strengen Adblocker oder gar NoScript aktiv. Die Seitenbetreiber haben nämlich in der Regel keinen Einfluss darauf, welche "Werbung" die Agentur bei deren Nutzern anzeigt. Selbst Seiten wie Chip.de haben dadurch schon Malware verbreitet.
"...es sei denn, man hat wirklich überall(!) einen sehr strengen Adblocker oder gar NoScript aktiv."
Beides aktiviert/installiert gehört mitunter zu dem erwähnten Sicherheitskonzept. Ich kann's später nochmal ausführlicher verlinken, hab im Büro nur keinen Zugriff auf die entsprechenden Favoriten zu Hause, als ich noch in einem Viren/Sicherheitsforum aktiv als Support tätig war.
In der aktuellen c't ist ein mehrseitiges Special zu dem Thema. Derzeit sind die Dinger eine echte Plage und es kommen laufend neue Spielarten dazu. Darum finde ich es gut, dass auch möglich überall zu diesem Thema aufgeklärt wird.
Kurzfassung:
Es gibt drei Dinge, die helfen: Backup, Backup und Backup.
Wenn das Backup auf ein NAS geht, sollte es über eine versteckte Freigabe mit einem eigens dafür eingerichteten User, der als einziger auf RW-Zugriff hat, erfolgen.
Gut sind auch Backups statischer Daten auf schreibgeschützten Datenträgern.
Vorbeugend gibt es ein Anti-Ransomwaretool von Malwarebytes, welches sich allerdings noch im Beta-Statium befindet.
Jupp, ein Backup ist absolut notwendig, denn es kann einem immer etwas durch die Lappen gehen. Ich bin immer wieder erstaunt, wie wenig Privatleute sich darum sorgen. Die haben ihre ganzen privaten Dateien genau einmal: Auf der Platte ihres Rechners.
Man lernt bekanntlich durch Schmerzen. ;)
Hmm, schon. Aber wenn dann irgendwer aus dem privaten Umfeld wieder kostenlos und stundenlang Support in Anspruch nehmen will und vorher die Anregungen zum Backup schlicht ignoriert hat...ach so! Das hast du mit Schmerzen gemeint! Ne, ich bin ein friedfertiger Mensch und schlage niemanden.
Man kann nicht Allen helfen, schau dich doch einfach auf der Welt mal um. Als ITler bin ich davon weg, kostenlos zu helfen. Außer meine Mutter kriegt niemand IT-Support von mir für Lau. Warum auch? Schließlich bin ich nicht Jesus.
Naja, solange das Prinzip von den sich gegenseitig waschenden Händen nicht verletzt wird, hab ich nichts dagegen. Mich stört am meisten einfach nur die Beratungsresistenz.
Ach das ist doch eine Milchmädchenrechnung. Zumal viele aus reiner Faulheit oder wie du es schon sagst, aufgrund der Beratungsresestenz nie dazu lernen wollen. Warum soll man sich also den Kampf gegen Windmühlen antun? Du bist dann der Honk der für jeden Furz angerufen wird, der sowas lächerliches wie eine Windows Installation machen darf, etc. :)
Japp. Mama darf das. Na gut - meine Geschwister auch. Und meine Frau. Aber dann ist wirklich Schluss!
Das Problem sind zumindest bei mir die Datenmengen. Klar, meine wichtigsten Daten habe ich doppelt und dreifach, einfach schon wegen der Nutzung etwa auf allen meinen Rechnern sowie noch einmal auf einer externen Festplatte als Notfall Backup.
Aber z.B. brenne ich seit ewigen Jahren keine DVDs mehr zur Sicherung und alle Daten die sich im Laufe der Jahre angesammelt haben wirklich doppelt zu lagern würde letztlich bedeuten, dass ich einige 100 Euro in ein zusätzliches NAS investieren müsste, das nur zur Sicherung da ist. Bisher konnte ich mich ehrlich gesagt nicht zu einer solchen Ausgabe hinereißen.
"Vorbeugend gibt es ein Anti-Ransomwaretool von Malwarebytes, welches sich allerdings noch im Beta-Statium befindet."
Noch vorbeugender ist allerdings, es gar nicht erst zu einer Kompromittierung des System kommen zu lassen. Womit wir wieder beim gesunden Menschenverstand und Sicherheitskonzept wären. Solche Software-Tools kommen auch erst zum Einsatz, wenn quasi der ungeliebte Vertreter ohne Einladung bereits im Wohnzimmer steht. Prinzipiell sollte man zudem seine Sicherheit nicht einer Software überlassen, sie kann höchstens etwas unterstützen. Man selbst muß dafür etwas tun.
Auch der Einsatz dieses Ransomtools nach erfolgter Kompromittierung des System bringt kein Vertrauen in das System zurück, da man nicht weiß, was noch alles am System verändert oder hinterlassen wurde (weitere Backdoor-Schädlinge). Da hilft nur Neuaufsetzen des Systems und Einspielen eines Backups.
Etwas anderes habe ich nie behauptet.
Jein ;). Das "vorbeugend" suggeriert leider, daß dieses Anti-Tool vorab dagegen helfen kann.
Generell gilt: Jedwede Software ist prinzipbedingt immer dem Schädling hinterher und kann nie 100%ig vertrauenswürdig nach Kompromittierung eingesetzt werden. Daher sollte man sich auch niemals allein auf Virenscanner und Personal Firewalls etc. verlassen.
Ja, es ist eine Hilfe im Sinne von (zusätzlicher) Unterstützung. Dass niemand einer solchen Software allein vertrauen sollte, sondern selbst Acht geben muss, wie Du es beschreibst, sollte hoffentlich jedem klar sein.
AdBlock/NoScript habe ich auf den meisten der Rechner, die ich im privaten Bereich verantworte, eingerichtet. Allerdings fühlen sich einige hierdurch in ihrem Surfkomfort eingeschränkt. Da Sicherheit zwangsläufig mit etwas mehr Aufwand und Hirnschmalz verbunden ist, ist sie bei den meisten Anwendern ziemlich unbeliebt.
"Da Sicherheit zwangsläufig mit etwas mehr Aufwand und Hirnschmalz verbunden ist, ist sie bei den meisten Anwendern ziemlich unbeliebt."
Ja, leider. Das war mitunter der Grund, warum ich irgendwann keine Lust mehr hatte in Foren zu helfen. Sie wollen eine Eier legende Wollmichsau, doch selbst kein bißchen mit Eigeninitiative entgegen kommen. Komfort stand vor Sicherheit. Passierte was, war natürlich das Geschrei groß. Einsicht gab's aber keine.
Interessant auch die Äußerung in der letzten c't-Uplink-Sendung, wonach sich auch Redakteure so ein Ding eingefangen haben.
Mir ist kürzlich ein interessantes Exemplar über eine mailing-Liste in die Mailbox gefallen. Damit man in der Liste Senderechte hat, muss man sich anmelden. Nun kam von einem Teilnehmer eine Mail an die Liste, die wie eine Antwort auf eine andere Mail aussah. Nur stand ganz oben der kurze Text "schau mal rein, hier das Passwort für die Datei".
Da kann es schon aufgrund der gesamten Erscheinung der Mail durchaus passieren, dass man die Datei öffnet, da sie komplett legitim aussieht. Da kommt man mit gesundem Menschenverstand und "uffbasse" halt irgendwann an die Grenzen.
Backup hilft, mit arcserve UDP (kostenlos für private Nutzung) kein Problem sogar tägliche Sicherungen zu machen. Dank blockbasierter Sicherung ist so ein tägliches Backup auch nur ca. 2 GB groß und schnell erledigt.
Blöd gefragt: Und wenn ich an einem Tag nur 10 MB an Daten verändert habe?
Ich habe zwei Systeme, physikalisch getrennt. Eines zum Spielen (Windows) und eines zum Arbeiten (Debian). Sollte mein Windows-System einen Schaden davon tragen, dann wäre das nicht so schlimm.
Aber... die Spielstände? Meinem zerstörten Spielstand aus dem vorletzten Level von Half-Life hänge ich heute noch hinterher :-(
Kennst du Gamesave Manager?
Nein.
Bei Steam landen die Spielstände automatisch in der Cloud, bei den meisten anderen Spielen in den Eigenen Dateien (und somit bei mir im Backup), bei wieder anderen im Installationsordner des Spiels. Letztere habe ich nicht in der Sicherung.
Schau dir Gamesave Manager mal an. Das Ding hat ne Datenbank und findet die meisten Spielstände der installierten Spiele aufgrund der vorhandenen Ordner und legt Sicherungen dieser Spielstände an einem zentralen Ort und vor allem gepackt an. Man kann auch einstellen, wieviele Versionen eines Backups es behalten soll. Für Spiele, die es nicht kennt, lassen sich eigene Einträge anlegen und in die offizielle Datenbank laden.
Das Durchsuchen des Rechners nach den Spielständen dauert in der aktuellen V3 recht lange. Das wird sich in V4 aber bessern. Die hat das Team wohl schon zum zweiten Mal von vorne angefangen.
Cool. Danke für den Hinweis.
Der Name war so selbstsprechend, dass ich dachte, Du wolltest wissen, ob ich ein Tool kenne, was eben dies tut ;-)
Weitere Präventivmaßnahme: Erst gar nicht Adobe Flash installieren bzw. in Chrome/Edge deaktivieren. Die meisten Exploits basieren darauf...
Das hilft nicht. Oder besser: Jenes hilft nur bei dem ganzen langweiligen Kram. Mich hat es vor 3 Jahren der falsche BKA - Trojaner erwischt und da war Adobe bei Chrome deaktiviert. Ja alles war aktuell und die 3 offenen Seiten waren GG, Adventuretreff und EBay.
Entweder weder man bricht den Vertrag und benutzt NoSkript oder man lebt mit dem Restrisiko. Ich war eben nur sauer, weil es mein erster unabsichtlicher Virenbefall war... Seit Tag 0 vor 30 Jahren.
Wie gesagt, die meisten:
http://www.heise.de/newsticker/meldung/Der-Liebling-aller-Cyber-Kriminellen-Flash-3157553.html
Interessantes Video - von solchen Trojaner bzw. Software hatte ich noch gar nicht gehört.
vielleicht wäre es nett von euch, für so Themen nach Semper Video zu verlinken.
Der Herr erklärt sehr anschaulich was die Viren machen, und wie man mit ihnen umgehen kann.