Games-Anwalt: Tipps gegen Erpressungs-Trojaner
Teil der Exklusiv-Serie Games-Anwalt

Bild von henrykrasemann
henrykrasemann 4943 EXP - 16 Übertalent,R5
Alter Haudegen: Ist seit mindestens 5 Jahren bei GG.de registriertAlter Haudegen: Ist seit mindestens 3 Jahren bei GG.de registriertLoyalist: Ist seit mindestens einem Jahr bei GG.de dabeiStar: Hat 1000 Kudos für eigene News/Artikel erhaltenTop-News-Veteran: Hat mindestens 50 Top-News geschriebenVorbild: Hat mindestens 100 Kudos erhaltenVielschreiber-Azubi: Hat mindestens 50 veröffentlichte News geschriebenTop-News-Schreiber: Hat mindestens 5 Top-News geschrieben

30. März 2016 - 6:45
Dieser Inhalt wäre ohne die Premium-User nicht finanzierbar. Doch wir brauchen dringend mehr Unterstützer: Hilf auch du mit!
Angst geht insbesondere bei Windows-Nutzern um: Erpressungstrojaner wie Locky, Petya oder TeslaCrypt befallen immer mehr Rechner – auch in Deutschland. Sie verschlüsseln alle wichtigen Daten auf den internen wie externen Festplatten und rücken den Schlüssel erst nach Zahlung eines Lösegelds raus – falls denn tatsächlich die vermeintlich rettenden Schlüssel übermittelt werden. Denn Ehrenmänner (und -Frauen) sind die Entwickler dieser Trojaner mit Sicherheit nicht. 
 
Henry Krasemann, der Games-Anwalt von GamersGlobal.de und Datenschutz-Jurist, gibt Tipps, wie man den Befall mit diesen Schädlingen verhindert. Und was man tun sollte, wenn doch etwas passiert ist.

Video:

Hedeltrollo 22 Motivator - P - 35961 - 30. März 2016 - 7:36 #

Ist das einem hier anwesenden eigentlich schon passiert? Wenn ja, wie?

Juuunior 14 Komm-Experte - P - 2646 - 30. März 2016 - 8:17 #

Jo hier, mir. Es muss eine Fly-By-Variante gewesen sein, also beim Surfen durch den Browser gesickert sein. Hat dann Stück für Stück, brauchte relativ lange, deshalb habe ich ihn auch nach der Hälfte meiner Daten "schon" stoppen können, alle Dateien verschlüsselt. Ekliges Mistvieh. Durch vorhandene Datensicherungen habe ich mich aber auch nicht lange mit möglichen Wiederherstellungsversuchen abgemüht sondern bin den radikalen Weg gegangen. War Anfang dieses Jahres.

Stonecutter 22 Motivator - P - 31862 - 30. März 2016 - 8:23 #

Das ist bitter, gut dass du die Datensicherung hattest. War zu dem Zeitpunkt der Infektion ein Virenscanner aktiv?

Juuunior 14 Komm-Experte - P - 2646 - 30. März 2016 - 8:33 #

Ja, es war ein Virenscanner aktiv, Windows Firewall und ne Firewall im Router. Aber all das nützte nix. Kann halt wirklich einfach so passieren. Aber wie gesagt, mit aktuellen Datensicherungen ist das nicht ganz so tragisch. Aber hier noch eine "Warnung": Das Medium mit der Datensicherung nicht am PC stecken lassen. Der Virus hat bei mir auch auf ein Netzlaufwerk zugegriffen, also würde er auch die externen Laufwerke durchforsten, da bin ich mir sicher.

Hedeltrollo 22 Motivator - P - 35961 - 30. März 2016 - 9:33 #

Waren davon auch nicht verbundene Netzlaufwerke betroffen?

Ich hab in meinem lokalen Sambaserver auch schreibende Freigaben, die nicht "browsable" sind, also im Windows-Explorer eigentlich nicht direkt zu finden sind, wenn man sie sich mit \\$hostname anzeigen lässt. Das sind schreibende Freigaben auf meine Bilder, Musik und die Pornosammlung, die normalerweise nur lesbar als Windows-Laufwerk eingebunden sind.

Vielleicht sollte ich auf die Schreibfreigaben Zugriff nur über einen separaten Benutzer erlauben und nicht über den Windowsbenutzer.

Juuunior 14 Komm-Experte - P - 2646 - 30. März 2016 - 9:44 #

Das kann ich dir leider nicht sagen, da ich nur aktive Netzlaufwerke eingebunden hatte. Allerdings hatte jede Datei den zu diesem Zeitpunkt aktiven Benutzer als neuen Besitzer. Daher gehe ich mal ganz stark davon aus, dass nur ein Benutzer mit Schreibrechten auf einer Freigabe auch wirklich Unsinn machen kann. Ich denke mit einem entsprechenden Rechte-Konzept würdest du dich schützen. Das gebietet auch die Logik, allerdings lege ich dafür NICHT meine Hand ins Feuer. Also, tu was um deine Pornos zu schützen ;-)

Hedeltrollo 22 Motivator - P - 35961 - 30. März 2016 - 9:55 #

Ich hab das jetzt auch direkt genutzt und die Freigaben der statischen Dateien mit Schreibrechten abgeschaltet.

Hannes Herrmann Community-Moderator - P - 42883 - 30. März 2016 - 8:27 #

Ohne das Video gesehen zu haben scheint mir ein regelmäßiges sicheres (versioniertes) Backup die beste Lösung zu sein, sollte das AV nciht sofort anschlagen.

Hedeltrollo 22 Motivator - P - 35961 - 30. März 2016 - 9:47 #

Wobei das natürlich auch in die Hose gehen kann, wenn die Dateien so langsam durchs Backup sickern und man es merkt, wenn alte Backupstände schon überschrieben sind.

Vielleicht sollte man sich eine Testdatei auf der Kiste ablegen, die man nicht verändert. Sobald die geändert wurde, weiß man, dass was faul ist. Hmm, wäre doch eigentlich ein guter Ansatz. Vielleicht implementiere ich mir das auf dem Server. Ich lege in meiner Freigabe eine Handvoll echter Dateien ab (JPG, Word, Excel, txt, etc.) und erstelle einen Hashwert. Wenn ich nun per cron-Job minütlich den hash-Wert dieser Dateien prüfe und im Falle einer Abwichung direkt dem Samba abschieße, mmüsste das ja passen.

Es steht und fällt nur damit, dass diese Dateien zuerst verschlüsselt werden müssen...

CBR 21 AAA-Gamer - P - 26587 - 30. März 2016 - 9:48 #

Arbeite mit einem User, der keinen Schreibzugriff auf das Backupverzeichnis hat.

Hedeltrollo 22 Motivator - P - 35961 - 30. März 2016 - 9:54 #

Die Backupplatte ist eh am Server angeschlossen und man kommt von Windows her überhaupt nicht drauf.

Aber das mit dem Hash ließe sich zumindest dort anwenden. Auf beiden Platten einfach eine identische Datei anlegen und vor jedem Backuplauf werden beide Dateien mit einem Sollwert verglichen. Hat sich eine verändert, startet das Backup nicht. So kann man wenigstens verhindern, dass verschlüsselte Dateien auf die Backupplatte kommen und dort die unverschlüsselten überschreiben.

Meine statischen Daten (Bilder, Musik, etc.) werden nämlich nur per rsync auf die externe Platte gespiegelt. Es gibt kein inkrementelles Backup.

Fabowski 13 Koop-Gamer - 1754 - 30. März 2016 - 10:25 #

Teslacrypt und Co. aktualisiere nicht das Änderungsdatum. Zumal das System meistens lange im Vorfeld verschlüsselt wird und bewusst erst zeitversetzt der Zugriff nicht mehr möglich ist, wenn es einfach viel zu spät ist.
Virenscanner sind zumindest für Unternehmen keine sonderliche Hilfe, da die Cryptowürmer just in dem Moment vor Auslieferung erstellt werden, damit Scanner die Signatur nicht zuordnen können.

Hedeltrollo 22 Motivator - P - 35961 - 30. März 2016 - 10:26 #

Der Inhalt ändert sich und damit der Hashwert.

Fabowski 13 Koop-Gamer - 1754 - 30. März 2016 - 11:32 #

Dann leg für jede einzelne Datei einen MD5-Hashwert in einer Datenbank an und lass es Vergleichen. Ich sprach vom Änderungsdatum aus dem Dateisystem, welches vom Vorredner auch angesprochen wurde.

Hedeltrollo 22 Motivator - P - 35961 - 30. März 2016 - 12:38 #

Sorry für das Missverständnis. Ich dachte, du beziehst dich auf meinen Beitrag, wenn du auf ihn antwortest. ;)

justFaked (unregistriert) 30. März 2016 - 10:57 #

Darf man fragen welchen Webbrowser du regelmäßig verwendest?

Brezel (unregistriert) 30. März 2016 - 11:01 #

"Es muss eine Fly-By-Variante gewesen sein", hier auf Gamersglobal? Diese aggressiven Takeover haste nicht gesehen? Daher erklärt auch direkt ein Anwalt die technischen Maßnahmen.

Juuunior 14 Komm-Experte - P - 2646 - 30. März 2016 - 11:19 #

Nein, das "hier" sollte ein Melden meinerseits sein und kein Hinweis auf die Seite von der ich es hatte. Wer der Schuldige letzten Endes war weiß ich nicht.

Deepstar 16 Übertalent - 4912 - 30. März 2016 - 20:45 #

Privat noch nicht.

In der Firma hatten wir sowas mal. Kam als Rechnung getarnt bei einer Zweigstelle an, und die dort Verantwortliche für die Finanzen hat diese Mail halt geöffnet und damit ihr System überrannt. Das komplette eingerichtete Anti-Virenscanner-System interessierte das auch überhaupt nicht.

War eine Abwandlung vom Cryptolocker, die allerdings auch nur dessen Namen teilt.
Aber wir als IT-Support konnten da eigentlich gar nichts machen. Clean Sweep war das einzige, was bei sowas vom Zeitaufwand realistisch gewesen ist ^^.
Die dortigen Netzlaufwerke waren vernünftigerweise mit Passwort geschützt, weshalb nur das Eintrittssystem selbst überrannt wurde.

blobblond 20 Gold-Gamer - P - 24478 - 30. März 2016 - 21:30 #

Mails/Anhänge nur in der Sandbox öffnen!

Tr1nity 28 Party-Gamer - P - 110361 - 30. März 2016 - 22:56 #

Mails in Nur-Text lesen/schreiben und Mailanhänge nur nach Rücksprache öffnen.

Cubi 17 Shapeshifter - 6163 - 31. März 2016 - 9:32 #

Oder eben gar nicht.
Gerade Mitarbeiter die eben nicht die große Ahnung von der IT haben (Empfangspersonal oder wie in deinem Fall eine Finanzverantwortliche) sollte für dieses wichtige Thema sensibilisiert werden. Ein falscher Klick des Pförtners kann heutzutage leider das ganze Unternehmen schädigen.

Mazrim_Taim 16 Übertalent - 4088 - 30. März 2016 - 8:09 #

tolles Video.
Bin mal gespannt wann der erste mit Brain.exe kommt.

Tr1nity 28 Party-Gamer - P - 110361 - 30. März 2016 - 9:19 #

Brain.exe weniger (der Begriff ist veraltet ;)), aber mit gesundem Menschenverstand und entsprechendem Sicherheitskonzept, mit dem man sich im Netz bewegt. Die Person vor dem Bildschirm bleibt nunmal der größte Unsicherheitsfaktor. Und laut Quelle fängt man sich über diesen den Schädling ein.

Spiritogre 19 Megatalent - 13401 - 30. März 2016 - 12:36 #

Jain, die Krypto-Trojaner werden zum einen durch Mails empfangen, dann kann der Nutzer mit Nachdenken, indem er Anhänge nicht öffnet, dieser Gefahr aus dem Weg gehen. Aber diese Biester werden teilweise auch durch (gehackte) Webseiten (Wordpress Seiten sind da im Moment sehr beliebt) oder über Adserver verbreitet, dann hat man keine Chance es sei denn, man hat wirklich überall(!) einen sehr strengen Adblocker oder gar NoScript aktiv. Die Seitenbetreiber haben nämlich in der Regel keinen Einfluss darauf, welche "Werbung" die Agentur bei deren Nutzern anzeigt. Selbst Seiten wie Chip.de haben dadurch schon Malware verbreitet.

Tr1nity 28 Party-Gamer - P - 110361 - 30. März 2016 - 13:00 #

"...es sei denn, man hat wirklich überall(!) einen sehr strengen Adblocker oder gar NoScript aktiv."

Beides aktiviert/installiert gehört mitunter zu dem erwähnten Sicherheitskonzept. Ich kann's später nochmal ausführlicher verlinken, hab im Büro nur keinen Zugriff auf die entsprechenden Favoriten zu Hause, als ich noch in einem Viren/Sicherheitsforum aktiv als Support tätig war.

CBR 21 AAA-Gamer - P - 26587 - 30. März 2016 - 9:47 #

In der aktuellen c't ist ein mehrseitiges Special zu dem Thema. Derzeit sind die Dinger eine echte Plage und es kommen laufend neue Spielarten dazu. Darum finde ich es gut, dass auch möglich überall zu diesem Thema aufgeklärt wird.

Kurzfassung:
Es gibt drei Dinge, die helfen: Backup, Backup und Backup.
Wenn das Backup auf ein NAS geht, sollte es über eine versteckte Freigabe mit einem eigens dafür eingerichteten User, der als einziger auf RW-Zugriff hat, erfolgen.
Gut sind auch Backups statischer Daten auf schreibgeschützten Datenträgern.

Vorbeugend gibt es ein Anti-Ransomwaretool von Malwarebytes, welches sich allerdings noch im Beta-Statium befindet.

Hedeltrollo 22 Motivator - P - 35961 - 30. März 2016 - 9:57 #

Jupp, ein Backup ist absolut notwendig, denn es kann einem immer etwas durch die Lappen gehen. Ich bin immer wieder erstaunt, wie wenig Privatleute sich darum sorgen. Die haben ihre ganzen privaten Dateien genau einmal: Auf der Platte ihres Rechners.

Fabowski 13 Koop-Gamer - 1754 - 30. März 2016 - 10:28 #

Man lernt bekanntlich durch Schmerzen. ;)

Hedeltrollo 22 Motivator - P - 35961 - 30. März 2016 - 10:33 #

Hmm, schon. Aber wenn dann irgendwer aus dem privaten Umfeld wieder kostenlos und stundenlang Support in Anspruch nehmen will und vorher die Anregungen zum Backup schlicht ignoriert hat...ach so! Das hast du mit Schmerzen gemeint! Ne, ich bin ein friedfertiger Mensch und schlage niemanden.

Fabowski 13 Koop-Gamer - 1754 - 30. März 2016 - 11:35 #

Man kann nicht Allen helfen, schau dich doch einfach auf der Welt mal um. Als ITler bin ich davon weg, kostenlos zu helfen. Außer meine Mutter kriegt niemand IT-Support von mir für Lau. Warum auch? Schließlich bin ich nicht Jesus.

Hedeltrollo 22 Motivator - P - 35961 - 30. März 2016 - 12:45 #

Naja, solange das Prinzip von den sich gegenseitig waschenden Händen nicht verletzt wird, hab ich nichts dagegen. Mich stört am meisten einfach nur die Beratungsresistenz.

Fabowski 13 Koop-Gamer - 1754 - 30. März 2016 - 14:28 #

Ach das ist doch eine Milchmädchenrechnung. Zumal viele aus reiner Faulheit oder wie du es schon sagst, aufgrund der Beratungsresestenz nie dazu lernen wollen. Warum soll man sich also den Kampf gegen Windmühlen antun? Du bist dann der Honk der für jeden Furz angerufen wird, der sowas lächerliches wie eine Windows Installation machen darf, etc. :)

CBR 21 AAA-Gamer - P - 26587 - 30. März 2016 - 16:12 #

Japp. Mama darf das. Na gut - meine Geschwister auch. Und meine Frau. Aber dann ist wirklich Schluss!

Spiritogre 19 Megatalent - 13401 - 30. März 2016 - 12:43 #

Das Problem sind zumindest bei mir die Datenmengen. Klar, meine wichtigsten Daten habe ich doppelt und dreifach, einfach schon wegen der Nutzung etwa auf allen meinen Rechnern sowie noch einmal auf einer externen Festplatte als Notfall Backup.

Aber z.B. brenne ich seit ewigen Jahren keine DVDs mehr zur Sicherung und alle Daten die sich im Laufe der Jahre angesammelt haben wirklich doppelt zu lagern würde letztlich bedeuten, dass ich einige 100 Euro in ein zusätzliches NAS investieren müsste, das nur zur Sicherung da ist. Bisher konnte ich mich ehrlich gesagt nicht zu einer solchen Ausgabe hinereißen.

Tr1nity 28 Party-Gamer - P - 110361 - 30. März 2016 - 11:21 #

"Vorbeugend gibt es ein Anti-Ransomwaretool von Malwarebytes, welches sich allerdings noch im Beta-Statium befindet."

Noch vorbeugender ist allerdings, es gar nicht erst zu einer Kompromittierung des System kommen zu lassen. Womit wir wieder beim gesunden Menschenverstand und Sicherheitskonzept wären. Solche Software-Tools kommen auch erst zum Einsatz, wenn quasi der ungeliebte Vertreter ohne Einladung bereits im Wohnzimmer steht. Prinzipiell sollte man zudem seine Sicherheit nicht einer Software überlassen, sie kann höchstens etwas unterstützen. Man selbst muß dafür etwas tun.

Auch der Einsatz dieses Ransomtools nach erfolgter Kompromittierung des System bringt kein Vertrauen in das System zurück, da man nicht weiß, was noch alles am System verändert oder hinterlassen wurde (weitere Backdoor-Schädlinge). Da hilft nur Neuaufsetzen des Systems und Einspielen eines Backups.

CBR 21 AAA-Gamer - P - 26587 - 30. März 2016 - 11:48 #

Etwas anderes habe ich nie behauptet.

Tr1nity 28 Party-Gamer - P - 110361 - 30. März 2016 - 12:58 #

Jein ;). Das "vorbeugend" suggeriert leider, daß dieses Anti-Tool vorab dagegen helfen kann.

Generell gilt: Jedwede Software ist prinzipbedingt immer dem Schädling hinterher und kann nie 100%ig vertrauenswürdig nach Kompromittierung eingesetzt werden. Daher sollte man sich auch niemals allein auf Virenscanner und Personal Firewalls etc. verlassen.

CBR 21 AAA-Gamer - P - 26587 - 30. März 2016 - 16:10 #

Ja, es ist eine Hilfe im Sinne von (zusätzlicher) Unterstützung. Dass niemand einer solchen Software allein vertrauen sollte, sondern selbst Acht geben muss, wie Du es beschreibst, sollte hoffentlich jedem klar sein.

AdBlock/NoScript habe ich auf den meisten der Rechner, die ich im privaten Bereich verantworte, eingerichtet. Allerdings fühlen sich einige hierdurch in ihrem Surfkomfort eingeschränkt. Da Sicherheit zwangsläufig mit etwas mehr Aufwand und Hirnschmalz verbunden ist, ist sie bei den meisten Anwendern ziemlich unbeliebt.

Tr1nity 28 Party-Gamer - P - 110361 - 30. März 2016 - 17:17 #

"Da Sicherheit zwangsläufig mit etwas mehr Aufwand und Hirnschmalz verbunden ist, ist sie bei den meisten Anwendern ziemlich unbeliebt."

Ja, leider. Das war mitunter der Grund, warum ich irgendwann keine Lust mehr hatte in Foren zu helfen. Sie wollen eine Eier legende Wollmichsau, doch selbst kein bißchen mit Eigeninitiative entgegen kommen. Komfort stand vor Sicherheit. Passierte was, war natürlich das Geschrei groß. Einsicht gab's aber keine.

Hedeltrollo 22 Motivator - P - 35961 - 30. März 2016 - 12:50 #

Interessant auch die Äußerung in der letzten c't-Uplink-Sendung, wonach sich auch Redakteure so ein Ding eingefangen haben.

Mir ist kürzlich ein interessantes Exemplar über eine mailing-Liste in die Mailbox gefallen. Damit man in der Liste Senderechte hat, muss man sich anmelden. Nun kam von einem Teilnehmer eine Mail an die Liste, die wie eine Antwort auf eine andere Mail aussah. Nur stand ganz oben der kurze Text "schau mal rein, hier das Passwort für die Datei".

Da kann es schon aufgrund der gesamten Erscheinung der Mail durchaus passieren, dass man die Datei öffnet, da sie komplett legitim aussieht. Da kommt man mit gesundem Menschenverstand und "uffbasse" halt irgendwann an die Grenzen.

Hyperlord 18 Doppel-Voter - 12024 - 30. März 2016 - 10:38 #

Backup hilft, mit arcserve UDP (kostenlos für private Nutzung) kein Problem sogar tägliche Sicherungen zu machen. Dank blockbasierter Sicherung ist so ein tägliches Backup auch nur ca. 2 GB groß und schnell erledigt.

Hedeltrollo 22 Motivator - P - 35961 - 30. März 2016 - 10:49 #

Blöd gefragt: Und wenn ich an einem Tag nur 10 MB an Daten verändert habe?

Nosebuddy (unregistriert) 30. März 2016 - 15:06 #

Ich habe zwei Systeme, physikalisch getrennt. Eines zum Spielen (Windows) und eines zum Arbeiten (Debian). Sollte mein Windows-System einen Schaden davon tragen, dann wäre das nicht so schlimm.

CBR 21 AAA-Gamer - P - 26587 - 30. März 2016 - 16:10 #

Aber... die Spielstände? Meinem zerstörten Spielstand aus dem vorletzten Level von Half-Life hänge ich heute noch hinterher :-(

Hedeltrollo 22 Motivator - P - 35961 - 30. März 2016 - 16:18 #

Kennst du Gamesave Manager?

CBR 21 AAA-Gamer - P - 26587 - 30. März 2016 - 16:22 #

Nein.

Bei Steam landen die Spielstände automatisch in der Cloud, bei den meisten anderen Spielen in den Eigenen Dateien (und somit bei mir im Backup), bei wieder anderen im Installationsordner des Spiels. Letztere habe ich nicht in der Sicherung.

Hedeltrollo 22 Motivator - P - 35961 - 30. März 2016 - 16:37 #

Schau dir Gamesave Manager mal an. Das Ding hat ne Datenbank und findet die meisten Spielstände der installierten Spiele aufgrund der vorhandenen Ordner und legt Sicherungen dieser Spielstände an einem zentralen Ort und vor allem gepackt an. Man kann auch einstellen, wieviele Versionen eines Backups es behalten soll. Für Spiele, die es nicht kennt, lassen sich eigene Einträge anlegen und in die offizielle Datenbank laden.

Das Durchsuchen des Rechners nach den Spielständen dauert in der aktuellen V3 recht lange. Das wird sich in V4 aber bessern. Die hat das Team wohl schon zum zweiten Mal von vorne angefangen.

CBR 21 AAA-Gamer - P - 26587 - 30. März 2016 - 18:04 #

Cool. Danke für den Hinweis.

Der Name war so selbstsprechend, dass ich dachte, Du wolltest wissen, ob ich ein Tool kenne, was eben dies tut ;-)

nova 19 Megatalent - P - 16911 - 30. März 2016 - 17:45 #

Weitere Präventivmaßnahme: Erst gar nicht Adobe Flash installieren bzw. in Chrome/Edge deaktivieren. Die meisten Exploits basieren darauf...

Elfant 25 Platin-Gamer - 63208 - 31. März 2016 - 15:04 #

Das hilft nicht. Oder besser: Jenes hilft nur bei dem ganzen langweiligen Kram. Mich hat es vor 3 Jahren der falsche BKA - Trojaner erwischt und da war Adobe bei Chrome deaktiviert. Ja alles war aktuell und die 3 offenen Seiten waren GG, Adventuretreff und EBay.
Entweder weder man bricht den Vertrag und benutzt NoSkript oder man lebt mit dem Restrisiko. Ich war eben nur sauer, weil es mein erster unabsichtlicher Virenbefall war... Seit Tag 0 vor 30 Jahren.

nova 19 Megatalent - P - 16911 - 31. März 2016 - 15:35 #

Wie gesagt, die meisten:
http://www.heise.de/newsticker/meldung/Der-Liebling-aller-Cyber-Kriminellen-Flash-3157553.html

Welat 16 Übertalent - 4041 - 31. März 2016 - 17:11 #

Interessantes Video - von solchen Trojaner bzw. Software hatte ich noch gar nicht gehört.

Xentor (unregistriert) 31. März 2016 - 18:25 #

vielleicht wäre es nett von euch, für so Themen nach Semper Video zu verlinken.
Der Herr erklärt sehr anschaulich was die Viren machen, und wie man mit ihnen umgehen kann.