1. Hi Gast, Du bist neu hier. Um das Forum übersichtlich zu halten, bitten wir Dich, erst die Forensuche (Lupe oben rechts) zu bemühen, bevor Du ein neues Thema eröffnest. Vieles wird hier schon diskutiert. Vielen Dank fürs Verständnis und viel Spaß hier!
    Information ausblenden

Ransomware (Locky und Co.)

Dieses Thema im Forum "Sonstiges" wurde erstellt von Sacid, 25. Februar 2016.

  1. Sacid

    Sacid Echo-Orakel

    Registriert seit:
    30. Oktober 2014
    Themen:
    11
    Beiträge:
    188
    Likes erhalten:
    0
    Hi,

    die meisten werden es ja sicherlich schon mitbekommen haben, dass zur Zeit einiges an Schadsoftware im Umlauf ist, welche die Daten auf Windows Rechnern (mittlerweile auch auf Linux Systemen) verschlüsselt und man sie nur gegen Zahlung einer Gebühr in der Internet Währung BitCoin wieder entschlüsseln kann.

    Als Sysadmin schrillen da bei mir sofort alle Alarmglocken, so kommt es auch, dass ich in letzter Zeit viel Recherchiert habe, wie diese Schadsoftware auf den Rechner kommen kann, welche Auswirkungen es haben kann und wie man es verhindern kann.

    Eins mal vorweg: einen 100%tigen Schutz habe ich bisher nicht gefunden! Die Entwickler dieser Software sind extrem aktiv und modifizieren sowohl die eigentliche Schadsoftware (Payload) als auch die Methoden wie diese auf den Rechner gelangen.

    Ich gehe hier erstmal auf Windows ein, später noch auf Linux.

    Wie kann man sich infizieren?
    Momentan werden vermehrt falsche Rechnungen verschickt. Hierbei kann es sich um gespoofte Mails (wie beim Phishing - info@bekannteronlineshop.de.hack.me) handeln, oder aber auch um "echte" Mails. Als "echte" Mail bezeichne ich hier jetzt Mails, die tatsächlich von dem Absender kommen, von dem sie zu sein scheinen (info@bekannteronlineshop.de).
    Das hat damit zu tun, dass die infizierten Systeme sich in ein Botnet einklinken und dann tatsächlich vom infizierten Rechner die Mail versandt wird. So kann man nicht mal anhand der Mail Header erkennen, dass die Mail nicht "echt" ist.

    In dieser Mail steht dann in perfektem Deutsch ein Text, der zum öffnen der angehangenen Datei auffordert. Nach bisherigem Kenntnisstand meiner Recherche können das Office Dokumente (Word) und Zip Dateien sein.

    Im Fall von Office Dokumenten wird ein Script ausgeführt, welches in dem Dokument einprogrammiert ist (Makro). Dieses erstellt im Temp Ordner des aktuellen Users (%TEMP%) eine .bat Datei. Diese .bat Datei ist ein weiteres Script, welches den Payload von einem Server im Internet lädt und diesen dann ausführt. Bei Winfuture gibt es ein Video welches zeigt wie schnell dies gehen geschieht und bei dem auch erklärt wird was da noch so alles passiert. Das Resultat sind verschlüsselte Dateien.

    Im Fall von Zip Dateien: Öffnet man diese, sieht man eine Java Script Datei. Diese könnte als Office Dokument oder auch als PDF "getarnt" sein. Z.B. (frei erfundener Name) Rechnung_01_2016.pdf.js öffnet man diese Datei passiert im Grunde genommen genau das Selbe. Das Java Script lädt den Payload und führt ihn aus.

    Welche Daten werden verschlüsselt?
    Grundsätzlich erst mal alle Dateien, auf die man Schreibrechte hat! Das beinhaltet das eigene Benutzerprofil, sämtliche Dateien auf Laufwerk C:, auf die man als derzeit angemeldeter User Schreibzugriff hat, alle anderen Lokalen Speichermedien (weitere Festplatte, USB Medien, ...) und auch Netzwerk Freigaben. Hierbei ist es egal ob die Netzwerk Freigabe als Laufwerk Verbunden ist oder nicht (Ich bin mir nicht sicher ob hier nur sichtbare Freigaben, oder auch versteckte Freigaben wie \\rechnername\c$ auch inkludiert sind) .
    Auch Cloud Speicher sind betroffen!

    Grade die Netzwerk Geschichte lässt mich als Admin ziemlich Schwitzen. Es gibt in jeder Firma Netzlaufwerke auf denen mehrere Personen Schreibzugriff haben.

    Wie werde ich das wieder los? / Wie bekomme ich meine Daten zurück?
    Traurigerweise muss ich sagen, dass es keine garantierte Möglichkeit gibt. Wenn man das "Lösegeld" bezahlt (ca. 150 Euro in BitCoins), erhält man zwar eine Anleitung und den Schlüssel um die Daten wieder zu entschlüsseln, jedoch gibt es keine Garantie dass das Script nicht erneut ausgeführt wird oder man eine erneute Mail mit einem solchen Anhang bekommt. Mehr dazu unter "Wie kann ich mich schützen?"

    Wie kann ich mich schützen?
    Vorneweg: Locky wurde mit Stand 24.02. von nur drei Virenscannern erkannt. Einer davon ist Kaspersky. Die üblichen Virenscanner wie Avira, Norton und Co. haben den Payload nicht erkannt.

    Aber auch wenn jeder Virenscanner morgen die Virensignatur von Locky erkennt, haben die Entwickler den Payload recht schnell angepasst und auf den gehackten Servern ausgetauscht. Somit sind Virenscanner leider kein wirklicher Schutz. Selbstverständlich sollte jeder Windows User dennoch einen Virenscanner installiert haben und diesen regelmäßig updaten! Dies gilt übrigens für sämtlicher Software auf dem PC!

    Backups, Backups und nochmals Backups! Wer kein Backup hat, verdient auch kein Mitleid! Klingt hart, ist aber so. Denn nicht nur Viren/Trojaner und andere Schadsoftware können einen Datenverlust verursachen, sondern auch defekte Festplatten, Dateisystemfehler, User, etc. Macht euch Gedanken über Backups. Hier gibt es jede Menge Freeware und auch Bezahlprogramme.
    https://de.wikipedia.org/wiki/Datensicherung
    Empfehlenswert ist hierbei das Großvater-Vater-Sohn Prinzip. Hierbei erstellt man täglich ein Backup (Sohn), ob nun als Vollbackup oder Inkrementelles oder Differentielles hängt von der vorhanden Hardware und der Notwendigkeit eben diese anzuschaffen ab). Eines dieser Tagesbackups (z.B. Sonntag) wird als Vater Backup genommen. Das letzte Vater Backup im Monat sichert man als Großvater Backup. Tagesbackups werden dann für eine bestimmte Anzahl an Tagen aufbewahrt. Hier reichen i.d.R. 7 Tage, sodass man zumindest bis zum letzten Wochenbackup zurück kommt. Wochenbackups dann für einige Wochen aufbewahren (z.B. 4 Wochen) und die Monatsbackups dann für ein Jahr aufbewahren. Wen nach nem Jahr noch nicht gemerkt wurde, dass was fehlt, wars nicht wichtig :)

    Egal für welche Backuplösung ihr euch entscheidet, wichtig ist, dass das Backupmedium nicht dauerhaft mit dem System verbunden ist. Denn sonst werden auch die Backups verschlüsselt und man hat gelitten. Wenn es dauerhaft mit dem System verbunden ist (z.B. Netzwerk Speicher) dann setzt wenigstens die Berechtigungen entsprechend so, dass es einen dedizierten Backup User gibt und das Backup Programm als dieser User die Daten auf das Backup Medium schreibt, alle anderen User sollten maximal Lesezugriff auf das Backup Medium haben!

    Außerdem sollte man in den Optionen von Office in die erweiterten Optionen gehen, dort das Trustcenter öffnen und Makros und ActiveX deaktivieren oder zumindest auf Nachfrage stellen (Default, aber dennoch zur Sicherheit nochmal prüfen!) Die meisten Anwender werden in ihrem ganzen Leben keine Makros in Office Dokumenten ausführen müssen. Für die, die es doch müssen (dazu zähle ich leider auch), hilft nur eines: Schaltet euren Verstand ein! Warum sollte mir jemand eine valide Rechnung im Word Format schicken und dort auch noch Makros benutzen? Office Dokumente verschicken sollte eh verboten werden (in Firmen aber immer nicht realisierbar). Bei Onlineshops steht die Rechnung in der Regel direkt in der Mail oder ist als PDF angehangen!
    Achtet auch genaustens auf die Dateiendungen. Nur die Zeichen nach dem letzten Punkt sind relevant. Rechnung_02_2016.pdf.doc ist ein Word Dokument, kein PDF!

    Man kann sich auch Schützen, indem man auf MS Office verzichtet und z.B. LibreOffice benutzt. Aber es ist sicherlich nur eine Frage der Zeit, bis die Leute hinter Locky auch LibreOffice dafür missbrauchen werden.

    Installiert euch Schutzsoftware fürs Browsen. Auch hier gibt es Lösungen für Privatanwender im kostenlosen als auch im kostenpflichtigen Bereich. Wichtig ist, dass die Schutzsoftware einen Proxy mit bei hat, der sämtlichen http/https/ftp Traffic filtert, egal von welchem Programm der Request kommt! Kein Programm sollte ungefiltert auf die genannten Protokolle zugreifen. Unter Windows 7 konnte man die Windows Firewall so einstellen, dass man manuell bestätigen muss wenn irgend ein Programm auf das Internet zugreifen will. Bei Win8/10 weiß ich es leider nicht. Die Einstellungen kann ich euch auch nicht auf meinem Arbeitsrechner raussuchen, da dort die Windows Firewall vom AD Server kontrolliert wird und ich nicht der AD Admin bin. Aber Google hilft euch hierbei garantiert.

    In Firmen sollte unbedingt ein Proxy Server verwendet werden, bei welchem man mittels ACLs Regeln erstellen kann.
    Fortlaufende Recherche über die Methoden der Schadsoftware vorausgesetzt, kann man entsprechende Filterregeln einbauen.
    Z.B. alle .exe Dateien unterbinden per RegExp geht das so: \.exe(?.*)?$
    Da es aber auch genug gewollte .exe Downloads gibt, sollte man eine Whitelist anlegen. Das Buchungstool der Bahn z.B. ist eine .exe Datei, Windows Update lädt .exe Dateien herunter, Java, Adobe, Treiber, etc etc. Das kann durchaus ein riesen Aufwand werden die Whitelist initial zu erstellen und zu Pflegen!
    Es bietet zwar auch keinen 100%tigen Schutz, aber besser als gar kein Schutz!

    Linux
    Wie schon erwähnt, gibt es mittlerweile auch eine Ransomware die Linux Systeme angreift. Auf Heise Security gibts dazu einen Artikel welcher beschreibt wie dies funktioniert. Es werden vor allem Webserver angegriffen. Die o.g. Hinweise zu Backups und Proxies gelten hier genauso. Haltet eure Webserver immer up to date was Security Fixes angeht (apache/lighttpd/nginx, glibc, openssl, ssh, php, etc etc.) desto aktueller die Software, desto höher die Wahrscheinlichkeit das Bugs und Sicherheitslücken beseitigt wurden. Es muss nicht immer die neuste Upstream Version sein, die Distributoren stellen in der Regel auch Backports der notwendigen Patches bereit, die ihr über die Paketverwaltung eurer Distribution einspielen könnt. Webserver sollten zudem noch hinter nem Router (Firewall) stehen um es Angreifern schon mal schwerer zu machen auf den eigentlichen Server zuzugreifen. Zusätzlich kann man noch einen Reverse Proxy zwischen schalten. Das alles bringt aber nichts, wenn die Applikationen auf euren Servern (Wordpress, Joomla, vBulletin, etc. etc.) nicht up to date sind! Denn auch durch solche Software können Angreifer Sicherheitslücken über http Requests ausnutzen um z.B. Dateien zu uploaden (z.B. den Payload für Locky, oder eine spezielle php Datei die dann vom Angreifer aufgerufen wird und eure Webinhalte verschlüsselt, oder oder oder).
    Auch hier kann ein vernünftiges Usermanagement abhilfe Schaffen: Datenbanken als separater User ausführen, Rechte vom Webserver auf nen dedizierten User downgraden (Einstellung in der Webserver Config). Speicherort der eigentlichen Webinhalte (html, php Dateien, etc.) wieder einem dedizierten User zuweisen und den User des Webservers nur Read Rechte geben (bzw. der Gruppe). Je nachdem was die eingesetzte Software unterstützt (z.B. Bilder Upload in Datenbank vs. ins Webverzeichnis) ist dies entweder realisierbar oder eben nicht.

    Ich hoffe dieser, doch etwas länger gewordene Text, ist dem ein oder anderen eine Hilfe. Würde mich ebenfalls über Feedback freuen, auch von anderen Admins. Oftmals haben ja andere noch weitere Ideen oder können bestehende Ideen ergänzen. Ziel ist ja einen optimalen Schutz vor dieser Ransomware zu erreichen.
     
  2. PM500X

    PM500X Finesse-Fux

    Registriert seit:
    19. Juni 2015
    Themen:
    7
    Beiträge:
    1.203
    Likes erhalten:
    830
    Ort:
    Lörrach
    Danke für den informativen Beitrag. Ich selbst hab u. a. ein Synology NAS, auf welches meine Daten dauerhaft im Hintergrund kopiert und synchronisiert werden. Zudem läuft noch eine externe WD Platte mit der Smartwarte Pro, wo ebenfalls eine Sicherung stattfindet. Und zu guter letzt sichere ich meine komplette Daten-Platte regelmäßig (1x/Woche etwa) nochmals auf einer weiteren externen Festplatte, welche ich im Auto lagere, denn wenn die Bude mal abbrennt, nützen mir auch 10 Sicherungen nichts. Morgen werd ich nochmals ein ausgiebiges Backup machen und die WD Platte nicht mehr dauerhaft drann hängen lassen.
     
  3. Surfklaus

    Surfklaus Dr. Jerkl & Mr. Bait

    Registriert seit:
    5. Juli 2015
    Themen:
    10
    Beiträge:
    339
    Likes erhalten:
    17
    Ort:
    Pott
    Wenn ich das bisher richtig gelesen und verstanden habe, setzt eine Infektion mit dem Dreck aber auch immer eine Aktion des Benutzers voraus, richtig? Heißt: In der Regel bekommt x von y eine Mail mit Anhang. In diesem Fall ein Office Dokument. Oder aber eine „umgelabelte“ andere Datei alá blabla.pdf.js oder djkhk.doc..exe etc..

    Meiner Meinung nach wäre ein Abschalten des „oh-eine-Datei-ich-muss-da-mal-doppelt-drauf-klicken“ Reflexes schon ein Fortschritt, mit dem sich 90% der Infektionen verhindern liessen. Wir reden ja hier nicht über eine Drive by Infektion. Über Windows und seine „jeder ist superuser Mentalität“ will ich mich hier nicht weiter auslassen. Hat Windows das mal geändert? Ich bin da nicht wirklich im Thema.

    Hilfreich ist auch, wen ich einen sicheren Browser nutze (nicht Internot Exploder), den ständig up to date halte und so einen Müll wie Flash an der Ausführung hindere. Ich glaube der Schadcode kann auch über eine der 1000 Sicherheitslücken von Flash eingeschleust werden?! Dann also doch drive by. Umso besser wenn der Kack bald endgültig verschwindet.

    Ein weiteres Ärgernis ist halt auch die Tatsache, dass Mails überwiegend HTML-formatiert sind. Das macht es den Betrügern noch leichter Goodies zu verschenken. Eine Unart die nicht mehr zu stoppen ist.
     
  4. PM500X

    PM500X Finesse-Fux

    Registriert seit:
    19. Juni 2015
    Themen:
    7
    Beiträge:
    1.203
    Likes erhalten:
    830
    Ort:
    Lörrach
    Ich hatte mittlerweile auch schon zwei Mails im geschäftlichen Maileingang. Beide Male war es eine Bank. In der Mail forderte man mich auf, einen Link und/oder eine Datei im Anhang zu öffnen, um meine Identität zu verifizieren, da sonst mein Konto gesperrt wird.
     
  5. edersee

    edersee Dr. Jerkl & Mr. Bait

    Registriert seit:
    26. Oktober 2012
    Themen:
    2
    Beiträge:
    431
    Likes erhalten:
    72
    Der eigentliche Virus wird durch ein eingebettetes Makro im Word Dokument nachgeladen. Wenn man die Datei öffnet kommt, falls im Sicherheitscenter von Word nicht anders eingestellt, eine Makrowarnung die man erst bestätigen muss - tut man das wird das Makro ausgeführt und im Hintergrund eine Exe Datei runtergeladen, das ist das eigentliche Verschlüsselungsprogramm.

    Man sollte einfach seine Einstellungen in Word kontrollieren und das Ausführen von Makros erst einmal deaktivieren.
     
  6. O_Weser

    O_Weser Echo-Orakel

    Registriert seit:
    1. September 2015
    Themen:
    2
    Beiträge:
    101
    Likes erhalten:
    31
    Ort:
    Beverungen
    Hallo zusammen!

    Auch ich kämpfe hier in unserem Unternehmen gerade gegen die virenverseuchte Spam-Flut. :evil: Ich finde Sacid hat das wirklich sehr gut erklärt.

    Bei dem Tip

    würde ich gerne noch hinzufügen, dass man darauf achten sollte die irrsinnige Einstellung von Windows, dass bekannte Dateiendungen ausgeblendet werden, zu deaktivieren. Denn eine Rechnung_02_2016.pdf.exe wird vielen Benutzern leider nur als Rechnung_02_2016.pdf angezeigt. Wer jetzt nicht auf das kleine Bildchen (Thumbnail) schaut, der öffnet sich so sehr schnell eine ausführbare Datei.

    Leider ist der Virenschutz der verschiedensten Hersteller im Moment wirklich nicht ausreichend. Ich habe hier zum Beispiel Watchguard Firewalls im Einsatz, die mit AVG als Virenscanner arbeiten. Dahinter steht noch ein Proxy, der mit F-Secure arbeitet und zu guter Letzt ist auf den Clients noch TrendMicro installiert. Trotzdem kommt manchmal (glücklicherweise sehr selten) doch noch eine Mail durch, die allerdings durch verschiedenste Regeln in Quarantäne landet (Anhang als ausführbare Datei erkannt, als Spam klassifiziert, usw.)

    Bis jetzt ist ("Toi,Toi,Toi") noch nichts beim Benutzer gelandet.

    MfG
    Olaf
     
  7. edersee

    edersee Dr. Jerkl & Mr. Bait

    Registriert seit:
    26. Oktober 2012
    Themen:
    2
    Beiträge:
    431
    Likes erhalten:
    72
    Naja dann ist Euer Sicherheitskonzept leider nicht stimmig...

    Bei uns läuft das so ab:
    Mailrelay läuft über eine Sophos UTM mit vorab Virenscan (Sophos nutzt dazu zwei Scanengines, einmal glaube AVG und die Sophoseigene Engine). Anschließend wird auf dem Exchange Server selbst durch Trend Micro Scanmail der Transport-Level sowie Store-Level gescannt. Dort kann man auch schön Attachment Blocking einschalten sowie Mails mit Anhängen die Makros enthalten direkt löschen lassen oder in Quarantäne verschieben lassen. Auf den Clients läüft dann noch Trend Office Scan, besser wäre hier eine alternative Engine wie Kaspersky oder so zu verwenden. Dann hat man mehrer Scanengines verschiedener Hersteller, das sollte recht sicher sein.

    Weiterhin läuft der Internetzugang auf den Clients auch über die Sophos UTM, dort ist generell der Download von Exe Dateien für die normalen User gesperrt. Daher könnte das Makro aus dem Virus schon garnicht die Exe Datei nachladen.
     
  8. Angelspass

    Angelspass Bigfish-Magnet

    Registriert seit:
    15. Februar 2015
    Themen:
    38
    Beiträge:
    1.551
    Likes erhalten:
    1.305
    Ort:
    im goldenen Käfig
    Gut erklärt Sacid!


    Zum Backup noch eine Anmerkung. Das Backup ist nur gut wenn sich auch ein restore erfolgreich durchführen lässt.
    Also mein Tip an alle die beruflich damit zu tun haben: Macht regelmäßige Restoretests, Dateien, Verzeichnisse, Laufwerke und auch mal ne bare metal recovery durchspielen. Wenns böse geknallt hat und Ihr erstmal 1200 Seiten Handbuch lesen müsst um irgendwas wieder herzustellen wird es peinlich.

    Das gilt natürlich auch für die Privatanwender. Wenn es Eure Musik- und Bildersammlung mal zerissen hat ist es schonmal gut wenn ein Backup vorhanden ist. Probiert aber auch einfach mal aus ob sich alles auf einfachem Wege wieder herstellen lässt.

    Hinzu kommt noch das auch Backupdateien mal nicht lesbar sein können. Da hat man nun die Backupsuite vom allerfeinsten, hat jahrelang nur Statusemails bekommen das alles prima gesichert wurde und am Tag X meldet die Backupssuite dann das etwas nicht wieder hergestellt werden kann weil readerror XYZ on file blablabla.bkf, ein Prüfsummenfehler oder sonstwas das auslesen der Backupfiles verhindert. Oder die Bänder mit dem Backup haben ganz einfach einen weg, dann steht man mit runtergelassener Hose da und muss das (sich) erklären.

    Gruß

    André
     
  9. Fr33

    Fr33 Barsch Vader

    Registriert seit:
    1. Juni 2007
    Themen:
    70
    Beiträge:
    2.061
    Likes erhalten:
    214
    Ort:
    63303 Dreieich
    Moin,

    habe ich das richtig raus gelesen, dass mir die Windows eigene "Festplatten-Spiegelung" nichts bringen würde (ist bei mir ne extrerne Festplatte die dauerhaft verbunden ist....) da der Virus auch diese im Extremfall sperren würde?
     
  10. Surfklaus

    Surfklaus Dr. Jerkl & Mr. Bait

    Registriert seit:
    5. Juli 2015
    Themen:
    10
    Beiträge:
    339
    Likes erhalten:
    17
    Ort:
    Pott
    Ja, das hast du richtig gelesen.
     
  11. O_Weser

    O_Weser Echo-Orakel

    Registriert seit:
    1. September 2015
    Themen:
    2
    Beiträge:
    101
    Likes erhalten:
    31
    Ort:
    Beverungen
    @Edersee
    Ich habe ja geschrieben, dass die netten Anhänge alle in Quarantäne geflogen sind. Denke daher schon, dass das Sicherheitskonzept stimmig ist :wink:
    Lediglich die eingebauten Virenscanner übersehen diese Anhänge gerne mal, da sie wie Sacid schon geschrieben hat, permanent angepasst werden (also die Viren). Da ich vor dem Exchange auch noch eine Viruswall als Relay verwende und dort Anhänge unter anderem durch skalierbares Blocking von Attachements in Quarantäne verschiebe, ist bis jetzt alles in Ordnung.

    Ich denke, dass ich bis auf die anderen Hersteller genau das gleiche Konzept verfolge und eingerichtet habe. Bei der Kombi Watchguard und AVG habe ich jedoch herausgefunden, dass diese sehr unzuverlässig arbeitet, da dort keine Heuristik zum Einsatz kommt. Viele Viren, die in anderer Form schon bekannt sind, werden von AVG nicht erkannt, durch die gute Heuristik von F-Secure aber schon. Anscheinend wird dies wohl von AVG nicht richtig unterstützt. Ob das bei Sophos auch der Fall ist, kann ich nicht sagen. Wäre aber mal interessant zu wissen.

    Der Tipp mit dem Deaktivieren vom Ausblenden der bekannten Dateiendungen bezog sich eher auf den Privatuser oder Benutzer, der vielleicht nicht solch ein mehrschichtiges Sicherheitskonzept verfolgt.
     

Diese Seite empfehlen