Infos und Links rund um das Thema Ransomware/Krypto-Trojaner

Da uns das Thema vermutlich in 2016 noch weiter in Atem halten wird, hier mal eine kleine Zusammenstellung wo man Infos zum Thema finden kann u.a. was für Arten gibt es, wie kann man sich ggf. Schützen, was sollte man unterlassen und wenn es passiert ist gibt es evtl. schon ein freies Gegenmittel. Die Sammlung erhebt keinen Anspruch auf Vollständigkeit.

Heise Rubrik Ransomware

BSI Cyber-Sicherheit – Gefährdungslage

BSI Umfrage zu Ransomware

Teslacrypt verbreitet sich per Drive-by-Download

Ransomware verstehen und verhindern

Die richtigen Mittel gegen Ransomware

Neue Version eines Crypto-Trojaners im Umlauf

Aus gegebenen Anlass hier eine Warnung der/des ekom21/CERT-Hessen zum Thema Crypto-Trojaner.
(Auszüge aus der Mitteilung vom 09.12.2015)

Crypto-Trojaner verschlüsseln Dateien und verlangen ein Lösegeld für die Aushändigung eines Entschlüsselungs-Keys.
Dem CERT-Hessen und uns liegen Berichte über Sicherheitsvorfälle aus der Landesverwaltung und aus hessischen Kommunen vor, bei denen es zu Infektionen mit Crypto-Trojanern gekommen ist.
Die vorliegenden Sicherheitsvorfälle belegen die Gefährlichkeit der aktuellen Versionen.
Die Infektionsmechanismen sind noch unklar, neben Mail-Anhängen werden von AV-Herstellern auch drive-by-downloads als Infektionspfad genannt.
Die aktuelle Kampagne stellt eine ernstzunehmende Gefährdung dar, da die Schadsoftware erst seit 4.12.2015 von einigen AV-Scannern erkannt wird und sich bei einer Infektion nach aktuellem Kenntnisstand die Originaldateien nur aus einem BackUp wiederherstellen lassen.

Daher bitten wir dringend um Beachtung folgender Empfehlungen:

  1. Informieren Sie Ihre Mitarbeiter/innen bitte explizit über die Risiken, die von Dateien aus unbekannten, bzw. nicht verifizierten Quellen ausgehen (E-Mail-Absenderadressen sind leicht zu fälschen!). Fordern Sie zu besonderer Vorsicht auf und bitten Sie, keinesfalls Dokumente zu öffnen, die unverlangt oder unerwartet zugesandt wurden.
  2. Überprüfen Sie das BackUp-Konzept für Ihre Dateiablagen:
    a. Stimmt das BackUp-Intervall mit dem tolerierten Datenverlust überein?
    b. Werden alle Dateiablagen mit für die Aufgabenerfüllung relevanten Dokumenten gesichert?
  3. Überprüfen Sie engmaschig die Aktualität und Funktionsfähig der AV-Software auf den Arbeitsplätzen und Servern; kontrollieren Sie die AV-Logs täglich.
  4. Führen Sie Fullscans Ihrer Server mit AV-Signaturen vom 5. Dezember oder später durch.
  5. Stellen Sie sicher, dass die Betriebssysteme der Arbeitsplätze und aller (!) eingesetzten SW-Produkte auf dem aktuellen Patch-Level sind.

So weit der Hinweis aus dem Pressetext.

Hierzu finden Sie  noch weitere Infos unter  hier und hier im Web.

Akt. Bedrohungslage bei Viren und Trojanern

Aktuell warnt Microsoft wieder davor, das vermehrt Makroviren von Cyber-Kriminellen per Email versandt werden. Die Funktion „Sicherer Ort“, welche mit Office 2007 eingeführt wurde und bis 2013 immer weiter verfeinert, sollte nur mit bedacht deaktiviert werden.
Infos zum Thema finden Sie u.a. hier!

Auch Banking-Trojaner erfreuen, wie der Bebloh, erfreuen sich momentan einer großen Beliebtheit und verbreiten sich in großer Menge in vers. abarten.
Infos zu diesem Thema finden Sie u.a. hier!

Des weiteren legt eine sehr aggressive Malware nach dem es Daten vom Rechner gestohlen hat und ggf. von einem Virenscanner entdeckt wurde diesem lahm in dem es Daten löscht.
Infos hierzu finden Sie u.a. hier, hier und hier.

Und machmal geht es auch schief, wie Avast mit einem missglückten Update bewies und kurzerhand Windows im Allgemeinen als Schädling einstufte und Millionen Rechner dadurch lahmlegte.
Infos zu diesem Fax Paus finden Sie u.a. hier und hier und wenn Sie betroffen sind, wie Sie es wieder rückgänig machen können finden Sie hier und hier!

Lenovo Update Service öffnet Angreifern sozusagen Tür und Tor, infos dazu finden Sie u.a. hier und hier!

Auch vermeintlich große und sichere Unternehmen sind vor Cyber-Kriminellen nicht sich, wie Sie hier lesen können.

Interessantes zu Virenscannern und Systemleistung sowie ihrer Verbreitung!

ACHTUNG!!! – Risiko beim Update von Synology DSM auf 5.1-5004

Wenn möglich sollte man nicht auf die neue DSM 5.1-5004 Updaten, bei einer vielzahl der genutzten System ist es vorgekommen, dass das System zwar direkt nachdem Update lief und erreichbar wer. Man alle geforderten Applikation, welche installiert waren aktuallisiert hat. Das System dann auch noch mehrere Stunden lief. Plötzlich aber die Shares/Freigaben nicht mehr erreichbar waren und wenn man auf die Weboberfläche sich verbinden wollte, diese nicht erreichbar war. Ein ping aber von der DS beantwortet wurde. Man also zwar intern ein arbeitetes System hat, aber nichts davon nurtzen kann.

Darum der Rat, an meine Kunden,  kein Update auf DSM 5.1 solang es nicht hier auf der Seite eine Entwarnung gibt.

Weitere Infos zum Thema finden Sie hier und hier im Web.

Nachtrag in eigener Sache und Erfahrung: Wer doch auf 5.1-5004 gewechselt sein sollte und das Problem bekommen hat. So kann ggf. abhilfe geschaffen werden:

1. Ein-/Ausschalter des DS drücken bis er blickt und ein einzelner Piepton zuhören ist. Der Piepton ist wohl optional und kommt nicht bei allen DS. Nun sollte die DS ausgehen.

2. DS und alle ggf. installierten Erweiterungen vom Stromnetz trennen.

3. alle HDDs leicht aus den Schächten ziehen, das der SATA-Bus zwischen HDD und Gehäuse sich nciht mehr berühren, das ganze zwei Std. so ruhen lassen.

4. Das DS und die evtl. vorhandenen Erweitungseinheiten mit dem Strom wieder verbinden und erst wenn vorhanden die Erweiterungseinheiten einschalten und dann das DS Hauptgehäuse (HDDs sind immer noch gezogen und nicht verbunden). Sollte nun das DS normal anlaufen, zuerst wieder die, falls vorhanden, Erweiterungseinheiten über den Ein-/Auschalter abschalten und dann das DS Hauptgehäuse, nun sollte auf jeden Fall der Piepton zu hören sein. Alle Gehäuse und Erweiterungen vom Strom wieder trennen.

5. alle HDDs wieder einschieben, Strom verbinden und zuerst die Erweiterungseinheiten einschalten, kurz warten und dann das Hauptgehäuse einschalten. Nun sollte das System nach einem Moment wieder normal zur Verfügung stehen. Aber es wird eine Volumenprüfung stattfinden, solange diese läuft, ist das DS nur eingeschränkt verfügbar. Wenn das abgeschlossen ist, läuft alles wieder wie gewohnt.

Viel Erfolg und bei Fragen, wissen Sie ja, wie Sie mich erreichen können.

Update: Still und heimlich scheint Synology das Paket 5.1-5004 angepasst und fehlerbereinigt zu haben. Bei den letzten drei Updates ist nun der Fehler nicht mehr aufgetreten und auch die Nachrichten und Fragen im Web zum Problem nehmen deutlich ab. Wäre trotzdem schön gewesen, wenn Synology es zum Anlass genommen hätte offener über das Problem und seine Besteitigung zu informieren.

Fiel DropBox einem Hacker-Angriff zum Opfer?!

Momentan streiten sich DropBox und div. Nachrichtenportale darüber ob die veröffentlichten Daten nun direkt von DropBox oder einem der zahlreichen Drittanbieter Applikationen stammen. Egal aber woher die Zugangsdaten stammen, jetzt ist es an der Zeit umgehend sein Passwort für diesen Dienst zu ändern. Sollte man die Kombination aus Email/Benutzernamen und Kennwort auch für andere Online Dienste nutzen, so ist dringend geraten auch diese zu ändern. Und wenn man schon beim ändern ist, sollte man für diese anderen Dienst möglichst nun endlich mal eine andere Kombination wählen. Und für DropBox und Co. existiert schon lange eine Zwei-Faktor-Authentisierung, welche simpel einzurichten ist, und sowohl mit Windows Phone, Android und iOS funktioniert. Infos zu so einem Dienst finden sie hier, hier und hier.

Infos zu dem Thema der gestohlenen Zugänge finden sie u.a. hier, hier und hier.

Patchday im Juni von MS und Adobe

Mit 7 Update im Juni 2014 schliesst Microsoft 66 Lücken in Windows und Co, alleine 59 davon befinden/befanden sich im Internet Explorer. Zwei der Pakete wurden von Microsoft als kritisch und der Rest als wichtig eingestuft. Ob wohl soviele Lücken im Internet Explorer schlossen wurden, bleiben WinXP Nutzer, wie schon angekündigt aussen vor. Wer also immernoch mit WinXP im Netz unterwegs ist/sein muss (gerechtfertigte Gründe gibt es keine mehr dafür), sollte sich unbedingt einen alternativen Browser sofot installieren wie Firefox, Opera, Cab und Co. Die Auswahl ist mehr als reichlich und das Risiko mit dem IE in eine Falle zu tappen sehr gross.

Weitere Infos zu den Patches von Mircosoft und Adobe finden Sie u.a. hier, hier, hier und hier.