Am 28.04.2016 ist es pas­siert. Ein unvor­sich­ti­ger Klick durch einen oder meh­re­re Mitarbeiter und einer der bekann­ten Krypto-Trojaner wur­de im Rathaus Markt Schwaben (Bayern) aktiv. Der Befall wur­de am frü­hen Donnerstagmorgen bereits bemerkt und der zustän­di­ge Systemadministrator hat sofort erste Schritte zur Eindämmung und Ursachenanalyse ein­ge­lei­tet. Oberstes Ziel ist es jetzt, den Ursprung zu loka­li­sie­ren, zu iso­lie­ren und zu ent­fer­nen. Am Freitag den 29.04.2016 blieb das Rathaus nach zuvor offi­zi­el­ler Ankündigung geschlos­sen. Glücklicherweise sind wohl nur ver­ein­zel­te Rechner betrof­fen. Auch aktu­el­le Virenschutzsoftware konn­te den Befall nicht ver­hin­dern.

Zur Abwechslung zum Wochenende etwas Erheiterndes. Jeder Windows 7- und Windows 8‑Nutzer kennt die ner­vi­gen Hinweise von Microsoft, auf Windows 10 upzu­gra­den. Dies muss­te nun die Wettermoderatorin Metinka Slater des US-Senders KCCI live ertra­gen. Sie nahm es mit Humor, wie dem Beitrag des Senders zu ent­neh­men ist. Schauen Sie sich das gan­ze Video an — Link.

reinfallstattrainfall_windows10

Im Rahmen der gesetz­li­chen Meldepflicht infor­mier­te der Betreiber RWE des Atomkraftwerkes Grundremmingen das Bundesamt für Sicherheit in der Informationstechnik (BSI) über einen heik­len Vorfall. Ein Computer im Bereich der Brennstab-Beladung war mit Malware ver­seucht. Installiert wur­de das System bereits 2008. Weitere Systeme sei­en bis­her nicht infi­ziert. Die Analyse dau­ert der­zeit noch an.

Weder die Steuerung noch der Betrieb der Anlage sei­en gefähr­det gewe­sen. Das System hät­te ledig­lich der nach­träg­li­chen Datenverarbeitung und Visualisierung gedient. Schwacher Trost, bleibt bis zum Abschluss der Analyse offen, wie die Malware auf das System gelan­gen konn­te. Und ob auf die­sem Weg nicht wei­te­re Sicherheitsrisiken ent­ste­hen kön­nen / könn­ten.

Das AKW Grundremmingen soll 2021 vom Netz. Lokale Bewegungen for­dern schon län­ger eine frü­he­re Stilllegung sowie eine genaue­re Information der Bürger über den kon­kre­ten Sachverhalt.

Ein Tool namens RansomWhere? soll unter Mac OS X vor Krypto-Trojanern schüt­zen. Das Prinzip dahin­ter ist ziem­lich ein­fach. Laufende Prozesse wer­den über­wacht und sobald eine Verschlüsselungsaktivität erkannt wird, der dazu­ge­hö­ri­ge Prozess ange­hal­ten. Es erscheint eine Nutzeranfrage, ob der Prozess wei­ter­ge­führt wer­den soll. Dazu wer­den wei­te­re Angaben in der Anzeige, die eine Einschätzung zulas­sen sol­len, ob es erwünsch­ter Prozess mit Verschlüsselung ist oder nicht. Der Anwender erteilt dem Prozess dann auf Wunsch die not­wen­di­gen Rechte zum Weiterarbeiten.

Zwar ist Mac OS zur Zeit nur sehr gering dem Risiko eines Befalls durch Krypto-Trojaner aus­ge­setzt, des­we­gen kön­nen ent­spre­chen­de Schutzmaßnahmen zur Abwehr nicht scha­den.

Link zum Tool und sei­ner tech­ni­schen Beschreibung

Zwei kri­ti­sche Sicherheitslücken wur­den in Quicktime für Windows ent­deckt. Problem: Apple hat den Support für Quicktime unter Windows ein­ge­stellt. Ein Sicherheitspatch ist daher nicht zu erwar­ten. Einzige Abhilfe: schnellst­mög­lich deinstal­lie­ren. Große Auswirkungen sind nicht zu erwar­ten, da Quicktime unter Windows kei­ne nen­nens­wer­te Rolle gespielt hat.

Das Internet Storm Center mel­det heu­te einen alten Bekannten zurück auf der Bildfläche “Retefe is back in town”

Erneute Vorkommen die­ses beson­ders per­fi­den Banking-Trojaners wur­den aus Österreich, der Schweiz, Schweden und Japan ver­mel­det. Die Verbreitung fin­det in gewohn­ter Manier via Spam-Email statt. Im Anhang befin­det sich ein Zip-File mit JavaScript-Code. Dieser Code lädt dann den eigent­li­chen Schadcode nach. Betroffen davon sind Windows-Systeme.

Retefe instal­liert ein gefälsch­tes Sicherheitszertifikat auf dem betrof­fe­nen PC, nach­dem er zuvor stö­ren­de Prozesse mit­tels taskkill abge­schos­sen hat. Zusätzlich wird ein DNS Server samt Proxy ein­ge­rich­tet, der zukünf­ti­ge Anfragen auf das Banking-Portal über­nimmt. Aufgrund des instal­lier­ten und signier­ten Zertifikats sieht das im Browser für den Nutzer wie eine nor­ma­le gesi­cher­te Verbindung aus. Ist ein Android-Gerät greif­bar, wird die­sem ein Trojaner unter­ge­ju­belt, der einen von der Bank per SMS ver­sand­ten Zugangstoken auto­ma­tisch abgrei­fen kann.

Da sich Retefe nach Einrichtung die­ser Manipulation selbst löscht, fällt es Virenscannern schwer, eine Infektion zu erken­nen — es ist ja kein Schadcode aktiv oder auf dem System gespei­chert.

Also ein wei­te­rer Grund, den Posteingang kri­tisch zu begut­ach­ten und im Zweifel Dateianhänge unge­öff­net zu löschen. Datenschutz- und Informationssicherheitsbeauftragte soll­te Ihre Anwender über die­se neue Bedrohung im Rahmen der übli­chen Sensibilisierungskanäle zeit­nah infor­mie­ren.

Petya Logo (Trendmicro.com)

Betroffene des Krypto-Trojaners Petya kön­nen auf­at­men. Der Algorithmus wur­de geknackt und es steht ein Passwort-Generator bereit. Laut ver­schie­de­nen Online-Meldungen u.a. heise.de funk­tio­niert die Entschlüsselung auch.

Etwas tricky

Um die Entschlüsselung durch­zu­füh­ren, muss die betrof­fe­ne Festplatte in einen nicht infi­zier­ten PC als zusätz­li­che Platte ein­ge­baut wer­den. Mittels des “Petya Sector Extractor” des Sicherheitsforschers Fabian Wosar wer­den die nun benö­tig­ten Angaben aus dem Verschlüsselungscode extra­hiert. Diesen Code trägt man nun auf der Webseite von einem unter dem Namen leos­tone auf­tre­ten­den Unbekannten ein und erhält den eigent­li­chen Entschlüsselungscode. Nun muss die Platte wie­der ins ursprüng­li­che System und dort gestar­tet wer­den. Trägt man den Code dort ein, soll nach aktu­el­len Angaben die Entschlüsselung funk­tio­nie­ren.

Auf Petya beschränkt

Tool und Webseite funk­tio­nie­ren ledig­lich für die aktu­el­le Variante von Petya. Betroffene von Locky, Teslacrypt oder ande­rer Krypto-Trojaner soll­ten dies bit­te nicht aus­pro­bie­ren.