Beiträge

Wir bauen uns einen Erpressungstrojaner per Mausklick

Ein neu­es Geschäftsmodell hält Einzug. Wie heise.de berich­tet, steht die Ransomware Satan nun kosten­los  zur Verfügung. Über eine Weboberfläche im Tor-Netz kann sich nun jeder Abenteurer sei­nen eige­nen Kryptotrojaner zusam­men­klicken. So kön­nen nicht nur, aber auch die Erpresserbotschaft und die Höhe des Lösegelds in Bitcoins kon­fi­gu­riert wer­den. Die so erzeug­te Schadsoftware muss dann selbst ver­teilt wer­den. Entsprechende Word-Makros und infi­zier­te Windows-Hilfe-Dateien wer­den mit­ge­lie­fert und unter­stüt­zen dabei.

Ganz kosten­los ist der Service dann aller­dings doch nicht. Gezahlte Lösegelder gehen zuerst an die Drahtzieher hin­ter Satan. Diese brin­gen dann eine “Provision” für den Service in Höhe von 30% in Abzug. Lediglich der Rest geht dann an den Initiator und Trojanerbastler. Je mehr Geräte jedoch infi­ziert wer­den, desto weni­ger Provision soll fäl­lig sein.

Erste Virenscanner erken­nen die mit Satan gene­rier­ten Trojaner bereits. Das ist jedoch kein Grund zur Entwarnung. Bitte sen­si­bi­li­sie­ren Sie Ihre Mitarbeiter.

Masterschlüssel für TeslaCrypt veröffentlicht

Laut einer Meldung von heise.de haben die Entwickler von Teslacrypt die Weiterentwicklung ein­ge­stellt und den Masterschlüssel für den Kryptotrojaner ver­öf­fent­licht. Betroffene, deren Syteme und Daten noch ver­schlüs­selt sind, kön­nen auf­at­men. Nach ersten Berichten funk­tio­niert der Master-Key und in Verbindung mit dem Tool Tesladecoder sind alle Varianten von Teslacrypt 1 bis 4 wie­der zu entschlüsseln.

Schutz vor Krypto-Trojanern für Mac OS X: RansomWhere?

Ein Tool namens RansomWhere? soll unter Mac OS X vor Krypto-Trojanern schüt­zen. Das Prinzip dahin­ter ist ziem­lich ein­fach. Laufende Prozesse wer­den über­wacht und sobald eine Verschlüsselungsaktivität erkannt wird, der dazu­ge­hö­ri­ge Prozess ange­hal­ten. Es erscheint eine Nutzeranfrage, ob der Prozess wei­ter­ge­führt wer­den soll. Dazu wer­den wei­te­re Angaben in der Anzeige, die eine Einschätzung zulas­sen sol­len, ob es erwünsch­ter Prozess mit Verschlüsselung ist oder nicht. Der Anwender erteilt dem Prozess dann auf Wunsch die not­wen­di­gen Rechte zum Weiterarbeiten.

Zwar ist Mac OS zur Zeit nur sehr gering dem Risiko eines Befalls durch Krypto-Trojaner aus­ge­setzt, des­we­gen kön­nen ent­spre­chen­de Schutzmaßnahmen zur Abwehr nicht schaden.

Link zum Tool und sei­ner tech­ni­schen Beschreibung

Hilfestellung: Anzeige von Antwort-an Reply-to in Outlook

Oft kommt es vor, dass die soge­nann­te Antworten-an (oder Reply-to) Email-Adresse in einer Email von der unter “Von” ange­zeig­ten Email-Adresse abweicht. Dies muss nicht unbe­dingt gleich einen Phishing-Versuch dar­stel­len. Gelegentlich sind Abweichungen hier gewünscht, bei­spiels­wei­se um Antworten auf einen Newsletter in ein ande­res Postfach zur wei­te­ren Bearbeitung umzu­lei­ten. Jedoch kann eine Abweichung auch ein Indiz dafür sein, dass mit der besag­ten Email etwas nicht stimmt.

Bei eini­gen Email-Programmen wird die­ses Feld nicht auto­ma­tisch ange­zeigt und ist auch nicht ein­fach über einen Menüpunkt wie “Ansicht” oder “Darstellung” ein­zu­blen­den. Outlook ist so ein Kandidat. Da die­ser Email-Client jedoch recht weit ver­brei­tet ist, haben wir eine klei­ne Hilfestellung ver­fasst mit Text und Bebilderung. Anhand die­ser Anleitung kön­nen Sie die­se Anzeige selbst mit weni­gen Klick akti­vie­ren. Und in Zukunft zeigt Ihnen Ihr Outlook im Posteingang die Spalte “Antwort sen­den an” ohne wei­te­res Zutun an. Auf einen Blick sehen Sie, ob es zwi­schen den bei­den Email-Adressen Abweichungen gibt.

Sie dür­fen die­se Hilfestellung ger­ne in unver­än­der­ter Form wei­ter­ge­ben, jedoch nicht kom­mer­zi­ell verwerten.

ask — Hilfestellung Outlook Anzeige Antworten An (262.8 KiB, 55 downloads) 

Mitarbeiter Awareness: Schutz vor Krypto-Trojanern

Man kann es ja gar nicht oft genug sagen in den letz­ten Wochen: Neben all den tech­ni­schen Maßnahmen zur Abwehr oder Vermeidung von Krypto-Trojanern ist die Sensibilisierung der Mitarbeiter eine sehr effek­ti­ve Möglichkeit, das Risiko einer Infektion durch Locky, Teslacrypt und Co zu ver­mei­den. Neusprech heisst dies “Awareness” schaf­fen. Aus die­sem Grund bie­ten wir zusätz­lich zu ein- bis zwei­stün­di­gen Sensibilisierungsveranstaltungen zur aktu­el­len Bedrohungslage und Möglichkeiten für Mitarbeiter vor Ort Handreichungen in Form von DIN A4-Flyern an, die Sie ger­ne (unver­än­dert) in Ihrer Organisation ein­set­zen können.

Diese Ausgabe behan­delt den Umgang mit Email-Anhängen sowie eine Kurzanleitung zur Beschränkung der Ausführung von Makro-Code in Office-Dokumenten (sofern dies nicht durch die Gruppenrichtlinie nicht bereits unter­drückt wird).

Wir wis­sen, zu dem Thema kann man noch viel mehr sagen / schrei­ben. Doch wir haben uns bewußt für eine kur­ze Darstellung auf einer Seite beschränkt, damit die Akzeptanz zur Kenntnisnahme nicht durch zu gro­ße Längen beein­träch­tigt wird.

Wollen Sie Ihren Mitarbeitern die­sen Flyer zur Sensibilisierung im Umgang mit der Bedrohung durch Krypto-Trojaner durch Email-Anhänge an die Hand geben? Dann laden Sie sich das Dokument doch ein­fach kosten­frei her­un­ter und ver­tei­len es intern.

Flyer / Handout Awareness Anwender Empfehlung Schutz Vor Krypto Trojanern (57.8 KiB, 197 downloads) 

Haben Sie wei­te­re Ideen und Anregungen für Flyer / Sensibilisierungen in die­ser Kurzform? Dann schrei­ben Sie uns. Wir grei­fen das ger­ne für wei­te­re Handouts auf.

Wir wün­schen allen Beteiligten wei­ter­hin bei der Abwehr die­ser Bedrohung viel Erfolg.

Vorsicht: BKA Virus Warnung enthält Virus

Perfide wird der­zeit die Angst vor dem Krypto-Trojaner Locky aus­ge­nutzt, mel­det mimikama.at. Eine offi­zi­ell nach BKA als Absender aus­se­hen­de Email  warnt vor Locky und bie­tet zugleich ein ” BKA Locky Removal Tool” an. Startet man die­se EXE, wird das System mit einem Trojaner infi­ziert. Dieser soll­te glück­li­cher­wei­se von Virenscannern mit aktu­el­len Signaturen erkannt und ent­fernt werden.

Quelle: mimikama.at

Quelle: mimikama.at

Mimimaka.at hat den Wortlaut der Email eben­falls veröffentlicht:

Offizielle Warnung vor Computervirus Locky

Aufgrund wie­der­hol­ter Email mit Nachfragen wie man sich im Falle einer Infektion mit dem Computervirus „Locky“ zu ver­hal­ten hat, haben Wir uns dazu ent­schie­den in Kooperation mit Anti Virensoftware Herstellern einen Sicherheitsratgeber zu Verfügungzu stel­len in dem ihnen erklärt wird wie sie eine Infektion mit dem Virus ver­mei­den kön­nen und sich im Falle einer Infektion rich­tig zu ver­hal­ten haben. Sofern Sie noch nicht dar­über infor­miert wor­den sind was der Locky Virus anrich­tet haben wir für Sie alles noch ein­mal kurz zusam­men­ge­fasst. Bei dem Locky Virus han­delt es sich um einen soge­nann­ten Kryptolocker der gezielt wich­ti­ge Dateien auf ihrem Computer ver­schlüs­selt und für Sie unbrauch­bar macht. Die Dateien kön­nen Sie nur wie­der gegen eine Zahlung brauch­bar machen. Das Problematische an die­sem Virus besteht dar­in, dass es sich nicht um einen gewöhn­li­chen Virus han­delt und wir des­we­gen noch mit Hochdruck in Kooperation mit Anti Virenhersteller an einer Lösung arbei­ten um die­sen Virus zu ent­fer­nen Den oben erwähn­te Sicherheitsratgeber sowie ein eigen­hän­dig durch das Bundeskriminalamt ent­wickel­te Analyse Tool kön­nen Sie sich aus dem Anhang herunterladen
Mit freund­li­chen Grüßen

Steven Braun (IT Beauftragter)
Bundeskriminalamt
65173 Wiesbaden
Tel.: +49 (0)611 55 – 0
Fax: +49 (0)611 55 – 12141
E-Mail: impressum-bka-internetauftritt@nullbka.de

Malware — die Top Bedrohung 2016

Malware / Ransomware weit vorne

AppRiver hat eine Studie für die Top Bedrohungen in der IT- und Informationssicherheit für 2016 her­aus­ge­bracht. Ganz weit vor­ne eine alte Bekannter — die Malware.  Unterstützt durch immer bes­se­re Vorgehensweisen im Bereich Social Engineering rech­net AppRiver für 2016 mit einem erheb­li­chen Anstieg der Bedrohung durch Malware. Die Studie sieht zwar einen mög­li­cher­wei­se gerin­ge­ren Schaden pro Angriff auf­grund ver­bes­ser­ter Backup- und Recovery-Strategien, doch die “Masse macht’s”, wie es so schön heißt.

Innerhalb der Malware rech­net man gera­de durch die soge­nann­te Ransomware mit einem deut­li­chen Zuwachs. Im Zusammenspiel mit Zero-Day-Lücken, der Gutgläubigkeit  der — oft unzu­rei­chend sen­si­bi­li­sier­ten — Anwender und immer bes­se­rer Verschlüsselungsmethoden sei­tens der Schadsoftware kann es zu immensen Schäden kom­men. Perfide ist das zusätz­li­che Risiko, bei Zahlung der erpress­ten Summen mög­li­cher­wei­se den­noch kei­nen funk­ti­ons­fä­hi­gen Key für die Entschlüsselung zu erhalten.

Vorbeugung gegen Ransomware möglich?

Eine hun­dert­pro­zen­ti­ge Absicherung gibt es lei­der nicht. Die Entwickler die­ser Malware sind nicht untä­tig und die Anbieter schon Schutzlösungen sind zeit­lich mit Signaturen nach­voll­zieh­bar immer etwas hin­ter­her. Von daher muss von ande­rer Seite zusätz­lich mas­siv vor­ge­beugt werden:

  1. Möglichst Verzicht auf Software, die für Anfälligkeiten von Zero-Day-Lücken bekannt ist, wie bei­spiels­wei­se Adobe Flash
  2. Betriebssysteme und Anwendungen stets aktu­ell mit Patches und Security Fixes versorgen
  3. Geräte auf denen Punkt 2 nicht mög­lich ist, mög­lichst in getrenn­ten Netzsegmenten und / oder gar nicht mit Internetanschluß betreiben
  4. Kein System ohne Virenschutz mit regel­mä­ßi­ger, im Zweifel stünd­li­cher Aktualisierung der Signaturen (Achtung: auch mobi­le Geräte berücksichtigen!)
  5. Backup-Strategie prü­fen, im Zweifel vor­über­ge­hend kür­ze­re Sicherungsintervalle ein­rich­ten. Sicherungsmedien nach erfolg­tem Backup aus dem Netz entfernen!
  6. Schulen und sen­si­bi­li­sie­ren Sie Ihre Mitarbeiter kon­ti­nu­ier­lich. Es emp­feh­len sich auch Zwischenberichte bei­spiels­wei­se per Rundmail, wenn sich neue Bedrohungslagen erge­ben — durch­aus täg­lich oder öfter.
  7. Verfügen Sie über ent­spre­chen­de Möglichkeiten der Systemverhaltensanalyse, so kon­fi­gu­rie­ren Sie die­se auf Symptome wie vie­le Dateizugriffe inner­halb kur­zer Zeitspannen. Nutzen Sie Funktionen, Systeme mit sol­chen Auffälligkeiten im Zweifel sofort vom Netz zu nehmen.
  8. Wenn mög­lich, set­zen Sie Email-Anhänge auto­ma­ti­siert in Quarantäne. Der Anwender kann bei Bedarf den Anhang anfor­dern. Das ist zwar im Moment etwas auf­wen­di­ger, aber lan­ge nicht so zeit­in­ten­siv, wie wenn Sie sich mit dem Befall durch Ransomware aus­ein­an­der­set­zen müssen.

Mit die­sen Maßnahmen haben Sie lei­der immer noch kei­nen 100%-igen Schutz gegen Ransomware, aber das Risiko des Eintritts zumin­dest gesenkt.