lochkartenstanzer
Jan 04, 2016, updated at Jan 05, 2016 (UTC)
view2769
view12
0
Goto Top

Erste Sichtung: Erpressungstrojaner Ransom32 aufgrund JavaScript noch bedrohlicher

GermanGeneralViruses, TrojansSecurity
Noch ein Grund mehr, warum javascript böse ist.

Meine Empfehlung: Mit einer Whitelist für Webseiten arbeiten, die Javascript nutzen wollen.

lks

PS. Ich blocke Javascript generell udn gebe es nur für eingie ausgesuchte Seiten frei. Hilft auch gegen unerwünschte Werbung. face-smile

http://www.heise.de/newsticker/meldung/Erste-Sichtung-Erpressungstrojan ...
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 292189

Url: https://administrator.de/contentid/292189

Printed on: April 24, 2024 at 02:04 o'clock

12 Comments
Latest comment
Goto Top
Mitglied: 122990
122990 Jan 04, 2016 updated at 15:10:13 (UTC)
Goto Top
Naja, hier muss der Anwender immer noch eine Exe ausführen um sich zu infizieren, wie immer ist der Anwender die größte Schwachstelle im System. 22Mb ist ja auch nicht gerade wenig...und dann noch mehrere exes und vbs und dlls in dem Archiv, wer da drauf reinfällt dem ist echt nicht mehr zu helfen.
Member: Lochkartenstanzer
Lochkartenstanzer Jan 04, 2016 at 15:10:24 (UTC)
Goto Top
Zitat von @122990:

Naja, hier muss der Anwender immer noch eine Exe ausführen um sich zu infizieren, wie immer ist der Anwender die größte Schwachstelle im System. 22Mb ist ja auch nicht gerade wenig...und dann noch mehrere exes und vbs und dlls in dem Archiv, wer da drauf reinfällt dem ist echt nicht mehr zu helfen.

Ja, aber bei den heutigen Downloadgeschwindigkeiten fällt es vielen nicht auf und es sind trotzdem nur zwei oder drei klicks. face-smile

lks
Member: kaiand1
kaiand1 Jan 04, 2016 at 18:11:29 (UTC)
Goto Top
Dein Link gibt nen 404 aus
http://www.heise.de/newsticker/meldung/Erste-Sichtung-Erpressungstrojan ...
Ist wohl der neue Link mit Update dazu...

Wird sicherlich eh viele Treffen und Backup ist dabei zu 99% auch ein Fremdwort dann...
Member: DerWoWusste
DerWoWusste Jan 04, 2016 updated at 18:54:17 (UTC)
Goto Top
Moin zusammen.

Noch ein Grund mehr, warum javascript böse ist.
Und auch noch ein Grund mehr, dass die Opfer endlich aufwachen aus den süßen Antivirus-Träumereien. Nichts an diesen Viren ist grundsätzlich neu, es schmerzt nur endlich mal sichtbar. Andere Viren sagen Dir nicht Bescheid, dass sie deine Kennwörter klauen, Daten indizieren und wegschicken, Botnetze bilden usw. - die bleiben unbemerkt.
Ich hoffe, dass langsam mal das Kapieren einsetzt, dass Dinge wie kafu.exe (keine Autostarts für User, http://www.heise.de/download/kafu.exe-1130682.html ), welche die CT erstmalig schon vor ca. 11 Jahren bereitgestellt hat und/oder software restriction policies, die es auch seit nunmehr bald 15 Jahren gibt, tatsächlich mal benutzt werden sollten.
Ebenso gibt es da noch integrity levels, die bestimmten Anwendungen(!) (Browsern und deren Kindprozessen, oder Mailprogrammen) verwehren könnten, auf definierte Ordner zuzugreifen oder gar zu schreiben ("no write up") - auch ein alter Hut, schon seit fast 10 Jahren vorhanden. Nutzt kein Schwein, weil keiner die Sache ernst genug nahm - das könnte sich ändern.
Member: maretz
maretz Jan 04, 2016 at 21:31:00 (UTC)
Goto Top
Moin,
du glaubst auch an das gute im Menschen, oder?

Ganz ehrlich - ich mache mir KEINE Sorgen das Leute mit ein wenig Kenntnissen sowas öffnen. Management, Sekretariat oder sonstige Angestellte sind da schon eher offen für. Und grade Management ("ich brauche generell zugriff auf alles - auch wenn ich es mir nie ansehen werde") ist natürlich dann immer gut dafür das plötzlich auch die Dateien auf der Freigabe verschlüsselt wurden.

Einfache Schutzfunktion: Jeder Anwender bekommt nur minimal benötigte Rechte - schon kann der nichts groß zerlegen. Ist ja ein Grundprinzip bei Linux - da kann man dann sein Home-Verzeichnis zerlegen, dumm aber was solls, die anderen User auf dem System wären halt nich betroffen. Auch da wird aber immer mehr eh mit Root o. Root-berechtigten Usern gearbeitet. Gleichzeitig kenne ich nur wenig Admins die den Ar... in der Hose haben auch dem Vorgesetzten / Chef mal zu sagen das der/die keine Berechtigung für irgendwelche Ordner bekommen, das die eben nicht Admin-Rechte auf dem eigenen Rechner haben müssen usw.

Dazu kommt das heute Arbeitsplätze immer mehr "mobil" werden. Es macht oft keinen Unterschied ob ich im Office sitze oder irgendwo in Hawaii am Strand liege, solang ich Internet und nen Telefon habe ist das für meinen Job idR. relativ egal (zumindest bei 70% meiner Tätigkeit, die restlichen 30 erfordern tatsächlich persönliche Anwesenheit vor Ort). Da kann es eine IT kaum noch leisten jeden Rechner "dicht" zu machen. Klar kann die einfach alles sperren. Mitarbeiter die mehr im Hotel als zuhause sind werden sich bedanken wenn die nicht mal nen Spiel aufm Laptop starten können weil die IT-Jungs wieder alles blocken müssen. Auch da ist es ein ziemlicher Spagat zwischen "Sicherheit" und "Mitarbeiterzufriedenheit". Es bringt ja auch nix wenn das Firmennetz zwar super sicher ist aber die Mitarbeiter weg sind bzw. unzufrieden sind (und das merken Kunden auch!).

Von daher: ich denke das sich rein gar nix ändert. Auch diesmal werden wieder div. Leute drauf reinfallen und fröhlich drauf los klicken. Man kann nur hoffen das es (sowohl privat als auch gewerblich) da Backups gibt. Denn ganz ehrlich: Wer meint er möchte meine Daten verschlüsseln - feel free! Mit einem guten Backup sieht man sowas genauso wie nen Diebstahl / Defekt des Geräte recht gelassen entgegen.
Member: DerWoWusste
DerWoWusste Jan 04, 2016 at 21:34:08 (UTC)
Goto Top
Hi maretz.

Problem bleibt: Laufwerke, auf denen gemeinsam gearbeitet wird - was machst du da, da helfen geringe Rechte nicht, sobald Schreibrechte da sind, hast Du verloren.
du glaubst auch an das gute im Menschen, oder?
Wie jetzt? Weil ich Maßnahmen empfehle, die jeder Admin konfigurieren könnte?
Member: Lochkartenstanzer
Lochkartenstanzer Jan 05, 2016 at 01:23:25 (UTC)
Goto Top
Plonk funktionirt leider ncht.
Member: maretz
maretz Jan 05, 2016 at 05:50:18 (UTC)
Goto Top
Moin DWW,

das Problem sind eben leider die Menschen davor. Ich befürchte das es bei solchen Tipps ein wenig wie beim Kind mit der Herdplatte ist (das gilt auch für das Backup). Du kannst 20x sagen - mach nich, das is eine blöde Idee, solang es nicht einmal weh tut wirds irgendwann probiert.

Ausserdem glaube ich das die Admins im Normalfall nicht das Problem sind - das Problem sitzt dann ne Stufe drüber und sagt "aber ich muss jetzt überall alles dürfen" und hat weisungsbefugnisse...

Schönen Gruß,

Mike
Member: DerWoWusste
DerWoWusste Jan 05, 2016 updated at 08:20:20 (UTC)
Goto Top
Moin again.

das Problem sind eben leider die Menschen davor.
Das Problem sind Admins (ich versuche hier ja nur über administrierte Umgebungen zu sprechen), die sich nicht rantrauen, die technischen Möglichkeiten zu nutzen, weil sie Angst haben, die Schrauben zu fest anzuziehen, so dass keiner mehr arbeiten kann. Du bist Admin - welche dieser 3 genannten Ansätze kafu, SRP/Applocker und integrity levels hast Du selbst benutzt? Welche hast Du voll verstanden?
Viele Admins werden antworten: weder noch, keinen Einzigen benutzen sie.
Und richtig benutzt verhindern diese jedwede Art von Malware, darum erwähne ich dass, da brauchst Du nichts von heißen Herdplatten erzählen.
Der administrative Aufwand erhöht sich - aber bei welcher Maßnahme, die sich letzten Endes auszahlen soll, tut er das nicht? Die Hauptsache bleibt die Fähigkeit zu arbeiten - und die beeinflusst das nicht, man muss es nur richtig machen, dafür sind Admins da.
Member: Lochkartenstanzer
Lochkartenstanzer Jan 05, 2016 at 10:22:35 (UTC)
Goto Top
Zitat von @DerWoWusste:

Du bist Admin - welche dieser 3 genannten Ansätze kafu, SRP/Applocker und integrity levels hast Du selbst benutzt? Welche hast Du voll verstanden?
Viele Admins werden antworten: weder noch, keinen Einzigen benutzen sie.

Du hast Recht, daß viele Admins diese Konzepte nichteinmal kennen. Aber selbst die, die sie kennen und wissen, was man tun kann, sind an die Gegebenheiten Ihres Alltags gebunden.

Diese Tools zu benutzen bedeutet Aufwand, und Konforteinbußen, den man sogar ziemlich genau auf Heller und Pfennig beziffern kann, weil dafür auch tools existieren (Mehraufwand der Mitarbeiter, der sich in Lohnkosten und Produktivitätsverlust niederschlägt).

Dem gegenüber steht ein Sicherheitsgewinn, der nur durch Wahrscheinlichkeiten und einen potentiellen Verlust beziffert werden kann. Und hier begintn die Psychologie. das Geld das ich jetzt ausgeben muß, "ist mehr wert", als alle möglichen Verluste, die ich villiecht haben könnte. Das ist sowohl beim Backup, als auch bei den Schutzmaßnahmen so. Das ist so ähnlich wie mit dem Lotto und Auto. Obwohl die Wahrscheinlichkeit höher ist, durch Autofahren umzukommen, als im Lotto zu Gewinnen, verzichtet kaum einer aufs Autofahren oder aufs Lottospielen. face-smile

Im endeffekt ist es einfach eine Risiko- und Wirtschaftlichkeitsrechnung: Wenn mich die Vorsorge (gefühlt) unverhältnismäßig mehr kostet als ein potentieller Schaden, lasse ich es. Und im Zeitalter der Quartalszahlen und Shareholder Values ist eindeutig das jetzt ausgegebene Geld deutlich wertvoller als in Zukunft das vielfache davon zu verlieren. face-sad

Trotzdem: Nicht entmnutigen lassen und weiter versuchen, den Leuten Verständnis für Notwendigkeiten einzubläuen. Spätestens dann, wenn die Ransomware einige Millarden gekostet hat, werden es die Konzepte schaffen.

lks

PS: Die Konzepte gab es übrigens schon in den 90ern. Allerdings eher im akademischen Bereich.
Member: DerWoWusste
DerWoWusste Jan 05, 2016 at 10:32:41 (UTC)
Goto Top
LKS, das sehe ich ja auch so.
Dass ich hier in den Thread eingestiegen bin, hatte den Grund, dass es ein weiterer Thread über die ach so pösen Ransomwares ist, der , wenn man dem Link folgt (korrigier Deinen mal bitte auf http://www.heise.de/newsticker/meldung/Erste-Sichtung-Erpressungstrojan ... ), noch ein Interview mit einem Möchtegernexperten zeigt, das vom Niveau sowas von Nullkommagarnichts ist, dass es mir schaudert.

Warum ergötzen sich alle an dieser Ransomware? Weil die Techies gerne den Schlauen raushängen lassen und Ihrem Umfeld diese Schauergeschichten erzählen. Das ist auch viel schöner, als endlich mal die seit Jahr und Tag vorhandenen Mechanismen dagegen zu nutzen.
Es ist eben nicht "noch bedrohlicher", sondern eine ganz stinknormale Malware. Einfach dran arbeiten, dass nur gewhitelisteter Code startet und gut ist. Einfach mal überlegen, dass das Ganze ohne direkten Internetzugang gar nicht laufen kann, und diesen wegnehmen und durch einen vernünftig gekapselten ersetzen. Ja, "einfach" ist das nicht für jederman, aber gerade daran muss man arbeiten.
Darüber musst Du Threads und Links machen, nicht zum 17. Mal über die ach so gefährliche Ransomware xy face-wink
Member: Lochkartenstanzer
Lochkartenstanzer Jan 05, 2016 updated at 13:04:16 (UTC)
Goto Top
Zitat von @DerWoWusste:

Darüber musst Du Threads und Links machen, nicht zum 17. Mal über die ach so gefährliche Ransomware xy face-wink

Der Link ging zwar auf einen Beircht zur Ransonware, aber meine Intention war eher darauf gerichtet, darauf aufmeksam zu machen, daß fremden Code auf eigenen Rechnern auszuführen keine gute Idee ist. Und Javascript ist nichts anderes als fremder Code von irgendeinem Server, der lokal ausgeführt wird. Genaugenommen müßte man das generell unterbinden. face-smile

lks
GermanGeneralViruses, TrojansSecurity
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments