GermanWiper
Liebe Administratoren,
ich frage mich, inwiefern es doch möglich wäre Daten zu retten nachdem die neue Ransomware "GermanWiper" alle Dateien mit Nullen überschrieben hat.
Oder wäre es denkbar, dass GermanWiper dies nur bewerkstelligen kann, wenn GermanWiper innerhalb eines administrativen Accounts agiert, ergo man einen Account benutzen sollte der keine Admin-Rechte inne hält um so den Schaden auf ein niedrigstes Level zu halten.
Ich konnte GermanWiper noch nicht in Aktion sehen, hat da schon wer Erfahrungen oder den Quellcode gelesen? Wäre interessant ob man den via externem Gerät unscharf zu stellen, wenn man den Quellcode kennt und wüsste wo man ansetzen kann um ihn unschädlich zu machen.
Interessant wäre auch zu wissen, ob man innerhalb von Mail-Programmen Filter einrichten kann, der automatisch bekannte Absender erkennt und gleich abwehrt ehe unbedarfte User den Anhang downloaden/ öffnen, es wurde ja bekannt, dass GermanWiper auf gleichen Kanälen verteilt wie die übrigen Vertreter der Ransomware-Familie.
Einen schönen Mittwoch
ich frage mich, inwiefern es doch möglich wäre Daten zu retten nachdem die neue Ransomware "GermanWiper" alle Dateien mit Nullen überschrieben hat.
Oder wäre es denkbar, dass GermanWiper dies nur bewerkstelligen kann, wenn GermanWiper innerhalb eines administrativen Accounts agiert, ergo man einen Account benutzen sollte der keine Admin-Rechte inne hält um so den Schaden auf ein niedrigstes Level zu halten.
Ich konnte GermanWiper noch nicht in Aktion sehen, hat da schon wer Erfahrungen oder den Quellcode gelesen? Wäre interessant ob man den via externem Gerät unscharf zu stellen, wenn man den Quellcode kennt und wüsste wo man ansetzen kann um ihn unschädlich zu machen.
Interessant wäre auch zu wissen, ob man innerhalb von Mail-Programmen Filter einrichten kann, der automatisch bekannte Absender erkennt und gleich abwehrt ehe unbedarfte User den Anhang downloaden/ öffnen, es wurde ja bekannt, dass GermanWiper auf gleichen Kanälen verteilt wie die übrigen Vertreter der Ransomware-Familie.
Einen schönen Mittwoch
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 491516
Url: https://administrator.de/forum/germanwiper-491516.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
18 Kommentare
Neuester Kommentar
Moin,
Dazu alle Dateitypen die problematisch (eigentlich alle) sperren.
Zitat von @Garrosh:
ich frage mich, inwiefern es doch möglich wäre Daten zu retten nachdem die neue Ransomware "GermanWiper" alle Dateien mit Nullen überschrieben hat.
Nein, Backup einspielen und infizierte PCs neu installierenich frage mich, inwiefern es doch möglich wäre Daten zu retten nachdem die neue Ransomware "GermanWiper" alle Dateien mit Nullen überschrieben hat.
Oder wäre es denkbar, dass GermanWiper dies nur bewerkstelligen kann, wenn GermanWiper innerhalb eines administrativen Accounts agiert, ergo man einen Account benutzen sollte der keine Admin-Rechte inne hält um so den Schaden auf ein niedrigstes Level zu halten.
Je mehr Rechte umso größer der Schaden bzw. die Ausbreitung.Ich konnte GermanWiper noch nicht in Aktion sehen, hat da schon wer Erfahrungen oder den Quellcode gelesen?
NöWäre interessant ob man den via externem Gerät unscharf zu stellen, wenn man den Quellcode kennt und wüsste wo man ansetzen kann um ihn unschädlich zu machen.
Das ist das was die AV-Hersteller den ganzen Tag, mit mäßigem Erfolg, machen.Interessant wäre auch zu wissen, ob man innerhalb von Mail-Programmen Filter einrichten kann, der automatisch bekannte Absender erkennt und gleich abwehrt ehe unbedarfte User den Anhang downloaden/ öffnen, es wurde ja bekannt, dass GermanWiper auf gleichen Kanälen verteilt wie die übrigen Vertreter der Ransomware-Familie.
Das macht ein Antispam- und Antivirus-Gateway für Mails.Dazu alle Dateitypen die problematisch (eigentlich alle) sperren.
Hi
Dann waren die Daten nicht Wichtig bzw Lebt sehr Risikobewust und hat nun Verloren.
Es ist halt ein Katz und Maus Spiel.
Und auch etwas Wissen gehört dazu um sich zu Schützen da zb ein Mailanhang Tabelle.xls.exe doch Auffallen sollte das diese keine Office Datei ist und nicht geöffnet werden sollte aber dennoch etliche diese Öffnen und dann am Flennen sind.....
Die Leute Verbessern ihr Produkt halt auch so das es immer weniger Auffällt und mehr Leute erwischt....
Es wurde auch damals in den Medien groß Informiert und eigentlich sollte jeder seine Daten Schützen bzw ein Regelmäßiges Backup machen.
Klar kann evtl noch was gefunden werden über ein Rettungsprogramm aber meist sind es nur Bruchstücke die einen nicht Helfen.
Zitat von @Garrosh:
Nein, Backup einspielen und infizierte PCs neu installieren
Und wenn X keine hat, nie angelegt hat?
Nein, Backup einspielen und infizierte PCs neu installieren
Und wenn X keine hat, nie angelegt hat?
Dann waren die Daten nicht Wichtig bzw Lebt sehr Risikobewust und hat nun Verloren.
Je mehr Rechte umso größer der Schaden bzw. die Ausbreitung.
Wenn Account gar keine Rechte hat, irgendetwas zu installieren, dann wären doch (für mein Verständnis) auch Viren nicht in der Lage sich zu installieren, oder nehmen die die Brechstange?
Es gibt aber immer wieder Lücken vom System die einige ausnutzen um ihre Schadsoftware Installiert zu bekommen und den Maximalen Schaden anrichten können.Wenn Account gar keine Rechte hat, irgendetwas zu installieren, dann wären doch (für mein Verständnis) auch Viren nicht in der Lage sich zu installieren, oder nehmen die die Brechstange?
Das ist das was die AV-Hersteller den ganzen Tag, mit mäßigem Erfolg, machen.
Was ja bedeutet, dass die AV-Hersteller dasselbe Engine benutzen und nicht wissen wie sie ihr Produkt verfeinern können? Gibts überhaupt KI-Lösungen?
Das macht ein Antispam- und Antivirus-Gateway für Mails.
Dazu alle Dateitypen die problematisch (eigentlich alle) sperren.
Wohl aber nicht immer zuverlässig.
Was ja bedeutet, dass die AV-Hersteller dasselbe Engine benutzen und nicht wissen wie sie ihr Produkt verfeinern können? Gibts überhaupt KI-Lösungen?
Das macht ein Antispam- und Antivirus-Gateway für Mails.
Dazu alle Dateitypen die problematisch (eigentlich alle) sperren.
Wohl aber nicht immer zuverlässig.
Es ist halt ein Katz und Maus Spiel.
Und auch etwas Wissen gehört dazu um sich zu Schützen da zb ein Mailanhang Tabelle.xls.exe doch Auffallen sollte das diese keine Office Datei ist und nicht geöffnet werden sollte aber dennoch etliche diese Öffnen und dann am Flennen sind.....
Die Leute Verbessern ihr Produkt halt auch so das es immer weniger Auffällt und mehr Leute erwischt....
Es wurde auch damals in den Medien groß Informiert und eigentlich sollte jeder seine Daten Schützen bzw ein Regelmäßiges Backup machen.
Klar kann evtl noch was gefunden werden über ein Rettungsprogramm aber meist sind es nur Bruchstücke die einen nicht Helfen.
Zitat von @aqui:
Opfer sind ja mal wieder nur Winblows Knechte !
Mac und Linux User können sich bei dem Thema ja entspannt zurücklehnen und milde lächeln...
Opfer sind ja mal wieder nur Winblows Knechte !
Mac und Linux User können sich bei dem Thema ja entspannt zurücklehnen und milde lächeln...
Ich hoffe das war Sarkasmus...
Moin,
Um ein Executable auszuführen braucht's keine adminstrativen Rechte. Die holt sich der Trojaner dann notfalls mit Exploits ... Und zum wipen der persönlichen Bildersammlung braucht er auch keine Admin-Rechte, da der Anwender ja eh Schreibrechte darauf hat i.d.R.
Also: Keine Brechstange nötig.
lg,
Slainte
Wenn Account gar keine Rechte hat, irgendetwas zu installieren, dann wären doch (für mein Verständnis) auch Viren nicht in der Lage sich zu installieren, oder nehmen die die Brechstange?
Um ein Executable auszuführen braucht's keine adminstrativen Rechte. Die holt sich der Trojaner dann notfalls mit Exploits ... Und zum wipen der persönlichen Bildersammlung braucht er auch keine Admin-Rechte, da der Anwender ja eh Schreibrechte darauf hat i.d.R.
Also: Keine Brechstange nötig.
lg,
Slainte
Zitat von @Garrosh:
Liebe Administratoren,
ich frage mich, inwiefern es doch möglich wäre Daten zu retten nachdem die neue Ransomware "GermanWiper" alle Dateien mit Nullen überschrieben hat.
Liebe Administratoren,
ich frage mich, inwiefern es doch möglich wäre Daten zu retten nachdem die neue Ransomware "GermanWiper" alle Dateien mit Nullen überschrieben hat.
Ja, Aus dem Backup. restaurieren.
Oder wäre es denkbar, dass GermanWiper dies nur bewerkstelligen kann, wenn GermanWiper innerhalb eines administrativen Accounts agiert, ergo man einen Account benutzen sollte der keine Admin-Rechte inne hält um so den Schaden auf ein niedrigstes Level zu halten.
Es gibt genügend lokale exploits, die eine privilege escalation erlauben und damit der Angreifer alles mit der Kiste machen kann, was er will. Ob das der Wiper nutzt oder nicht, kann ich Dir allerdings nicht sagen.
Ich konnte GermanWiper noch nicht in Aktion sehen, hat da schon wer Erfahrungen oder den Quellcode gelesen?
Sei froh. das Ding ist leider nicht open source, sonst wäre es ja zu einfach.
Wäre interessant ob man den via externem Gerät unscharf zu stellen, wenn man den Quellcode kennt und wüsste wo man ansetzen kann um ihn unschädlich zu machen.
Du kannst eine debugger anwerfen und den Code analysieren, wenn es Dir spaß macht. Quellcode ist zwar hlfreich aber Du weißt nciht, ob der auch zu dem Code paßt, den Du untergeschoben bekommst.
Interessant wäre auch zu wissen, ob man innerhalb von Mail-Programmen Filter einrichten kann, der automatisch bekannte Absender erkennt und gleich abwehrt ehe unbedarfte User den Anhang downloaden/ öffnen, es wurde ja bekannt, dass GermanWiper auf gleichen Kanälen verteilt wie die übrigen Vertreter der Ransomware-Familie.
Natürlich kann man das. Allerdings wechseln die Schadprogramme die "Absender" öfter wie die Damen aus dem Rotlichbezirk ihre Liebhaber.
Einen schönen Mittwoch
Nee, heute ist Freitag. Schönen Freitach noch.
lks
Zitat von @Garrosh:
Wenn Account gar keine Rechte hat, irgendetwas zu installieren, dann wären doch (für mein Verständnis) auch Viren nicht in der Lage sich zu installieren, oder nehmen die die Brechstange?
Wenn Account gar keine Rechte hat, irgendetwas zu installieren, dann wären doch (für mein Verständnis) auch Viren nicht in der Lage sich zu installieren, oder nehmen die die Brechstange?
Die müssen nichts installieren. Inzwischen läuft vieles davon einfach nur im RAM ohne installiert zu werden. Die müssen nur jemanden finden, der das Loslaufen des Scripts (meistens Powershell per http geladen) anstößt, z.B. über "Bewerbungen" und derRest passiert alleine. Und wie gesagt, gibt es genügend Methoden sich erhöhte Rechte zu hilen, wenn der Malware-programmierer Wert darauf legt.
lks
PS: Habe mal gerade ein "frisches" xls testweise bei virustotal hochgeladen. Da sind nur 12 von 59 Scannern der Meinung, daß das Ding nichts gutes tut.
Zitat von @VGem-e:
Hallo,
deswegen war ja oben schon der sehr wichtige Hinweis, alle nicht zwingend nötigen Dateitypen als Mailanhang konsequent zu sperren!!
Hallo,
deswegen war ja oben schon der sehr wichtige Hinweis, alle nicht zwingend nötigen Dateitypen als Mailanhang konsequent zu sperren!!
Das Zeug landet in meiner "Fliegenfalle".
Man muß ja ab und zu schauen, was da gerade "aktuell" ist.
lks
Zitat von @Garrosh:
Nein, Backup einspielen und infizierte PCs neu installieren
Und wenn X keine hat, nie angelegt hat?
Dann sind die Daten nicht so wichtig!!!Nein, Backup einspielen und infizierte PCs neu installieren
Und wenn X keine hat, nie angelegt hat?
Je mehr Rechte umso größer der Schaden bzw. die Ausbreitung.
Wenn Account gar keine Rechte hat, irgendetwas zu installieren, dann wären doch (für mein Verständnis) auch Viren nicht in der Lage sich zu installieren, oder nehmen die die Brechstange?
Gruss Penny.
Zitat von @Garrosh:
Soweit ich informiert bin, war bislang bei jeder Ransomware eine Formatierung mit Neuinstallation fällig gewesen.
Soweit ich informiert bin, war bislang bei jeder Ransomware eine Formatierung mit Neuinstallation fällig gewesen.
Es gab Fälle, in denen die Lösegeldzahlung abgeblich geholfen hst.
lks
Zitat von @Garrosh:
Na dann waren es vermehrt naive Menschen die aus Panik gezahlt haben, oder Senioren die nicht wussten was das alles zu bedeuten hatte. Aber ich unterstelle einem logisch denkenden Menschen, dass dieser erkennen kann - das solche Erpressungen gar nichts bewirken, außer dass der Autor der Ransomware gieriger wird.
Und wenn alles in BTC bezahlt werden soll, sollte man hellhörig werden.
Na dann waren es vermehrt naive Menschen die aus Panik gezahlt haben, oder Senioren die nicht wussten was das alles zu bedeuten hatte. Aber ich unterstelle einem logisch denkenden Menschen, dass dieser erkennen kann - das solche Erpressungen gar nichts bewirken, außer dass der Autor der Ransomware gieriger wird.
Und wenn alles in BTC bezahlt werden soll, sollte man hellhörig werden.
Wie ich schon sagte: Das Lösegeld wurde schon mehrfach entrichtet, und zwar von "vernünftig denkenden Menschen".
lks