garrosh
Goto Top

GermanWiper

Liebe Administratoren,

ich frage mich, inwiefern es doch möglich wäre Daten zu retten nachdem die neue Ransomware "GermanWiper" alle Dateien mit Nullen überschrieben hat.
Oder wäre es denkbar, dass GermanWiper dies nur bewerkstelligen kann, wenn GermanWiper innerhalb eines administrativen Accounts agiert, ergo man einen Account benutzen sollte der keine Admin-Rechte inne hält um so den Schaden auf ein niedrigstes Level zu halten.

Ich konnte GermanWiper noch nicht in Aktion sehen, hat da schon wer Erfahrungen oder den Quellcode gelesen? Wäre interessant ob man den via externem Gerät unscharf zu stellen, wenn man den Quellcode kennt und wüsste wo man ansetzen kann um ihn unschädlich zu machen.

Interessant wäre auch zu wissen, ob man innerhalb von Mail-Programmen Filter einrichten kann, der automatisch bekannte Absender erkennt und gleich abwehrt ehe unbedarfte User den Anhang downloaden/ öffnen, es wurde ja bekannt, dass GermanWiper auf gleichen Kanälen verteilt wie die übrigen Vertreter der Ransomware-Familie.


Einen schönen Mittwoch face-smile

Content-ID: 491516

Url: https://administrator.de/forum/germanwiper-491516.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

StefanKittel
Lösung StefanKittel 04.09.2019 um 12:00:08 Uhr
Goto Top
Moin,

Zitat von @Garrosh:
ich frage mich, inwiefern es doch möglich wäre Daten zu retten nachdem die neue Ransomware "GermanWiper" alle Dateien mit Nullen überschrieben hat.
Nein, Backup einspielen und infizierte PCs neu installieren

Oder wäre es denkbar, dass GermanWiper dies nur bewerkstelligen kann, wenn GermanWiper innerhalb eines administrativen Accounts agiert, ergo man einen Account benutzen sollte der keine Admin-Rechte inne hält um so den Schaden auf ein niedrigstes Level zu halten.
Je mehr Rechte umso größer der Schaden bzw. die Ausbreitung.

Ich konnte GermanWiper noch nicht in Aktion sehen, hat da schon wer Erfahrungen oder den Quellcode gelesen?


Wäre interessant ob man den via externem Gerät unscharf zu stellen, wenn man den Quellcode kennt und wüsste wo man ansetzen kann um ihn unschädlich zu machen.
Das ist das was die AV-Hersteller den ganzen Tag, mit mäßigem Erfolg, machen.

Interessant wäre auch zu wissen, ob man innerhalb von Mail-Programmen Filter einrichten kann, der automatisch bekannte Absender erkennt und gleich abwehrt ehe unbedarfte User den Anhang downloaden/ öffnen, es wurde ja bekannt, dass GermanWiper auf gleichen Kanälen verteilt wie die übrigen Vertreter der Ransomware-Familie.
Das macht ein Antispam- und Antivirus-Gateway für Mails.
Dazu alle Dateitypen die problematisch (eigentlich alle) sperren.
Garrosh
Garrosh 04.09.2019 um 12:11:17 Uhr
Goto Top
Nein, Backup einspielen und infizierte PCs neu installieren

Und wenn X keine hat, nie angelegt hat?

Je mehr Rechte umso größer der Schaden bzw. die Ausbreitung.


Wenn Account gar keine Rechte hat, irgendetwas zu installieren, dann wären doch (für mein Verständnis) auch Viren nicht in der Lage sich zu installieren, oder nehmen die die Brechstange?

Das ist das was die AV-Hersteller den ganzen Tag, mit mäßigem Erfolg, machen.


Was ja bedeutet, dass die AV-Hersteller dasselbe Engine benutzen und nicht wissen wie sie ihr Produkt verfeinern können? Gibts überhaupt KI-Lösungen?

Das macht ein Antispam- und Antivirus-Gateway für Mails.
Dazu alle Dateitypen die problematisch (eigentlich alle) sperren.


Wohl aber nicht immer zuverlässig.
kaiand1
kaiand1 04.09.2019 um 12:35:12 Uhr
Goto Top
Hi

Zitat von @Garrosh:

Nein, Backup einspielen und infizierte PCs neu installieren

Und wenn X keine hat, nie angelegt hat?

Dann waren die Daten nicht Wichtig bzw Lebt sehr Risikobewust und hat nun Verloren.


Je mehr Rechte umso größer der Schaden bzw. die Ausbreitung.


Wenn Account gar keine Rechte hat, irgendetwas zu installieren, dann wären doch (für mein Verständnis) auch Viren nicht in der Lage sich zu installieren, oder nehmen die die Brechstange?

Es gibt aber immer wieder Lücken vom System die einige ausnutzen um ihre Schadsoftware Installiert zu bekommen und den Maximalen Schaden anrichten können.


Das ist das was die AV-Hersteller den ganzen Tag, mit mäßigem Erfolg, machen.


Was ja bedeutet, dass die AV-Hersteller dasselbe Engine benutzen und nicht wissen wie sie ihr Produkt verfeinern können? Gibts überhaupt KI-Lösungen?

Das macht ein Antispam- und Antivirus-Gateway für Mails.
Dazu alle Dateitypen die problematisch (eigentlich alle) sperren.


Wohl aber nicht immer zuverlässig.

Es ist halt ein Katz und Maus Spiel.
Und auch etwas Wissen gehört dazu um sich zu Schützen da zb ein Mailanhang Tabelle.xls.exe doch Auffallen sollte das diese keine Office Datei ist und nicht geöffnet werden sollte aber dennoch etliche diese Öffnen und dann am Flennen sind.....
Die Leute Verbessern ihr Produkt halt auch so das es immer weniger Auffällt und mehr Leute erwischt....


Es wurde auch damals in den Medien groß Informiert und eigentlich sollte jeder seine Daten Schützen bzw ein Regelmäßiges Backup machen.

Klar kann evtl noch was gefunden werden über ein Rettungsprogramm aber meist sind es nur Bruchstücke die einen nicht Helfen.
aqui
aqui 04.09.2019 um 13:02:51 Uhr
Goto Top
Opfer sind ja mal wieder nur Winblows Knechte !
Mac und Linux User können sich bei dem Thema ja entspannt zurücklehnen und milde lächeln... face-monkey
Ex0r2k16
Ex0r2k16 04.09.2019 um 13:05:20 Uhr
Goto Top
Zitat von @aqui:

Opfer sind ja mal wieder nur Winblows Knechte !
Mac und Linux User können sich bei dem Thema ja entspannt zurücklehnen und milde lächeln... face-monkey

Ich hoffe das war Sarkasmus...
SlainteMhath
SlainteMhath 04.09.2019 um 13:11:53 Uhr
Goto Top
Moin,

Wenn Account gar keine Rechte hat, irgendetwas zu installieren, dann wären doch (für mein Verständnis) auch Viren nicht in der Lage sich zu installieren, oder nehmen die die Brechstange?

Um ein Executable auszuführen braucht's keine adminstrativen Rechte. Die holt sich der Trojaner dann notfalls mit Exploits ... Und zum wipen der persönlichen Bildersammlung braucht er auch keine Admin-Rechte, da der Anwender ja eh Schreibrechte darauf hat i.d.R.

Also: Keine Brechstange nötig.


lg,
Slainte
Lochkartenstanzer
Lochkartenstanzer 04.09.2019 um 15:07:46 Uhr
Goto Top
Zitat von @Garrosh:

Liebe Administratoren,

ich frage mich, inwiefern es doch möglich wäre Daten zu retten nachdem die neue Ransomware "GermanWiper" alle Dateien mit Nullen überschrieben hat.

Ja, Aus dem Backup. restaurieren. face-smile


Oder wäre es denkbar, dass GermanWiper dies nur bewerkstelligen kann, wenn GermanWiper innerhalb eines administrativen Accounts agiert, ergo man einen Account benutzen sollte der keine Admin-Rechte inne hält um so den Schaden auf ein niedrigstes Level zu halten.

Es gibt genügend lokale exploits, die eine privilege escalation erlauben und damit der Angreifer alles mit der Kiste machen kann, was er will. Ob das der Wiper nutzt oder nicht, kann ich Dir allerdings nicht sagen.


Ich konnte GermanWiper noch nicht in Aktion sehen, hat da schon wer Erfahrungen oder den Quellcode gelesen?

Sei froh. das Ding ist leider nicht open source, sonst wäre es ja zu einfach.

Wäre interessant ob man den via externem Gerät unscharf zu stellen, wenn man den Quellcode kennt und wüsste wo man ansetzen kann um ihn unschädlich zu machen.

Du kannst eine debugger anwerfen und den Code analysieren, wenn es Dir spaß macht. Quellcode ist zwar hlfreich aber Du weißt nciht, ob der auch zu dem Code paßt, den Du untergeschoben bekommst.


Interessant wäre auch zu wissen, ob man innerhalb von Mail-Programmen Filter einrichten kann, der automatisch bekannte Absender erkennt und gleich abwehrt ehe unbedarfte User den Anhang downloaden/ öffnen, es wurde ja bekannt, dass GermanWiper auf gleichen Kanälen verteilt wie die übrigen Vertreter der Ransomware-Familie.

Natürlich kann man das. Allerdings wechseln die Schadprogramme die "Absender" öfter wie die Damen aus dem Rotlichbezirk ihre Liebhaber.

Einen schönen Mittwoch face-smile

Nee, heute ist Freitag. Schönen Freitach noch.

lks
Lochkartenstanzer
Lochkartenstanzer 04.09.2019 aktualisiert um 15:21:00 Uhr
Goto Top
Zitat von @Garrosh:

Wenn Account gar keine Rechte hat, irgendetwas zu installieren, dann wären doch (für mein Verständnis) auch Viren nicht in der Lage sich zu installieren, oder nehmen die die Brechstange?

Die müssen nichts installieren. Inzwischen läuft vieles davon einfach nur im RAM ohne installiert zu werden. Die müssen nur jemanden finden, der das Loslaufen des Scripts (meistens Powershell per http geladen) anstößt, z.B. über "Bewerbungen" und derRest passiert alleine. Und wie gesagt, gibt es genügend Methoden sich erhöhte Rechte zu hilen, wenn der Malware-programmierer Wert darauf legt.

lks

PS: Habe mal gerade ein "frisches" xls testweise bei virustotal hochgeladen. Da sind nur 12 von 59 Scannern der Meinung, daß das Ding nichts gutes tut. face-sad
VGem-e
VGem-e 04.09.2019 um 15:38:56 Uhr
Goto Top
Hallo,

deswegen war ja oben schon der sehr wichtige Hinweis, alle nicht zwingend nötigen Dateitypen als Mailanhang konsequent zu sperren!!

Gibt zwar ab und an etwas Unmut bei den Kollegen, aber nach gewisser Einlernphase funktioniert es immer besser.

Gruß
Lochkartenstanzer
Lochkartenstanzer 04.09.2019 aktualisiert um 15:42:42 Uhr
Goto Top
Zitat von @VGem-e:

Hallo,

deswegen war ja oben schon der sehr wichtige Hinweis, alle nicht zwingend nötigen Dateitypen als Mailanhang konsequent zu sperren!!

Das Zeug landet in meiner "Fliegenfalle". face-smile

Man muß ja ab und zu schauen, was da gerade "aktuell" ist.

lks
Penny.Cilin
Penny.Cilin 04.09.2019 um 15:46:49 Uhr
Goto Top
Zitat von @Garrosh:

Nein, Backup einspielen und infizierte PCs neu installieren

Und wenn X keine hat, nie angelegt hat?
Dann sind die Daten nicht so wichtig!!!

Je mehr Rechte umso größer der Schaden bzw. die Ausbreitung.


Wenn Account gar keine Rechte hat, irgendetwas zu installieren, dann wären doch (für mein Verständnis) auch Viren nicht in der Lage sich zu installieren, oder nehmen die die Brechstange?
Hm, anhand Deiner Antwort habe ich das Gefühl Du kennst Dich in der Materie nicht aus.

Gruss Penny.
Garrosh
Garrosh 06.09.2019 aktualisiert um 18:50:14 Uhr
Goto Top
@ Penny -

Hm, anhand Deiner Antwort habe ich das Gefühl Du kennst Dich in der Materie nicht aus.

Öhm - nur oberflächlich. Für zu Hause reichts - weil ich nichts wichtiges auf den Systemen speichere - immer auf externen Speichermedien und die sind getrennt vom Rechner.

An alle anderen - Ich bedanke mich für Eure Antworten und für Eure Zeit. Ja Macs und Linux (habe ich mir sagen lassen), sind auch nicht mehr so IMMUN wie damals (früher war halt alles wohl besser, wa?).

Zu meiner Unwissenheit, ich habe mich daran gewöhnt, alles was Blinkt und Geil machen soll - meistens Mist mit Schadware ist und schon deshalb keine Beachtung findet und gelöscht wird. Meiner Frau habe ich einen Linux-Rechner zusammen gestellt, damit sie nicht erst auf dumme Gedanken kommt, alles anzuklicken was bunt und Lärm macht, und in den Mails die Anhänge von Fischer öffnet - nur weil der Titel ein Schmuddelporn sein soll.
Garrosh
Garrosh 06.09.2019 um 18:51:39 Uhr
Goto Top
Mich würde nur interessieren, wie Leute dieser Sorte Spaß daran haben, die infizierten Rechner kaputt zu machen. Dafür Geld erpressen und behaupten man könne alles wieder ungeschehen machen?

Soweit ich informiert bin, war bislang bei jeder Ransomware eine Formatierung mit Neuinstallation fällig gewesen.
aqui
aqui 06.09.2019 aktualisiert um 18:56:19 Uhr
Goto Top
Steig wie viele auf Mac oder Linux um, dann musst du dir um solchen Kasperkram keine Sorgen und Gedanken mehr machen und kannst nur noch milde lächeln über die gebeutelten Winblows Knechte im Sessel wenn das abends in der Tagesschau kommt ! face-wink
Garrosh
Garrosh 06.09.2019 aktualisiert um 19:00:58 Uhr
Goto Top
Hab ja 2 MacBooks älteren Baujahrs mit EL Capitan. Aber weisste, manche Games laufen nur unter Windows (SCUM z.B.).

Only Mac macht irgendwo auch nicht soviel Spaß face-smile

Edit: Was meint ihr: Wenn ich nen Pi mit Pi-Hole vor den Router einbinde, der sollte doch fast jeden Mist ins Nirwana umlenken können oder nicht?
Lochkartenstanzer
Lochkartenstanzer 06.09.2019 aktualisiert um 23:28:10 Uhr
Goto Top
Zitat von @Garrosh:

Soweit ich informiert bin, war bislang bei jeder Ransomware eine Formatierung mit Neuinstallation fällig gewesen.

Es gab Fälle, in denen die Lösegeldzahlung abgeblich geholfen hst. face-smile

lks
Garrosh
Garrosh 07.09.2019 um 11:09:23 Uhr
Goto Top
Na dann waren es vermehrt naive Menschen die aus Panik gezahlt haben, oder Senioren die nicht wussten was das alles zu bedeuten hatte. Aber ich unterstelle einem logisch denkenden Menschen, dass dieser erkennen kann - das solche Erpressungen gar nichts bewirken, außer dass der Autor der Ransomware gieriger wird.

Und wenn alles in BTC bezahlt werden soll, sollte man hellhörig werden. face-smile
Lochkartenstanzer
Lochkartenstanzer 07.09.2019 aktualisiert um 11:16:08 Uhr
Goto Top
Zitat von @Garrosh:

Na dann waren es vermehrt naive Menschen die aus Panik gezahlt haben, oder Senioren die nicht wussten was das alles zu bedeuten hatte. Aber ich unterstelle einem logisch denkenden Menschen, dass dieser erkennen kann - das solche Erpressungen gar nichts bewirken, außer dass der Autor der Ransomware gieriger wird.

Und wenn alles in BTC bezahlt werden soll, sollte man hellhörig werden. face-smile


Wie ich schon sagte: Das Lösegeld wurde schon mehrfach entrichtet, und zwar von "vernünftig denkenden Menschen".


lks