Ransomware: Alles was schief gehen konnte
Der weltweite Ransomware-Angriff auf Firmen, Organisationen und sogar Krankenhäuser ist das Ergebnis einer Welt, die leider immer noch denkt, dass Datensicherheit egal ist. Dieser Angriff wird den Menschen weh tun. Bin gespannt ob man daraus lernt ..
http://www.zeit.de/digital/internet/2017-05/ransomware-wannacry-weltwei ...
http://www.zeit.de/digital/internet/2017-05/ransomware-wannacry-weltwei ...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 337664
Url: https://administrator.de/contentid/337664
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
25 Kommentare
Neuester Kommentar
Nun die ITler werden Abmahnung,Lohnkürzung ect erhalten da die ja ihren Job nicht gemacht haben und es ja ein Schuldigen gebraucht wird....
Ob Aktuelle Backups vorhanden sind sowie ob diese auch zugänglich sind oder auch verschlüsselt wurden is auch noch so eine Sache...
Zumal ja in den Bereich immer gerne gespart wird und es ja bislang leider auch denen gezeigt hat das es bislang unsinnig war dort Geld auszugeben ;)
Aber wir haben doch eine Cyberpolizei und Cyberabwehr beim Bund da kann uns doch nichts passieren *g*
Hab da noch was bekommen...
Ob Aktuelle Backups vorhanden sind sowie ob diese auch zugänglich sind oder auch verschlüsselt wurden is auch noch so eine Sache...
Zumal ja in den Bereich immer gerne gespart wird und es ja bislang leider auch denen gezeigt hat das es bislang unsinnig war dort Geld auszugeben ;)
Aber wir haben doch eine Cyberpolizei und Cyberabwehr beim Bund da kann uns doch nichts passieren *g*
Hab da noch was bekommen...
Moinsens,
selbst bei mir sind am Mittwoch/Donnerstag auffällig viele pishing mails eingegangen (muss man selber manuell wegwerfen), der Quarantäneordner meines scanners hat die Seitenwände des Servers von innen ausgebeult ... lange geht das IMHO nicht mehr gut.
Aber keine-ahnung, an welchen Schrauben ich noch drehen könnte (ausser Strippe vom WAN-router zu ziehen).
LG, Thomas
selbst bei mir sind am Mittwoch/Donnerstag auffällig viele pishing mails eingegangen (muss man selber manuell wegwerfen), der Quarantäneordner meines scanners hat die Seitenwände des Servers von innen ausgebeult ... lange geht das IMHO nicht mehr gut.
Aber keine-ahnung, an welchen Schrauben ich noch drehen könnte (ausser Strippe vom WAN-router zu ziehen).
LG, Thomas
Nun wir selbst hatten am Donnerstag/Freitag eine Spamwelle aber die ist wieder in das übliche Grundrauschen gesunken.
Es ist nur eine durchgekommen ;)
Aber da gab es schon andere Zeiten wo Wochenlang ein erhöhte Spamzustellung versucht wurde.
Jedoch solange die Nutzer nicht genug aufpassen ist dies immer noch die Größte Schwachstelle worüber die reinkommen und Aktiviert werden....
Vor Jahren wo es ja per Flashwerbung Infizierungen gab, hab ich selbst dadurch 2x ein Cryptolocker eingefangen....
Jedoch konnte der nur eine Datei beim Starten ausführen und den Desktop Sperren und nichts Verschlüsseln da die Lokale Firewall die ich noch hab die Ausführung und Nachladen der Daten Verhindert hat da diese gefragt hab ob das neue Unbekannte Programm aufs Internet zugreifen soll... Glück Gehabt *g*
Vor etlicher Zeit war ja schon damals die Warnung in den großen Medien wegen den Cryptolockern und wie Wichtig Backups sind...
Leider hat dies viele Leute bis Heute nicht erreicht :/
Es ist nur eine durchgekommen ;)
Aber da gab es schon andere Zeiten wo Wochenlang ein erhöhte Spamzustellung versucht wurde.
Jedoch solange die Nutzer nicht genug aufpassen ist dies immer noch die Größte Schwachstelle worüber die reinkommen und Aktiviert werden....
Vor Jahren wo es ja per Flashwerbung Infizierungen gab, hab ich selbst dadurch 2x ein Cryptolocker eingefangen....
Jedoch konnte der nur eine Datei beim Starten ausführen und den Desktop Sperren und nichts Verschlüsseln da die Lokale Firewall die ich noch hab die Ausführung und Nachladen der Daten Verhindert hat da diese gefragt hab ob das neue Unbekannte Programm aufs Internet zugreifen soll... Glück Gehabt *g*
Vor etlicher Zeit war ja schon damals die Warnung in den großen Medien wegen den Cryptolockern und wie Wichtig Backups sind...
Leider hat dies viele Leute bis Heute nicht erreicht :/
Das absolut genialste daran ist, dass jetzt die Virenscanner, die die Ransomware schon im Vorfeld nicht erkannt haben, jetzt auch noch die Domain blockieren über die der Trojaner abgeschaltet werden könnte...
https://twitter.com/GossiTheDog/status/863185030595710977/photo/1
https://twitter.com/GossiTheDog/status/863185030595710977/photo/1
Moin.
Nach dem Patch ist vor dem Patch. Zu jeder Zeit lungern in den Systemen tausende von Fehlern rum, die Insider nicht nur ausnutzen könnten, sondern laufend ausnutzen und keiner merkt es. Aus jeder Firma entweicht täglich soviel verschlüsselter Traffic, wie sollen die Firmen mitbekommen, was davon erwünscht ist?
Daten, die Deutschland selbst für schützenswert hält (geheim zu haltendes Material, VS-vertraulich, VS-geheim), darf nicht auf vernetzten Rechnern bearbeitet werden - das gilt schon seit Jahrzehnten.
das Ergebnis einer Welt, die leider immer noch denkt, dass Datensicherheit egal ist
Denkt die Welt so? Vielmehr ist das Problem, dass die Welt Ihre Daten an komplexe Computersysteme übergibt, die sie nicht überblickt. Die Datenleitungen sind so dick, dass das gesammelte Wissen von Großkonzernen in wenigen Tagen seinen Besitzer wechseln kann. Diese Risiken gehen die Firmen wissend ein und das ist das Problem - nicht das irgendjemand eine bekannte Lücke nicht rechtzeitig patcht.Nach dem Patch ist vor dem Patch. Zu jeder Zeit lungern in den Systemen tausende von Fehlern rum, die Insider nicht nur ausnutzen könnten, sondern laufend ausnutzen und keiner merkt es. Aus jeder Firma entweicht täglich soviel verschlüsselter Traffic, wie sollen die Firmen mitbekommen, was davon erwünscht ist?
Daten, die Deutschland selbst für schützenswert hält (geheim zu haltendes Material, VS-vertraulich, VS-geheim), darf nicht auf vernetzten Rechnern bearbeitet werden - das gilt schon seit Jahrzehnten.
Hallo,
Die Frage ist muss jeder Server wirklich am einer Internetleitung hängen? Wen man die wichtigen Daten an extra Termninals bearbeiten würde die nur Intern vernetzt sind und wo USB Sticks blockiert werden hätte man ein Sicheres System.
Und selbst auf VLAN,s sollte man in einen sicheren System verzichten weil ein Switch der unbeaufsichtigt ist kann auch schnell mit entsprechenden Knowhow umkonfiguriert werden.
So, jetzt mal dazu. Klar muss man da schon sehr Paranoid sein aber selbst da gibt's lücken. Die größte ist der Mensch, und ah ja nicht zu vergessen Die Serverräume selber Im zweifel klaut jemand ne Festplatte und bei einen RAID fällt das nicht sofort auf. Wen man dann schön noch ne lehre rein haut dass wieder zurück gespiegelt werden kann.
In der Serie Mr Robot haben die in Steal Mounten ein Rasbperri Pi heimlich installiert um sich so Zugriff auf ein Hochgesichertes Netzwerk zu verschaffen. Und da stellt sich die Frage wieso so was dann eigentlich Internet braucht. Aber vlt (ist nur spekulation) hat er einfach 2 VLAN,s über NAT miteinander Verbunden und dann nach draußen getunnelt. ICMP und DNS tunnel fallen ja nicht sofort auf.
Gruß an die IT-Welt,
J Herbrich
Die Frage ist muss jeder Server wirklich am einer Internetleitung hängen? Wen man die wichtigen Daten an extra Termninals bearbeiten würde die nur Intern vernetzt sind und wo USB Sticks blockiert werden hätte man ein Sicheres System.
Und selbst auf VLAN,s sollte man in einen sicheren System verzichten weil ein Switch der unbeaufsichtigt ist kann auch schnell mit entsprechenden Knowhow umkonfiguriert werden.
So, jetzt mal dazu. Klar muss man da schon sehr Paranoid sein aber selbst da gibt's lücken. Die größte ist der Mensch, und ah ja nicht zu vergessen Die Serverräume selber Im zweifel klaut jemand ne Festplatte und bei einen RAID fällt das nicht sofort auf. Wen man dann schön noch ne lehre rein haut dass wieder zurück gespiegelt werden kann.
In der Serie Mr Robot haben die in Steal Mounten ein Rasbperri Pi heimlich installiert um sich so Zugriff auf ein Hochgesichertes Netzwerk zu verschaffen. Und da stellt sich die Frage wieso so was dann eigentlich Internet braucht. Aber vlt (ist nur spekulation) hat er einfach 2 VLAN,s über NAT miteinander Verbunden und dann nach draußen getunnelt. ICMP und DNS tunnel fallen ja nicht sofort auf.
Gruß an die IT-Welt,
J Herbrich
Kenne auch genug Firmen da werden die Serverräume Abgesichert ohne Ende....
Aber der Backupserverraum ist einfach Zugänglich..
Oder Racks wo die Switche alle sind schön Abgeschlossen aber hinten ist die Rückwand Demontiert....
Bei einer hab ich mal ein Zettel gefunden mit den Logindaten für die Switche und Domäne Logins für die Wartungsleute...
Manches liegt halt so wo mit Daten...
Aber der Backupserverraum ist einfach Zugänglich..
Oder Racks wo die Switche alle sind schön Abgeschlossen aber hinten ist die Rückwand Demontiert....
Bei einer hab ich mal ein Zettel gefunden mit den Logindaten für die Switche und Domäne Logins für die Wartungsleute...
Manches liegt halt so wo mit Daten...
Hallo,
Ja, man kann ganz unaufällig mit der Handykamera abfotografieren und wen man Pech hat dann sind diese Logins ja sogar auch noch für Remote Access ala VPN oder sonst was berechtigt. Und mal in ernst. Da kann man den Switch gleich ohne Passwort lassen wen man das Passwort neben den Switch klebt. Ist ja genau so als ob man einfach eine Sicherheitstür abschlißt (ist nicht zu knacken) aber der Schlüssel hängt genau daneben :D
Gruß an die IT-Welt,
J Herbrich
Ja, man kann ganz unaufällig mit der Handykamera abfotografieren und wen man Pech hat dann sind diese Logins ja sogar auch noch für Remote Access ala VPN oder sonst was berechtigt. Und mal in ernst. Da kann man den Switch gleich ohne Passwort lassen wen man das Passwort neben den Switch klebt. Ist ja genau so als ob man einfach eine Sicherheitstür abschlißt (ist nicht zu knacken) aber der Schlüssel hängt genau daneben :D
Gruß an die IT-Welt,
J Herbrich
Hallo,
wir direkt sind verschont geblieben...
Aber 2 unserer Kunden hat es erwischt..... ein paar Industrie Rechner mit XP laufen noch....
Und der Kunde wollte das Geld für ein Update nicht ausgeben...
Und das letzte Backup ist schon ein paar JAHRE alt....
Nun, dann halt 2 Tage Produktionsausfall ...
brammer
wir direkt sind verschont geblieben...
Aber 2 unserer Kunden hat es erwischt..... ein paar Industrie Rechner mit XP laufen noch....
Und der Kunde wollte das Geld für ein Update nicht ausgeben...
Und das letzte Backup ist schon ein paar JAHRE alt....
Nun, dann halt 2 Tage Produktionsausfall ...
brammer
Was hat der dadurch gespart ? *g*
Nun es laufen noch sehr viele PCs mit XP W2K Dos...
Besonders Steuerungsrechner für Anlagen/Maschinen sind meist ab XP nicht mehr nutzbar wo die ganze Anlage erneuert werden müsste was vieles Kostet und auch nicht für jeden Betrieb Wirtschaftlich...
Aber Backups/Images sind selten Aktuell und meist gibt es eh noch kaum Infos über den PCs was dort Eingestellt wurde sowie die Installationsmedien sind Verlegt worden....
Nun es laufen noch sehr viele PCs mit XP W2K Dos...
Besonders Steuerungsrechner für Anlagen/Maschinen sind meist ab XP nicht mehr nutzbar wo die ganze Anlage erneuert werden müsste was vieles Kostet und auch nicht für jeden Betrieb Wirtschaftlich...
Aber Backups/Images sind selten Aktuell und meist gibt es eh noch kaum Infos über den PCs was dort Eingestellt wurde sowie die Installationsmedien sind Verlegt worden....
Es gibt's Tatsächlich noch, Backup für Ideoten :D
Ein Freund von mir macht seine Backups über ein RAID System wo er einfach eine Platte raus zieht und diese dann zurück legt als Backup. Nun ja nicht sehr Produktiv wen gerade Write Vorgänge liefen und vor allen dingen sehr unsicher ob die platte wieder lesbar ist. Und nicht zu vergessen dass der RAID Controller ein Rebuild nach den Einstecken fahren kann was dass Backup zurnichte macht. Ich meine toll wen man ein Backup hat blöd nur wen der Raidcontroller es mit den verschlüsselten Datein überschreibt.
Kann man eig so ein Cryptolooker Reverseengeeren um zu schauen wie der Key generiert wird der zum Verschlüsseln benutzt wird?
Gruß an die IT-Welt,
J Herbrich
Ein Freund von mir macht seine Backups über ein RAID System wo er einfach eine Platte raus zieht und diese dann zurück legt als Backup. Nun ja nicht sehr Produktiv wen gerade Write Vorgänge liefen und vor allen dingen sehr unsicher ob die platte wieder lesbar ist. Und nicht zu vergessen dass der RAID Controller ein Rebuild nach den Einstecken fahren kann was dass Backup zurnichte macht. Ich meine toll wen man ein Backup hat blöd nur wen der Raidcontroller es mit den verschlüsselten Datein überschreibt.
Kann man eig so ein Cryptolooker Reverseengeeren um zu schauen wie der Key generiert wird der zum Verschlüsseln benutzt wird?
Gruß an die IT-Welt,
J Herbrich
Zitat von @Herbrich19:
Hallo,
Was passiert eigentlich wen man alle zugelassenen Programme über Softwareeinschränkungen definiert. Dann sollten doch weitere Programme blockiert werden?
Hallo,
Was passiert eigentlich wen man alle zugelassenen Programme über Softwareeinschränkungen definiert. Dann sollten doch weitere Programme blockiert werden?
ja, daß ist auch so. Das wäre ein sehr wirksamer Schutz vor Ransomware und anderen Schädlingen, wenn Quersummentechniken noch integriert werden. Nennt sich Whitelisting.
Und kann man via GPO die ausführung von Makros komplett verbieten?
Ja.
Hallo,
Ja, damit hätte man das Problem weitesgehend ja auch gelöst weil so nur die benötigten Programme laufen dürfen und Makros einfach verboten werden. Aber was ist wen eine Software z.B. Infizierte Datei Kompromitiert wird und es zur Code Ausführung inerhalb eines erlaubten Prozesses kommt (Rest Risiko)?
Gruß an die IT-Welt,
J Herbrich
Ja, damit hätte man das Problem weitesgehend ja auch gelöst weil so nur die benötigten Programme laufen dürfen und Makros einfach verboten werden. Aber was ist wen eine Software z.B. Infizierte Datei Kompromitiert wird und es zur Code Ausführung inerhalb eines erlaubten Prozesses kommt (Rest Risiko)?
Gruß an die IT-Welt,
J Herbrich
Peinlichkeiten von Sophos: https://www.heise.de/newsticker/meldung/l-f-Sophos-aendert-nach-WannaCry ...
Cool auch die DB Hinweisschilder:
https://www.heise.de/newsticker/meldung/WannaCry-Was-wir-bisher-ueber-di ...
Fazit: Auf Linux oder Mac OS umsatteln und sich bei der sicher kommenden nächsten Meldung einen feixen...
Cool auch die DB Hinweisschilder:
https://www.heise.de/newsticker/meldung/WannaCry-Was-wir-bisher-ueber-di ...
Fazit: Auf Linux oder Mac OS umsatteln und sich bei der sicher kommenden nächsten Meldung einen feixen...
Zitat von @BassFishFox:
Nicht nur die liefern "bullshit".
In meinem SpamOrdner war gestern Werbung fuer den "EaseUS Data Recovery Wizard" die suggerieren wollte, bereits vercryptete Dateien wiederherstellen zu koennen und deshalb unbedingt gekauft werden wollte.
BFF
Nicht nur die liefern "bullshit".
In meinem SpamOrdner war gestern Werbung fuer den "EaseUS Data Recovery Wizard" die suggerieren wollte, bereits vercryptete Dateien wiederherstellen zu koennen und deshalb unbedingt gekauft werden wollte.
BFF
Denn hol es dir und mach ein Ausführlichen Test dazu ;)
Kann ja beim Chef als Unbedingtes Sofort nötiges Programm zur Datensicherheit gegen Cryproangriffe verrechnet werden *g*
Denn hol es dir und mach ein Ausführlichen Test dazu ;)
Niemals nicht und nimmer geb ich fuer so'n Quatsch Geld aus.
Kann ja beim Chef als Unbedingtes Sofort nötiges Programm zur Datensicherheit gegen Cryproangriffe verrechnet werden *g*
Null Chance. Der liest halt nicht die Computerbild oder PC-Welt. *g*
BFF
Hallo,
Nur weil's im Spam Ordner ist muss das Produkt nicht falsch sein aber ich bezweifele das es außer Broutforce nicht wirklich viel kann. Ich meine die Cryptos entwickeln sich leider auch weiter. Irgendjemand hatte ja mal diese (nicht so) tolle Geschäftsidee leute mit ihren eigenen Daten zu erpressen und scheinbar lohnt es sich auch, wen niemand Zahlen würde wirde auch kein penner auf die Idee kommen sowas zu Programmieren.
Gruß an die IT-Welt,
J Herbrich
Nur weil's im Spam Ordner ist muss das Produkt nicht falsch sein aber ich bezweifele das es außer Broutforce nicht wirklich viel kann. Ich meine die Cryptos entwickeln sich leider auch weiter. Irgendjemand hatte ja mal diese (nicht so) tolle Geschäftsidee leute mit ihren eigenen Daten zu erpressen und scheinbar lohnt es sich auch, wen niemand Zahlen würde wirde auch kein penner auf die Idee kommen sowas zu Programmieren.
Gruß an die IT-Welt,
J Herbrich
Nun die CPUs in jeden Rechner können dank AES Unterstüzung ja um ein vielfaches schneller Crypten als die Platten als Durchsatz können.
2-3x Hintereinander mit anderen PWDs Crypten und du hast sehr Lange Zeit bis du mal das 1te PWD raus hast.....
Aber wenn Ausreichend Geld in Backupstruktur gesteckt würde, hätten viele nicht mehr das Problem und nur eine kurze Zeitspanne ggfs die neu gemacht werden müsste...
2-3x Hintereinander mit anderen PWDs Crypten und du hast sehr Lange Zeit bis du mal das 1te PWD raus hast.....
Aber wenn Ausreichend Geld in Backupstruktur gesteckt würde, hätten viele nicht mehr das Problem und nur eine kurze Zeitspanne ggfs die neu gemacht werden müsste...
Ich vertrete die Meinung das mit Softwareeinschränkungen ein Militärisches Sicherheits Nivou erreicht werden kann. Wen man zu dem noch die Macros deaktiviert dann sollten die meisten Systeme auch sicher sein.
Habe mal gehört im UKE (in Hamburg) installieren sich einige Ärzte eigene Programme auf den Rechnern und surfen mit Adminstrator rechten auf den eigenen Maschinen. Na Prost mahlzeit :D :O
Gruß an die IT-Welt,
J Herbrich
Habe mal gehört im UKE (in Hamburg) installieren sich einige Ärzte eigene Programme auf den Rechnern und surfen mit Adminstrator rechten auf den eigenen Maschinen. Na Prost mahlzeit :D :O
Gruß an die IT-Welt,
J Herbrich
Zitat von @Herbrich19:
Hallo,
Ja, damit hätte man das Problem weitesgehend ja auch gelöst weil so nur die benötigten Programme laufen dürfen und Makros einfach verboten werden. Aber was ist wen eine Software z.B. Infizierte Datei Kompromitiert wird
Hallo,
Ja, damit hätte man das Problem weitesgehend ja auch gelöst weil so nur die benötigten Programme laufen dürfen und Makros einfach verboten werden. Aber was ist wen eine Software z.B. Infizierte Datei Kompromitiert wird
eine "gescheite" Whitelistinglösung arbeitet mit Hashes. Würde eine Datei verändert werden, würde sie nicht mehr starten können.