Erste Sichtung: Erpressungstrojaner Ransom32 aufgrund JavaScript noch bedrohlicher

Mitglied: Lochkartenstanzer

Lochkartenstanzer (Level 5) - Jetzt verbinden

04.01.2016, aktualisiert 05.01.2016, 2524 Aufrufe, 12 Kommentare

Noch ein Grund mehr, warum javascript böse ist.

Meine Empfehlung: Mit einer Whitelist für Webseiten arbeiten, die Javascript nutzen wollen.

lks

PS. Ich blocke Javascript generell udn gebe es nur für eingie ausgesuchte Seiten frei. Hilft auch gegen unerwünschte Werbung. :-) face-smile
Mitglied: 122990
122990 (Level 2)
04.01.2016, aktualisiert um 16:10 Uhr
Naja, hier muss der Anwender immer noch eine Exe ausführen um sich zu infizieren, wie immer ist der Anwender die größte Schwachstelle im System. 22Mb ist ja auch nicht gerade wenig...und dann noch mehrere exes und vbs und dlls in dem Archiv, wer da drauf reinfällt dem ist echt nicht mehr zu helfen.
Bitte warten ..
Mitglied: Lochkartenstanzer
04.01.2016 um 16:10 Uhr
Zitat von @122990:

Naja, hier muss der Anwender immer noch eine Exe ausführen um sich zu infizieren, wie immer ist der Anwender die größte Schwachstelle im System. 22Mb ist ja auch nicht gerade wenig...und dann noch mehrere exes und vbs und dlls in dem Archiv, wer da drauf reinfällt dem ist echt nicht mehr zu helfen.

Ja, aber bei den heutigen Downloadgeschwindigkeiten fällt es vielen nicht auf und es sind trotzdem nur zwei oder drei klicks. :-) face-smile

lks
Bitte warten ..
Mitglied: kaiand1
04.01.2016 um 19:11 Uhr
Dein Link gibt nen 404 aus
http://www.heise.de/newsticker/meldung/Erste-Sichtung-Erpressungstrojan ...
Ist wohl der neue Link mit Update dazu...

Wird sicherlich eh viele Treffen und Backup ist dabei zu 99% auch ein Fremdwort dann...
Bitte warten ..
Mitglied: DerWoWusste
04.01.2016, aktualisiert um 19:54 Uhr
Moin zusammen.

Noch ein Grund mehr, warum javascript böse ist.
Und auch noch ein Grund mehr, dass die Opfer endlich aufwachen aus den süßen Antivirus-Träumereien. Nichts an diesen Viren ist grundsätzlich neu, es schmerzt nur endlich mal sichtbar. Andere Viren sagen Dir nicht Bescheid, dass sie deine Kennwörter klauen, Daten indizieren und wegschicken, Botnetze bilden usw. - die bleiben unbemerkt.
Ich hoffe, dass langsam mal das Kapieren einsetzt, dass Dinge wie kafu.exe (keine Autostarts für User, http://www.heise.de/download/kafu.exe-1130682.html ), welche die CT erstmalig schon vor ca. 11 Jahren bereitgestellt hat und/oder software restriction policies, die es auch seit nunmehr bald 15 Jahren gibt, tatsächlich mal benutzt werden sollten.
Ebenso gibt es da noch integrity levels, die bestimmten Anwendungen(!) (Browsern und deren Kindprozessen, oder Mailprogrammen) verwehren könnten, auf definierte Ordner zuzugreifen oder gar zu schreiben ("no write up") - auch ein alter Hut, schon seit fast 10 Jahren vorhanden. Nutzt kein Schwein, weil keiner die Sache ernst genug nahm - das könnte sich ändern.
Bitte warten ..
Mitglied: maretz
04.01.2016 um 22:31 Uhr
Moin,
du glaubst auch an das gute im Menschen, oder?

Ganz ehrlich - ich mache mir KEINE Sorgen das Leute mit ein wenig Kenntnissen sowas öffnen. Management, Sekretariat oder sonstige Angestellte sind da schon eher offen für. Und grade Management ("ich brauche generell zugriff auf alles - auch wenn ich es mir nie ansehen werde") ist natürlich dann immer gut dafür das plötzlich auch die Dateien auf der Freigabe verschlüsselt wurden.

Einfache Schutzfunktion: Jeder Anwender bekommt nur minimal benötigte Rechte - schon kann der nichts groß zerlegen. Ist ja ein Grundprinzip bei Linux - da kann man dann sein Home-Verzeichnis zerlegen, dumm aber was solls, die anderen User auf dem System wären halt nich betroffen. Auch da wird aber immer mehr eh mit Root o. Root-berechtigten Usern gearbeitet. Gleichzeitig kenne ich nur wenig Admins die den Ar... in der Hose haben auch dem Vorgesetzten / Chef mal zu sagen das der/die keine Berechtigung für irgendwelche Ordner bekommen, das die eben nicht Admin-Rechte auf dem eigenen Rechner haben müssen usw.

Dazu kommt das heute Arbeitsplätze immer mehr "mobil" werden. Es macht oft keinen Unterschied ob ich im Office sitze oder irgendwo in Hawaii am Strand liege, solang ich Internet und nen Telefon habe ist das für meinen Job idR. relativ egal (zumindest bei 70% meiner Tätigkeit, die restlichen 30 erfordern tatsächlich persönliche Anwesenheit vor Ort). Da kann es eine IT kaum noch leisten jeden Rechner "dicht" zu machen. Klar kann die einfach alles sperren. Mitarbeiter die mehr im Hotel als zuhause sind werden sich bedanken wenn die nicht mal nen Spiel aufm Laptop starten können weil die IT-Jungs wieder alles blocken müssen. Auch da ist es ein ziemlicher Spagat zwischen "Sicherheit" und "Mitarbeiterzufriedenheit". Es bringt ja auch nix wenn das Firmennetz zwar super sicher ist aber die Mitarbeiter weg sind bzw. unzufrieden sind (und das merken Kunden auch!).

Von daher: ich denke das sich rein gar nix ändert. Auch diesmal werden wieder div. Leute drauf reinfallen und fröhlich drauf los klicken. Man kann nur hoffen das es (sowohl privat als auch gewerblich) da Backups gibt. Denn ganz ehrlich: Wer meint er möchte meine Daten verschlüsseln - feel free! Mit einem guten Backup sieht man sowas genauso wie nen Diebstahl / Defekt des Geräte recht gelassen entgegen.
Bitte warten ..
Mitglied: DerWoWusste
04.01.2016 um 22:34 Uhr
Hi maretz.

Problem bleibt: Laufwerke, auf denen gemeinsam gearbeitet wird - was machst du da, da helfen geringe Rechte nicht, sobald Schreibrechte da sind, hast Du verloren.
du glaubst auch an das gute im Menschen, oder?
Wie jetzt? Weil ich Maßnahmen empfehle, die jeder Admin konfigurieren könnte?
Bitte warten ..
Der Kommentar von 122573 wurde vom Moderator Frank am 05.01.16 ausgeblendet!
Mitglied: Lochkartenstanzer
05.01.2016 um 02:23 Uhr
Plonk funktionirt leider ncht.
Bitte warten ..
Mitglied: maretz
05.01.2016 um 06:50 Uhr
Moin DWW,

das Problem sind eben leider die Menschen davor. Ich befürchte das es bei solchen Tipps ein wenig wie beim Kind mit der Herdplatte ist (das gilt auch für das Backup). Du kannst 20x sagen - mach nich, das is eine blöde Idee, solang es nicht einmal weh tut wirds irgendwann probiert.

Ausserdem glaube ich das die Admins im Normalfall nicht das Problem sind - das Problem sitzt dann ne Stufe drüber und sagt "aber ich muss jetzt überall alles dürfen" und hat weisungsbefugnisse...

Schönen Gruß,

Mike
Bitte warten ..
Mitglied: DerWoWusste
05.01.2016, aktualisiert um 09:20 Uhr
Moin again.

das Problem sind eben leider die Menschen davor.
Das Problem sind Admins (ich versuche hier ja nur über administrierte Umgebungen zu sprechen), die sich nicht rantrauen, die technischen Möglichkeiten zu nutzen, weil sie Angst haben, die Schrauben zu fest anzuziehen, so dass keiner mehr arbeiten kann. Du bist Admin - welche dieser 3 genannten Ansätze kafu, SRP/Applocker und integrity levels hast Du selbst benutzt? Welche hast Du voll verstanden?
Viele Admins werden antworten: weder noch, keinen Einzigen benutzen sie.
Und richtig benutzt verhindern diese jedwede Art von Malware, darum erwähne ich dass, da brauchst Du nichts von heißen Herdplatten erzählen.
Der administrative Aufwand erhöht sich - aber bei welcher Maßnahme, die sich letzten Endes auszahlen soll, tut er das nicht? Die Hauptsache bleibt die Fähigkeit zu arbeiten - und die beeinflusst das nicht, man muss es nur richtig machen, dafür sind Admins da.
Bitte warten ..
Mitglied: Lochkartenstanzer
05.01.2016 um 11:22 Uhr
Zitat von @DerWoWusste:

Du bist Admin - welche dieser 3 genannten Ansätze kafu, SRP/Applocker und integrity levels hast Du selbst benutzt? Welche hast Du voll verstanden?
Viele Admins werden antworten: weder noch, keinen Einzigen benutzen sie.

Du hast Recht, daß viele Admins diese Konzepte nichteinmal kennen. Aber selbst die, die sie kennen und wissen, was man tun kann, sind an die Gegebenheiten Ihres Alltags gebunden.

Diese Tools zu benutzen bedeutet Aufwand, und Konforteinbußen, den man sogar ziemlich genau auf Heller und Pfennig beziffern kann, weil dafür auch tools existieren (Mehraufwand der Mitarbeiter, der sich in Lohnkosten und Produktivitätsverlust niederschlägt).

Dem gegenüber steht ein Sicherheitsgewinn, der nur durch Wahrscheinlichkeiten und einen potentiellen Verlust beziffert werden kann. Und hier begintn die Psychologie. das Geld das ich jetzt ausgeben muß, "ist mehr wert", als alle möglichen Verluste, die ich villiecht haben könnte. Das ist sowohl beim Backup, als auch bei den Schutzmaßnahmen so. Das ist so ähnlich wie mit dem Lotto und Auto. Obwohl die Wahrscheinlichkeit höher ist, durch Autofahren umzukommen, als im Lotto zu Gewinnen, verzichtet kaum einer aufs Autofahren oder aufs Lottospielen. :-) face-smile

Im endeffekt ist es einfach eine Risiko- und Wirtschaftlichkeitsrechnung: Wenn mich die Vorsorge (gefühlt) unverhältnismäßig mehr kostet als ein potentieller Schaden, lasse ich es. Und im Zeitalter der Quartalszahlen und Shareholder Values ist eindeutig das jetzt ausgegebene Geld deutlich wertvoller als in Zukunft das vielfache davon zu verlieren. :-( face-sad

Trotzdem: Nicht entmnutigen lassen und weiter versuchen, den Leuten Verständnis für Notwendigkeiten einzubläuen. Spätestens dann, wenn die Ransomware einige Millarden gekostet hat, werden es die Konzepte schaffen.

lks

PS: Die Konzepte gab es übrigens schon in den 90ern. Allerdings eher im akademischen Bereich.
Bitte warten ..
Mitglied: DerWoWusste
05.01.2016 um 11:32 Uhr
LKS, das sehe ich ja auch so.
Dass ich hier in den Thread eingestiegen bin, hatte den Grund, dass es ein weiterer Thread über die ach so pösen Ransomwares ist, der , wenn man dem Link folgt (korrigier Deinen mal bitte auf http://www.heise.de/newsticker/meldung/Erste-Sichtung-Erpressungstrojan ... ), noch ein Interview mit einem Möchtegernexperten zeigt, das vom Niveau sowas von Nullkommagarnichts ist, dass es mir schaudert.

Warum ergötzen sich alle an dieser Ransomware? Weil die Techies gerne den Schlauen raushängen lassen und Ihrem Umfeld diese Schauergeschichten erzählen. Das ist auch viel schöner, als endlich mal die seit Jahr und Tag vorhandenen Mechanismen dagegen zu nutzen.
Es ist eben nicht "noch bedrohlicher", sondern eine ganz stinknormale Malware. Einfach dran arbeiten, dass nur gewhitelisteter Code startet und gut ist. Einfach mal überlegen, dass das Ganze ohne direkten Internetzugang gar nicht laufen kann, und diesen wegnehmen und durch einen vernünftig gekapselten ersetzen. Ja, "einfach" ist das nicht für jederman, aber gerade daran muss man arbeiten.
Darüber musst Du Threads und Links machen, nicht zum 17. Mal über die ach so gefährliche Ransomware xy ;-) face-wink
Bitte warten ..
Mitglied: Lochkartenstanzer
05.01.2016, aktualisiert um 14:04 Uhr
Zitat von @DerWoWusste:

Darüber musst Du Threads und Links machen, nicht zum 17. Mal über die ach so gefährliche Ransomware xy ;-) face-wink

Der Link ging zwar auf einen Beircht zur Ransonware, aber meine Intention war eher darauf gerichtet, darauf aufmeksam zu machen, daß fremden Code auf eigenen Rechnern auszuführen keine gute Idee ist. Und Javascript ist nichts anderes als fremder Code von irgendeinem Server, der lokal ausgeführt wird. Genaugenommen müßte man das generell unterbinden. :-) face-smile

lks
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Wie sieht eine korrekte IT-Organisation aus?
imebroVor 1 TagFrageOff Topic20 Kommentare

Hallo, da unser IT-Verantwortlicher ja vor einem Jahr gehen musste, stelle ich mir die Frage, wie denn eine korrekte IT-Organisation überhaupt aussehen muss. Zur ...

Server-Hardware
Mini-PC oder Server für Dauerbetrieb
Surfer12Vor 1 TagFrageServer-Hardware20 Kommentare

Hallo zusammen, wir projektieren gerade eine neue Zutrittslösung für ein kleines Hotel mit ca. 20 Zimmern. Die Gäste sollen in Zukunft einen SelfCheckIn machen ...

LAN, WAN, Wireless
Cat 7 Patchkabel mit nur 11MBits im Download
gelöst RickHHVor 1 TagFrageLAN, WAN, Wireless7 Kommentare

Moin zusammen, ich habe mir soeben ein paar Patchkabel (aus einem Cat 7 Kabel) fertig gemacht. Die Belegung ist: 1 weiß/grün 2 grün 3 weiß/orange 4 blau 5 weiß/blau ...

Firewall
Windows Defender dauerhaft deaktivieren
Frankie222Vor 1 TagFrageFirewall9 Kommentare

Hallo, ich wollte mal fragen ob jemand weiss wie man bei Windows 10 Home den kompletten Schutz deaktiviert. Den Defender und alles! Ich habe ...

Notebook & Zubehör
Funktionieren keine USB-DVD-RW an Surfaces?
StefanKittelVor 1 TagFrageNotebook & Zubehör14 Kommentare

Hallo, ein Kunde von mir hat ein Surface Pro. Wenn er ein USB-DVD-RW-Laufwerk an die Dockingstation anschliesst funktioniert es nicht. - Es bekommt Strom ...

Batch & Shell
Umwandeln einer Dezimalzahl in eine Binärzahl
BadBatchCoderVor 1 TagAnleitungBatch & Shell4 Kommentare

Hey, ich habe ein fertiges Skript für die Umwandlung einer Dezimalzahl in einer binäre Zahl. Zurzeit kann man damit Zahlen von bis 65535 ...

Windows 10
Windows 10 20HS SCCM
stoepsu77Vor 1 TagFrageWindows 1014 Kommentare

Hallo zusammen Ich hoffe, dass jemand von euch mir eine weitere Idee geben kann. Ich habe keine Ideen mehr. Folgendes: Wir haben eine Tasksequenz ...

SAN, NAS, DAS
NAS mit Backup Funktion gesucht
YellowcakeVor 1 TagFrageSAN, NAS, DAS8 Kommentare

Hallo zusammen ich bin total unerfahren was diese NAS Systeme angeht die man sich zuhause hinstellen kann. Aktuell habe ich einen kleinen Server hier ...