Erpressungstrojaner LOCKY, Petya, Goldeneye etc.

Mornsgrans,
mir ist das alles bekannt, was Du schreibst. Danke trotzdem für Deine Ausführung.
Aber wenn irgendein Mitarbeiter in einer grossen Firma die Daten der Firma schrotten und die Firma für Tage durch ein Makro lahmlegen kann, dann muss die IT in der Firma grundlegend überdacht werden - eine Mitarbeiterschulung reicht nicht.
Stefan
 
Da kannst Du überdenken wie Du willst. Immer, wenn Du Türen offenhalten musst, damit Kunden Deinen Laden betreten und verlassen können, kommen auch immer wieder Ladendiebe durch.

Wenn die "Großen" bestimmen, was wie ausgetauscht wird, müssen die Kleinen mitspielen, ob sie wollen oder nicht.

Am Ende bleibt nur, dass die Verantwortung an ALLEN hängenbleibt und nicht nur an einer Person oder Abteilung.
 
Mach mal Vorschläge, wie das gehen soll. Interessante Vorschläge würde ich sofort umsetzen. ;-)

Irgendein Mitarbeiter muss irgendwelche Dokumente bearbeiten. Und wer Schreibrecht hat, hat auch die Möglichkeit, mit den Dokumenten Unsinn zu veranstalten.
Soll ich den Leuten E-Mail verbieten? Anhänge verbieten? Jeden Download und jeden Anhang in der IT begutachten lassen? Wie soll das funktionieren?

Wir bekommen in der Firma Mails von diversen Quellen. Aus dem Ausland und auch in ausländischen Niederlassungen. Korrekte deutsche Rechtschreibung fällt also schon als Kriterium weg. Die Absender sind oft Behörden und die schicken den letzten Mist als Anhang. Denen kannst du nicht "ich nehm aber sowas nicht an" sagen. Also kannst du schon, dann bist du aus dem Projekt halt raus.

Die letzte Verteidigungslinie ist der User und der muss das immer wieder zu hören bekommen, dass er aufzupassen hat und im Zweifelsfall dann halt erst die IT fragt. Anders gehts nicht! Security-Awareness ist da gefragt.

Du siehst da tagtäglich den gruseligsten Mist und stehst dann blöde da, weil du es irgendwie möglich machen musst. Einige Mitarbeiter müssen ständig mit einer ausländischen Bank kommunizieren. Die erfordert, dass ihre Site in den vertrauenswürdigen Sites im IE gelistet ist und verschiedene IE Sicherheitsfeatures abgeschaltet werden. Da drehst du als technisch Verantwortlicher durch, aber es gibt da keinen Umweg. Es ist erforderlich, diese Bankseite zu nutzen. Also wieder Speziallösungen bauen, damit man solch wahnwitzigen Schrott irgendwie verwenden kann.

Einiges kannst du über Technik erschlagen, aber es bleibt immer ein ungeschütztes Zeitfenster. Wir sind momentan auf etwa 15 bis 20 Minuten runter, die es vom Eintreffen von brandneuer Malware bis zu einer automatischen Einschätzung und entsprechender Ablehnung dauert. Das reicht aber auch nicht, da man eben keine Webseiten 20 Minuten verzögern kann, weil die Bewertung noch nicht da ist. Bei Mails ginge das evtl. noch - aber selbst da wirds haarig.

Zwischendurch kamen Javascript Dateien als Dateianhang an Mails. Okay, die kann man auf dem Gateway gleich blocken, aber wer das nicht macht, der hat da auch gleich noch mit Malware zu tun, die betriebssystemneutral ist. Heißa, mit Linux wär das auch passiert. ;-)
 
Ihr braucht mir Eure Szenarien nicht zu erzählen.
Ich war in genügend Infoveranstaltungen von G-Data, Kaspersky.......
Mit Löcher stopfen ist es irgendwann aber nicht mehr getan, dann sinkt das Schiff.
 
Ich war in genügend Infoveranstaltungen von G-Data, Kaspersky.......
Die kochen auch nur mit Wasser und können wie die ITler nur reagieren. Dass die Angelegenheit von Monat zu Monat immer gefährlicher wird, ist jedem halbwegs intelligentem ITler seit über 20 Jahren schon klar.

Mit Löcher stopfen ist es irgendwann aber nicht mehr getan, dann sinkt das Schiff.
Das gehört in der IT im Mittelstand zu 75% der täglichen Arbeit, weil die Löcher von der Geschäftsführung, einem Großkunden oder A-Lieferanten aufgezwungen werden oder man ist aus dem Geschäft raus. Und solange von diesen keiner mal käftig auf die Schn..e fällt, wird sich eh nichts ändern (und wenn sie fallen, wird es nach außen hin unter den Teppich gekehrt).
 
Kleines Update:

Unbedingt alle PC in einen Netzwerk wo auch nur 1 PC von "Locky" betroffen ist vom Netz trennen (Kabel ziehen) und mit aktueller Software scannen. Da wo ein Mitarbeiter die Email mit dem angehängten schädlichen Dokument geöffnet hat werden noch weitere die Mail bekommen haben.

Bei uns gab es neben den 2 verschlüsselten noch 5 weitere betroffene PCs / Laptops. Interessant dabei ist, bei 2 handelte es sich um eine Infektion vor dem 15.02.; am kritischen Montag um 15:06 Uhr ist aber nichts passiert. Beim einem ThinkPad welches am Montag aus war und das ich am Dienstag wie alle anderen PCs vom Netz getrennt hatte, wollte Locky erst "arbeiten" als das Netzwerkkabel wieder mit dem Switch (aber nicht mit dem Server) verbunden war.

Scheint also bereits diverse Varianten zu geben, die die schläft und zeitgesteuert startet, die die als Emailanhang kommt/kommen und mindestens eine dritte, die den Netzwerkport beobachtet.

Da es nicht hilft, die Mitarbeiter zu sensibilisieren, werden wir jetzt aufrüsten und Mails mit Office-Dokument im Anhang in die Quarantäne schicken (wie schon Mails mit komprimierten oder ausführbaren Dateien und aktuell Mails mit Bildern). Und einige Software die Makroaktivierung in Officeprogrammen erfordert wird dran glauben müssen; die verbliebenen wenigen User die als Administrator im Netz arbeiten werden zurückgestuft auf Benutzer.

ATh.
 
Zurück in die Steinzeit und zur Keule greifen wäre etwas übertrieben.
Aber eine kleine Bremse ist für das Internet nicht gerade falsch.

Wenn die IT in kommenden Zeiten immer weiter aufrüsten muß, kostet das Geld und Zeit.
Es wäre angebracht, für wichtige Sachen einfach wieder zu Papier zu greifen.
Hab nix dagegen, wenn mal ab und zu ein paar Zentrifugen durchdrehen :thumbsup:
Aber so lange Nachrichten- und Geheimdienste ohne Folgen und vollkommen unkontrolliert schnüffeln dürfen, wird man es dem Internet eh nicht abgewöhnen können.
Das Risiko muss definitiv vom Endnutzer weg. Wie das passiert ist Sache von Microsoft und den IT-Abteilungen.
Nein, das ist in allererster Linie Sache der Politik.
Aber wie die Geschichte mit den schmutzigen Dieselfahrzeugen zeigt, hat man da kein Interesse an Änderungen.
Es wird bald Zeit für einen europäischen Frühling:)
 
... wer kann sich aber noch ohne elektronisches Formular (damit nichts an Informationen vergessen wird) und ohne Rechtschreibkontrolle (damit es wenigstens Deutsch ist wie wir es in der Schule gelernt haben) schriftlich so ausdrücken, dass es ein Dritter versteht ???

Bei uns saßen und sitzen die Probleme vor dem PC; da hat keine Schulung, keine Belehrung genutzt. Ader die Diskussion, warum die Nutzer mit der Systemumstellung zum Jahreswechsel nur noch Benutzerrechte bekommen haben, hat sich spätestens jetzt mit den nicht betroffenen Daten auf den Servern vielleicht erledigt.

ATh.
 
Ich war gestern wieder in unserem Computerclub. Dort sind Leute, die sich seit 30 Jahren mit Computer beschäftigen, noch akustische Modems und das Fido-Net kennen...
Das zu lösende Problem war: wie kommen Wav-Daten von einem Olympus Voice-Recorder per USB in den PC. Verbindet man per USB, wird ein Treiber gesucht und gefunden, es öffnet sich ein Explorerähnliches Fenster mit den Dateien auf dem Olympus. Dann kann man kopieren.
Doch wo sind die Daten hin?
Der User merkte nicht, dass er nur ein Fenster sieht nur mit den Recorderdateien und nicht den Windows-Explorer, der alle im System verfügbaren Dateien anzeigt. Da ist eine Suche sinnlos.
Was will ich damit sagen? Das ähnliche Erscheinungsbild von grundsätzlich verschiedenen Windows-Fenstern verschleiert, wo man sich eigentlich befindet. Selbst bei so alten Computerhasen fehlt der Überblick für das gesamte System. Vergleichbar mit blindem Herumstochern.
Hilfesuchende Leute ("das Programm funktioniert bei mir nicht") beherrschen nicht mal grundlegende Kenntnisse über Windows-Fenster. Rechtsklick und "Eigenschaften" sind unbekannte Wesen. Genormte Reihenfolge von Menüeinträgen: unbekannt usw. usw.

Stellt man solchen Leuten eine Schubkarre hin, suchen die nach einer Fernbedienung (!). Dabei müsste man ihnen zeigen, dass man eine Schubkarre händisch bewegt.
Bereits hier zeigen sich massive Kenntnislücken für die Bedienung eines so komplexen Systems wie ein Computer.

Ein anderes Beispiel: Download. Oft blinken da manchmal 5 Download-Buttoms und der richtige Klick liegt versteckt bei einer kleingeschriebenen Textzeile. Dann wird lieber auf den blinkenden Buttom geklickt und - schwupps - ist eine Adware installiert. Danach bemerken sie nicht mal eine neu installierte Ask-Suchmaschine. Dabei zeigen alle mir bekannten Browser an, wohin der Link führt. Mit etwas Aufmerksamkeit kann man erkennen, was da geladen werden soll. Wenn man dann noch als Admin im Netz unterwegs ist (die ewige Erlaubniserteilerei ist ja so lästig), na dann gute Nacht! Ist vergleichbar mit dem Flicken einer durchgeknallten Stromsicherung mit Alupapier. Und dann war keiner schuld, wenn das Haus abbrennt.

Es fehlt also verblüffend oft an grundlegenden, unverzichtbaren Kennnissen, wie man das Werkzeug Computer bedient. Warum lernt man das nicht schon in der Schule? Nach meiner Beobachtung leiden etwa 95% der Computerbürger an solchen Kenntnislücken, sind im aber Internet unterwegs und wissen nicht, das ihr PC auch mal Mitglied eines Botnet oder zu einer Trojanerschleuder werden kann.

Soviel als etwas ausführlichere Umschreibung für das häufig zitierte Bonmot "das Problem sitzt VOR dem Computer". Es stimmt. Leider!
 
... und wenn dann statt Einsicht auch noch die Variante Fehlerleugnung zum Tragen kommt ... oder habt ihr mir untergeschoben ...

Und diese Kollegen müssen noch über 30 Jahre arbeiten; ältere sind eher einsichtig.

ATh.
 
... und wenn dann statt Einsicht auch noch die Variante Fehlerleugnung zum Tragen kommt ... oder habt ihr mir untergeschoben ...
Was erwartest Du von der Generation, die genau das:
... wer kann sich aber noch ohne elektronisches Formular (damit nichts an Informationen vergessen wird) und ohne Rechtschreibkontrolle (damit es wenigstens Deutsch ist wie wir es in der Schule gelernt haben) schriftlich so ausdrücken, dass es ein Dritter versteht ???
nicht mehr kann, ebenso auch zu diesem:
Bei uns saßen und sitzen die Probleme vor dem PC; da hat keine Schulung, keine Belehrung genutzt.
nicht fähig sind?

Die Älteren, die wenigstens zu ersteren noch fähig, zu zweiten meist überfordert, gehören inzwischen zu einer vom aussterben bedrohten Generation.
Man kann sich langsam ausmalen, wo das hin geht.
 
Dafür gibt es inzwischen ein Programm was zumindestens Bilddateien wiederherstellen kann.: irvanview. Steht in den Kommentaren bei heise.de, habe es auch exemplarisch getestet.

ATh.
 
Moin !
Die Älteren, die wenigstens zu ersteren noch fähig, zu zweiten meist überfordert, gehören inzwischen zu einer vom aussterben bedrohten Generation.
Man kann sich langsam ausmalen, wo das hin geht.

Leicht OT: dann sollte man sich den Klamauk-Satire - Film "Idiocracy" mal anschauen...


LG Jü
 
Interessant:
Der Erpressungs-Trojaner Locky verbreitet sich insbesondere in Deutschland rasend schnell: Über 5000 Neuinfektionen pro Stunde zählt der Sicherheitsforscher Kevin Beaumont. Erst mit etwas Abstand folgen die Niederlande und die USA in der Liste der am stärksten betroffenen Länder.
und
Das luxemburgische CERT hat auf einem Honeypot innerhalb einer halben Stunde 500 Mails mit verseuchten Excel-Dateien erhalten.
(im oben verlinkten Heise-Artikel)

Trotz Locky sollte man auch nocht den zweiten sehr gefährlichen Erpressungstrojaner im Auge behalten:
Erste Sichtung: Erpressungstrojaner Ransom32 aufgrund JavaScript noch bedrohlicher Update

Sicherheitsforscher warnen vor der Ransomware Ransom32, die sich als JavaScript-Applikation auf Windows-Computer schleicht. Auch Linux und OS X sind potenziell gefährdet. Kriminelle können sich eine individuelle Version des Schädlings generieren lassen.

Der Verschlüsselungstrojaner Ransom32 ist der erste Schädling seiner Art, der als JavaScript-Applikation daherkommt, warnen Kryptologen von BleepingComputer und Emsisoft. Aktuell seien nur Windows-Computer bedroht.
auch bei Heise

Das erste "hochrangige" Opfer hat den Erpressern bereits Lösegeld bezahlt:
Bitcoins im Wert von 15.000 Euro blätterte ein Krankenhaus in Los Angeles hin, um seine von einem Erpressungstrojaner verschlüsselten Daten wieder freizukriegen. Das sei der schnellste Weg gewesen, sagte der Krankenhaus-Chef.

Das von einem Erpressungstrojaner betroffene Krankenhaus Hollywood Presbyterian Medical Center in Los Angeles hat seine IT-Systeme mit einer Lösegeldzahlung freigekauft. 40 Bitcoins wurden laut einer Mitteilung des Klinik-Chef Allan Stefanek gezahlt, umgerechnet rund 15.000 Euro.
...
Alle betroffenen Systeme seien seit Montag wieder in Betrieb, die digitale Patientenverwaltung funktioniere wieder reibungslos
Wieder bei Heise

Seit gestern Vormittag haben bei meinem Arbeitgeber Zustellversuche verseuchter Office-Dokumente schlagartig aufgehört. Mal sehen, wann die nächste Welle kommt...
 
Zuletzt bearbeitet:
Ich komme gerade aus dem Küchenbüro:

Alle Dateien sind nun verschlüsselt, die Externe HDD mit den Backups auch.
Als der Koch dann die 2.Sicherung aus der Cloud holen wollte, gab es dort nichts mehr,
ebenso sind die Schattenkopien weg. Küche ist Gott sei Dank ne Insel-Lösung,
unser WTS ist nicht betroffen, alle Mitarbeiter der Verwaltung wurden jetzt noch mal
gebrieft...
 
Es gibt letztlich wohl nur 3 funktionierende Methoden entsprechende Probleme vorab zu verringern(verhindern ist ab einer gewissen Größenordnung nicht möglich):
1) Dicht machen (Keine ungemeldeten ausführbaren Programme => alles was benötigt wird, wird bei der IT beantragt, geprüft und von dort installiert)
2) Mitarbeiterschulungen (ALLE Mitarbeiter (auch Vorstände, Chef und IT) müssen regelmäßig an Schulungen teilnehmen, die auf entsprechende Gefahren sensibilisieren)
3) Keine Vernetzung und Filterung aller eingehenden Verbindungen (Die wohl aufwändigste Variante, heutzutage wohl nur noch bei sicherheitsrelevanten und internetunabhängigen Aufgaben umsetzbar)
 
Es gibt letztlich wohl nur 3 funktionierende Methoden entsprechende Probleme vorab zu verringern(verhindern ist ab einer gewissen Größenordnung nicht möglich):
1) Dicht machen (Keine ungemeldeten ausführbaren Programme => alles was benötigt wird, wird bei der IT beantragt, geprüft und von dort installiert)
Leider ist damit auch in gewissen Bereichen die Produktion verlangsamt.

Ich mach heute mal ein Dateibackup und ein Systemabbild.
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben