Erpressungstrojaner LOCKY, Petya, Goldeneye etc.

[think_pad]

Nicht immer hilft es, pseudophilosophische Blendgranaten zu werfen, um zu vertuschen, dass man sich verrannt hat.

Ich habe mich nicht verrannt, und hätte auch kein Problem damit, es einfach zuzugeben, wenn es so wäre...

Eine Menge Leute, die eigentlich nicht viel Ahnung haben, haben anständig und aufrichtig ihr System geupdatet, und waren damit immer auf der sicheren Seite.
Erst, als Microsoft seine Updatepolitik wegen WINDOWS 10 änderte, haben viele Leute damit aufgehört. Die Informationen von Microsoft dazu waren jedenfalls grauenhaft.
Offenbar war es lange Zeit größerer Stress für den Anwender, zu updaten, als auf eine reale Trojaner-Gefahr zu warten.

So weit, so gut: Aber sich jetzt als Verursacher hinzustellen und Regierungen anzuklagen, ist ein starkes Stück: "Haltet den Dieb, er hat mein Messer im Rücken!"

 

[Mornsgrans]

weil mehr Sicherungsaufwand oder eben Datenverlust), wird dabei gerne vergessen.

Dagegen hilft "wird schon nichts passieren" und "ich will es aber so"

Offenbar war es lange Zeit größerer Stress für den Anwender, zu updaten, als auf eine reale Trojaner-Gefahr zu warten.

Den war und ist sicher so, wenn man die Probleme beim Windows Update unter Windows 7 berücksichtigt. Ich möchte nicht wissen, auf wievielen Rechnern Windows Update deaktiviert wurde.

Selbst WSUS-Clients hatten eine zeitlang heftige Probleme. Ich hatte lange "Turnschuhadministration" durchführen müssen, um WSUS-Clients nach der wu.krelay.de - Methode zu laufen zu kriegen. - Die nicht WSUS-Clients waren etwas pflegeleichter, dort reichten TeamViewer-Sitzungen aus.

 

[Gurow]

Schon mitbekommen, dass das nicht immer so rund läuft, weil die Update-Funktion Probleme bereitet? Die Updatefunktion zu reparieren ist nicht immer trivial. Schau Dir einfach mal an, wieviele Beiträge es alleine hier im Forum zu dem Thema gibt. Sorry, Du machst es Dir zu leicht.

Vollkommen richtig. Ich hatte dieses Problem auch schon und es ist alles andere als trivial, da es Dutzende Erklärungen und Lösungsvorschläge gibt, kaum einer davon irgendwie logisch. Ich hatte Windows allerdings "nur" in virtueller Umgebung laufen. Die penetranten Update-Versuche auf Windows 10, die jetzt von einigen lustigerweise als Heilmittel verklärt werden, haben ganz sicher zur Problematik beigetragen. Die Vernachlässigung in hochprofessioneller Umgebung Updates einzuspielen, ist eine Sache. Die Belästigung bei der versuchten (Zwangs-)Verbreitung von Win10 eine ganz andere. Ich war auf meiner damaligen Arbeitsstelle auch davon betroffen. Die Chefs waren weniger als digitale Analphabeten, eher Amöben. Das änderte nichts daran, dass die Verwaltungssoftware nicht mit Win10 kompatibel war. Das dauerte fast ein Jahr. Jeder Mitarbeiter wurde instruiert, ja nicht das Update zu bestätigen. Das Fenster öffnete sich täglich, inklusive Countdown. Mag sein, dass auch das abzustellen war, die Praxis an sich hat mich persönlich noch viel weiter von Microsoft weggebracht, als ich es ohnehin schon war. Mich würde es jedenfalls nicht wundern, wenn daraufhin viele Leute an den Updateeinstellungen rumgespielt bzw. diese ganz deaktiviert haben.

 

[Helios]

Und was hindert euch daran, auf den Microsoft Update Catalog zurückzugreifen?

 

[Mornsgrans]

Wieviele Durchschnittsuser kennen diesen?

Lies bitte erst einmal, worum es in den letzten Beiträgen geht.

 

[Helios]

Habe alle Beiträge gelesen. Ich bin selbst ein Durchschnittsuser und komme damit ja auch klar.

Selbst hatte ich auch nie solche Probleme mit den Updates von Windows 7 erfahren. Auch nicht auf Systemen von Kollegen.

 

[Gurow]

Habe alle Beiträge gelesen. Ich bin selbst ein Durchschnittsuser und komme damit ja auch klar. Selbst hatte ich auch nie solche Probleme mit den Updates von Windows 7 erfahren. Auch nicht auf Systemen von Kollegen.

Freut mich, ändert aber nichts, dass es diese Probleme gibt. Die "Lösung" bestand u.a. darin, den Internet Explorer zu installieren. Ich will damit sagen, dass es keine Rolle spielt, ob man nun Experte, Durchschnittsuser oder Anfänger ist. Da zählt einzig das Durchhaltevermögen beim Suchen nach Lösungen, denn die Experten von Microsoft haben da ja auch keine bessere Lösung. Es betrifft oft neu aufgesetzte Systeme.

 

[think_pad]

Noch mal eine offizielle MS-Helpdesk-Seite zum Patchen: --> https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

[der_ingo]

Selbst WSUS-Clients hatten eine zeitlang heftige Probleme. Ich hatte lange "Turnschuhadministration" durchführen müssen, um WSUS-Clients nach der wu.krelay.de - Methode zu laufen zu kriegen. - Die nicht WSUS-Clients waren etwas pflegeleichter, dort reichten TeamViewer-Sitzungen aus.

Dann ist aber da eher der WSUS schlecht gepflegt gewesen. Die Probleme mit dem Windows Update Dienst kommen durch zu lange Update-Listen. Microsoft nimmt keine Updates aus den Listen, die schon längst ersetzt wurden, damit man von jedem Stand jeden Stand erreichen kann. Das gibt eine gigantisch lange Liste von Patches, deren Abarbeitung den Update Client auf den Rechnern an den Rand des Wahnsinns gebracht hat.
Auf einem WSUS, auf dem man sauber alle Updates ablehnt, die superseded sind, passiert sowas genau aus dem Grund nicht.

Also ähnliches Problem wie bei WannaCry auch: Microsoft hat zwar das ursprüngliche Problem geschaffen, aber die Admins hatten die Lösung auf dem Tisch.

Das einzige Update, was hier in den letzten Jahren hinterm WSUS tatsächlich für die Notwendigkeit manueller Eingriffe gesorgt hat, war das "Funktionsupdate" auf Version 1607, wenn man es gleich nach dem Erscheinen eingespielt hat. Bei Build 14393.0 crashte nämlich der Windows Update Service, wenn er einen WSUS kontaktiert hat. "Turnschuhe" waren da auch nicht nötig, sondern ein Systemstartscript.

 

[Gummiente]

Ich weiss ja nicht... Selbst eine "gigantisch lange Liste" rechtfertigt keine zwei Tage Verarbeitungszeit. Zumal der Rechner eigentlich vor sich hin-idle-t.

Vor wenigen Minuten habe ich bei SPON eine Notiz gelesen wonach diejenigen mit am wenigsten Ahnung am lautesten sind. Daher will ich mich nicht zu sehr aus dem Fenster lehnen aber Updates 10 x länger als Neuinstallation, bei Updateproblemen den Rechner einfach durchlaufen lassen und nach einigen Tagen wieder mal schauen.

Ich staune jedesmal was da passiert. Zumal das Gefrickel-OS Linux vormacht, dass ein Update nicht immer ein Gang zum Zahnarzt ohne Narkose sein muss.

 

[Mornsgrans]

Dann ist aber da eher der WSUS schlecht gepflegt gewesen.

Neu aufgesetzt reicht da schon.

 

[Helios]

Shadow Brokers, Who Leaked WannaCry SMB Exploit, Are Back With More 0-Days

The infamous hacking collective Shadow Brokers – the one who leaked the Windows SMB exploit in public that led to last weekend's WannaCrypt menace – are back, this time, to cause more damage.

In typically broken English, the Shadow Brokers published a fresh statement (with full of frustration) a few hours ago, promising to release more zero-day bugs and exploits for various desktop and mobile platforms starting from June 2017.

................

Get Ready for the 'Wine of Month Club'

So, anyone buying the membership of the "wine of month club" would be able to get exclusive access to the upcoming leaks, which the Shadow Brokers claims would include:

• Exploits for web browsers, routers, and smartphones.
• Exploits for operating systems, including Windows 10.
• Compromised data from banks and Swift providers.
• Stolen network information from Russian, Chinese, Iranian, and North Korean nuclear missile programs.

The claims made by the group remain unverified at the time of writing, but since the Shadow Brokers' previously released data dump turned out to be legitimate, the group's statement should be taken seriously, at least now, when we know the EternalBlue exploit and DoublePulsar backdoor developed by the NSA and released by the Shadow Brokers last month was used by WannaCry to cause chaos worldwide.

The Hacker News - Shadow Brokers, Who Leaked WannaCry SMB Exploit, Are Back With More 0-Days

steemit: shadowbrokers - OH LORDY! Comey Wanna Cry Edition

 

[Mornsgrans]

Ransomware NotPetya - Update

In den Nachrichten kam es schon, Heise berichtet auf ihrer Onlineseite ebenfalls davon:

Rückkehr von Petya – Kryptotrojaner legt weltweit Firmen und Behörden lahm

Gegenwärtig findet offenbar erneut eine massive Angriffswelle mit einem Verschlüsselungstrojaner statt. Betroffen sind vor allem Russland und die Ukraine, Meldungen über gehackte Rechner gibt es aber auch schon aus anderen europäischen Ländern.
...
Inzwischen hat Avira bestätigt, dass gegenwärtig eine Angriffswelle mit dem Erpressungstrojaner Petya läuft, für die die Lücke namens "Eternal Blue" ausgenutzt wird. Diese Sicherheitslücke in Windows Dateifreigaben (SMB) kam schon bei WannaCry zum Einsatz.
...

Die Liste der zum Opfer gefallenen Webseiten wächst ständig

-------------------------

Edit 28.06.17:
Inzwischen bestehen Zweifel, ob ernsthaft erpresst werden oder nur Chaos angerichtet werden sollte.
Artikel bei heise

Die massive Angriffswelle mit einem Verschlüsselungstrojaner, der an den Kryptotrojaner Petya erinnerte, nutzte offenbar eine Software aus der Ukraine. Das haben verschiedene Sicherheitsforscher ermittelt, die geschlossen das Programm MeDoc verdächtigen. Auch die ukrainische Polizei gab bekannt, dass in diese Richtung ermittelt würde. Die Software ist mehreren Sicherheitsforschern zufolge Voraussetzung für eine Zusammenarbeit mit der Regierung der Ukraine, beispielsweise um dort Steuern zu bezahlen. Das würde erklären, warum internationale Großkonzerne von der Attacke auf Windows-Rechner betroffen waren.

(Laut Nachrichten im Radio wurde die Ransomware durch ein Update der im Zitat angegebenen Software eingeschleust)

Edit 2:
Nachschlag von Heise

...
Sicherheitsforscher vermuten, dass Angreifer sich Zugang zum Update-System der MeDoc-Entwickler verschafft haben, um den Trojaner dort einzuschleusen. Die Software scheint die digitalen Signaturen ihrer Updates nur ungenügend zu prüfen, da das Trojaner-Update mit einem gefälschten Microsoft-Zertifikat versehen war.
...
Schaut man sich den Infektionsweg des neuen Trojaners an, wird deutlich, dass der Schadcode um einiges raffinierter ist als die ursprüngliche Goldeneye-Familie. Nicht nur, dass die Entwickler die wurmartige Verbreitung über die SMB1-Lücke der NSA (ETERNALBLUE) von WannaCry übernommen haben, sie haben außerdem weitere clevere Verbreitungsmethoden eingebaut.

 

[Helios]

Die Zahlungen können lediglich auf EIN vorhandenes Bitcoin-Konto eingezahlt werden. Dies ist sehr ungewöhnlich und bedeutet, die Angreifer verstehen sich nicht in der Verschleierung der Attacke. Weiter wurde die Email-Adresse bereits gesperrt, so dass auch bei einer Zahlung der 300 US Dollars keine Entsperrung erfolgen kann.

Zum jetzigen Stand wurden lediglich 8'000 US Dollars auf das von den Angreifern vorhandene Bitcoin-Konto eingezahlt.

 

[Mornsgrans]

Die Zahlungen können lediglich auf EIN vorhandenes Bitcoin-Konto eingezahlt werden. Dies ist sehr ungewöhnlich und bedeutet, die Angreifer verstehen sich nicht in der Verschleierung der Attacke. Weiter wurde die Email-Adresse bereits gesperrt, so dass auch bei einer Zahlung der 300 US Dollars keine Entsperrung erfolgen kann.

Zum jetzigen Stand wurden lediglich 8'000 US Dollars auf das von den Angreifern vorhandene Bitcoin-Konto eingezahlt.

Auch bei Heise

 

[Kai W.]

Moinsen!

Jetzt mal ganz blöd gefragt, weil ich es in den verlinkten Artikeln nicht gefunden habe: Wie infiziert sich der eigene Rechner?

Bei dem was ich so (quer)las, war immer von befallenen Webseiten die Rede. Verteilen die dann den Mist als "drive-by", oder wie?


Danke vorab & schöne Grüße,

Kai

 

[Helios]

Auch bei Heise

Kam gerade auf CNN .


@Kai W.

Verteilt sich über die Sicherheitslücke im SMBv1 Protokoll, für welche schon länger Patches zur Verfügung stehen. Wird in Windows 10 Redstone 3 entfernt werden.

 

[martina]

SMBv1 ist erst die Weiterverteilung im lokalen Netzwerk. Die initiale Infektion dürfte wohl wieder hauptsächlich durch Mailanhänge geschehen.

 

[Kai W.]

Moinsen!

Vielen Dank an martina & Helios (ladies first! ;-) ).

Woraus die nächste Frage resultiert: Gibt es aktuell eigentlich wirklich irgendwelche Viren, welche nicht durch den Nutzer selbst ins System hereingeklickt werden?


Gruß,

Kai

 

[Helios]

Ja Kai, gibt es derzeit. Die Sicherheitslücken sind MS jedoch bekannt und dürften in Kürze geschlossen werden.

LG Uwe