Warnung: 2016, das Jahr der Cryptoviren - locky and co - oder Ransomsoftware

[testbug]

Ich habe das Gefühl, dass dieses Jahr das Jahr der Viren schlecht hin wird.
Seit ca 5 Jahren arbeite ich in der IT-Branche, und bis gelegentlich ein paar Trojaner und Viren hatte ich abgesehen von Ad-Aware/SPAM nicht wirklich Probleme mit Viren auf der Arbeit.

Der eine oder Andere hat vielleicht schon von den neuen Kryptoviren gehört, der bekannteste ist wohl Locky.
Locky verschlüsselt ALLE Dateien auf dem lokalen System und greift auch auf andere Systeme in einem Netzwerk (z.B. Domain über). Es sind auch schon Fälle bekannt, in denen Locky auch Bereiche verschlüsselt hat, auf die der angemeldete Benutzer keine Zugriff hatte (z.B: Benutzerprofile/ Netzwerk Freigaben / ...).
Ich möchte hier kurz erklären, was die neuen Viren machen, und wieso sie so gefährlich sind.

Herkömmliche Viren richten Schaden an, oder spionieren das infizierte System aus (z.B. abgreifen von Passwörtern, Emailadresse, Onlinebanking, Paypal, ...). Das ist sicherlich nicht gerade ungefährlich, aber fast jeder aktuelle Virenscanner kann dagegen schützen.
Bei Cryptoviren verhält sich das ganze anders: Die Verbreitung geschieht aktuell primär per Email. Im Betreff findet man häuft "Invoice", "Urgent Invoice", "Awaiting Paypemt", "Rechnung", "Eilige Rechnung", "Mahnung"... Mit diesen Betreffen versucht der Absender Panik bei dem Empfänger zu verursachen. Im Anhang der Email befindet sich immer ein Emailanhang. Meißtens ein Worddokument, Excel-Sheet, PDF, ...
Ich persönlich hatte in meinem Umfeld bis jetzt "nur" mit dem Virus zu tun der sich per Emailanhang verschickt und eine Word-Datei im Anhang hatte.
Beim Öffnen/Lesen der Email an sich passiert in der Regel noch nichts. Öffnet man allerdings den Anhang, z.B. ein Word-Dokument so ist dieses meißtens leer. Im oberen Rand von Word sieht man den Hinweis von Microsoft: "Macros wurden aus Sicherheitsgründen deaktiviert. Hier klicken um macros zu aktivieren." Dies sollte man NIEMALS tun. Ich wiederhole, NIEMALS bei Emailanhängen irgendwelche Macros oder ähnliches aktivieren. Macros sind kleine Programme, die im Hintergrund Sachen machen. z.B.  Wird mit einem Macro ein Word-Dokument interaktiv, und der Benutzer kann per Maus z.B. ein Formular ausfüllen.

Was passiert, wenn man das Macro aktiviert?
Ein mal aktiviert, wird ein kleines VB-Skript gestartet. Dies ist an sich ebenfalls noch harmlos, allerdings beginnt nach dem Öffnen dann schon der Download des Virus. Der Virus wird auf schlecht abgesicherten Blogs, Foren bzw deren FTP Servern abgelegt und ist deshalb sehr schwer zurück zu verfolgen.
Ein mal geöffnet wird der Virus heruntergeladen. Das Downloadverzeichnis war fast immer C:\Temp oder %temp% (Temp-Verzeichnis des angemeldeten Benutzers). Die Heruntergeladene Datei hieß in meinem Fall meißtens 1.exe oder 3.exe. Sobald die Datei heruntergeladen ist, wird sie automatisch in fail.exe umbenannt und fängt an, im Hintergrund ALLE Dateien zu verschlüsseln. Es spielt dabei keine Rolle ob es Bilder, PDFs oder gar das eigene verschlüsselte Bitcoin Wallet ist.
Die eingesetzt Verschlüsselung ist immer ein SHA mit 2048bit, also mehr oder weniger fast unknackbar. Aktuell ist keine Möglichkeit bekannt die Daten wieder zu entschlüsseln. Die einzige Rettung bei einem infizierten System ist auf ein (hoffentlich) vorhandenes Backup zurück zu greifen und alle Daten neu einzuspielen.

Auf infizierten Systemen ist ein weiteres Arbeiten nicht mehr möglich, zum Teil bleiben die Rechner sogar im Bootvorgang nach einem Neustart stecken mit dem Hinweis, dass das System verschlüsselt wurde.
Im Windows wird auf den betroffenen Systeme alle Dateien mit der Endung ".locky" angezeigt. Ein Umbenennen des Bildes in z.B. JPG bringt keine Abhilfe !!!
Der Besitzer des infizierten Systems hat allerdings die möglichkeit, einen variierenden Betrag (bei mir waren es immer 0,5) in BTC auf ein BTC Konto zu überweisen. Danach kann man aus dem Darkweb (Zugriff per Tor-Browser) ein Tool herunterladen, dass die eigenen Dateien wieder entschlüsselt. Aktuell ist es so, dass die Dateien wirklich wieder entschlüsselt werden. Ein Kunde von mir (betroffen waren 15 Workstations und 3 Serversysteme) hat die 0,5BTC bezahlt, da er meinte, ca 200€ seien ok, alles besser als 2 Tage kein Arbeiten mit den Rechnern!
Ich persönlich würde davon stark abraten, da uns hier keiner garantiert, dass der Virus wieder kommt.

Und nun zum wichtigsten Teil: Wie kann ich mich schützen und wieso hilft mein Virenscanner nicht?
1. Der installierte Virenscanner hilft nicht, da der Virus sich nicht im Anhang der Datei befindet. Er kommt er später nach dem Öffnen des Anhangs auf den Rechner und enthält KEINE Virensignatur, da ein verschlüsselungsprogramm erst mal nichts schädliches ist.
2. Aktuell gibt es nur ein paar Antivirensoftware Hersteller, die verlässlichen Schutz dagegen bieten. Ich persönlich setze auf "Malwarebytes Anti-Ransomware". Diese Sofware befindet sich aktuell in einer Beta, biete aber schon jetzt einen guten Grundschutz gegen die neue Art von Viren. https://forums.malwarebytes.org/index.php?/topic/177751-introducing-malwarebytes-anti-ransomware/ Downloadlink findet ihr hier im Link, eine Registrierung ist nicht nötig.
Die Software von Malwarebytes scannt den Rechner permanent nach aktuell laufenden Verschlüsselungen, also kann es auch sein, dass sie anschlägt wenn man z.B. einen Container mit TrueCrypt erstellt. Da es eine Beta ist, kann es durchaus sein dass Fehlalarm ausgegeben wird.
3. Man sollte unbedingt ein Backup seiner Dateien anlegen. Es ist unglaublich wichtig, dass das Backup nicht auf eine andere interne Platte oder eine dauerhaft angeschlossene USB HDD läuft, da Locky auch direkt nach der Infizierung anfängt, auch USB und Serverplatten zu verschlüsseln. Auch ein Backup auf einer NAS (dauerhafter Netzwerkzugriff) ist nicht sicher. Ich habe mir z.B. einen Stick zugelegt, auf dem ich nur meine Bitcoinwallets/Litecoin/etc. gesichert habe.
4. Das aller wichtigste: Bitte achtet besonders darauf, was für Emails ihr von wem auf macht. Ich habe auch schon gesehen, dass sich der Virus mit internen Emailabsendern weiter verteilt. Hier ein Beispiel: Kunde besitzt einen Kopiere und hat Scan to Email konfiguriert. Der Virus greift die Adressbücher von infizierten Systemen ab (das hatte ich bis jetzt "nur" bei ca 50% der Fälle) und tarnt sich als interner Mailanhang: Text im betreff ist dann z.B: "More Scanned Files", "More PDF", "Scanner". Absender könnte sein kopierer@xyzdomain.de, scanner@xyzdomain.de allerdings halt auch k.mueller@xyzdomain.de. Hier ist es noch wichtiger darauf zu achten, dass man diese Emails nicht löscht.


Ich hoffe, ich konnte hier ein wenig über die neue Art von Viren aufklären. Sollte jemand noch Fragen haben oder Hilfe benötigen, so könnt ihr hier gerne schreiben oder mir eine PM zukommen lassen. Sollte ich in der Lage sein euch zu helfen, so werde ich dies gerne tun.

Grüße,
testbug

[1713555294]

1713555294

[hodlcoins]

Warum wird da so ein Aufhebens drum gemacht, sogar in den Radionachrichten und wer weiß wo sonst noch, dabei ist es so einfach: Ein DOC im ZIP, und dann kommt die Makrowarnung -> alles in den Müll.
Soweit meine Tests ergeben haben, passiert ohne die Aktivierung des Makros genau gar nichts.
Exes in ZPIs werden schon vom normalen Office und Antivirus abgefangen.

Angeblich hilft nichts dagegen, man bekommt die Mail und der PC brennt. Ist das alles Medianpanikmache, oder einfach nur dumme Redakteure die meinen "alle reden davon, wenn wir's nicht auch tun meinen unsere Kunden sie wären schlecht informiert und kaufen eher die anderen"?

Und warum bekommen die etablierten Virenwarner es nicht in den Griff, ein Erkennerprog zu schreiben, das "leere" DOCs in ZIPs in Mails stumpf löscht?

Soweit ich sehe ist der einzige Streß dann, wenn irgend ein Mitarbeiter so doof war die Makros zu aktivieren.
In dem Moment hat man verloren, weil wohl wirklich alles in Reichweite verschlüsselt wird.
Interessant: Es scheint mit dem Lösegeld tatsächlich zu funzen, früher haben "die" ja oft nur kassiert und weiter kam nichts.
Und: Ich bezweifle, das ein User mehr als die eigenen Rechte auf einem Serverdrive nutzen kann.
Der Server bewertet den User anhand der gegebenen Credentials, hast du keinen Zugriff, bekommst du auch keinen. Es sei denn Locky wäre so schlau (und der Admin so doof), auch Standard-, leere oder geklaute Credentials anzuwenden.

[Masoholik]

Ich kann leider auch bestätigen dass in den letzten drei, vier Wochen bei unseren Kunden der Befall durch Ransomsoftware stark zugenommen hat.
Die Woche verging kein Tag an dem wir keinen Server wieder wieder auf den Stand der letzten Sicherung zurücksetzen mussten.

Bisher konnten wir Kunden die am überlegen waren zu zahlen noch davon überzeugen es nicht zu tun. Aber bei einer größeren Arztpraxis die dadurch zwei Tage lang sogut wie zumachen muss, ist das nicht einfach.
Die Wahrscheinlichkeit dass man alles wieder entschlüsselt bekommt nachdem man zahlt stufe ich eigentlich recht hoch ein, da es sich sonst schnell rumsprechen würde dass zahlen eh nix bringt und keiner mehr zahlen würde. Allerdings müsste man auch dann jede Menge Aufwand in die Diagnostik stecken von welchem Rechner im Netzwerk der Befall los ging und was alles wirklich infiziert wurde. D.h. man müsste sich wirklich jeden Rechner im Netzwerk genau ansehen. Auch dann kann keiner garantieren dass der Schädling wirklich weg ist und nicht in zwei Monaten einfach wieder kommt.

Backup zurückspielen ist in meinen Augen die sinnvollste Lösung, trotz Ausfall und evtl verlorener Daten der letzten paar Stunden bis zurück zum letzten Zeitpunkt des Backups. Auch wenn dieser Aufwand den Kunden mehr kostet als die 0,5 BTC.

Im aktuellen Fall kam halt leider noch mehr Leichtsinn vom Kunden dazu, da der Arzt wohl das Administratorkennwort an seine Mitarbeiter mal weitergegeben hat und der Virus von einem PC über das Admin-Konto sogut wie alle Daten am Server verschlüsseln konnte. Wie genau es dazu kam, lässt sich schlecht raus finden da es natürlich keiner gewesen sein möchte.

Ich bin gespannt wie das Thema weitergeht und was die Hersteller von Schutzsoftware sich einfallen lassen.

Grüße

[Chefin]

Wenn du leere Docs in Mails löschst wird der Virenschreiber eben was reinschreiben.

Jede Regel von Virenscannern kann wenn man sie erstmal weis umgangen werden. Das Regelwerk für Heuristik muss also so sein, sie den Virus "unmöglich" macht. zB wenn eine DOC gespeichert wird und dann 100% anders ist, stimmt was nicht. jetzt könnnte der Virus aber den header unverschlüsselt lassen und damit zwar anzeigen, wer die Datei angelegt hat, aber der Inhalt wäre trotzdem weg. Und die Heuristik ausgetrickst.

Was ich dir 100% zustimmen muss: man muss selbst aktiv werden. Nur sind diese Menschen eben nicht Dumm.

Und was das zahlen angeht. Es bringt nichts, wenn man statt 150Euro Erpressungsgeld 500Euro Betriebskosten hat. Und das wissen die Hacker auch. Löblich, Kunden davon abbringen zu wollen, aber wirtschaftlich nicht vertretbar. Leider bringt das immer mehr dazu auf den Zug aufzuspringen.

Was nun gefragt ist, sind Lösungen. Wie verhindert man Verschlüsselung. Leider sind die Aussichten hier eher schlecht. Das einzige was mir dazu einfällt: UEFI Secure Mode und den will ich eigentlich auch nicht durchsetzen weil er privat viele Nachteile hat. Eigentlich ist der UEFI-Mode teurer als Erpressungstrojaner.

Aber wie immer: gib dem Menschen etwas womit er scheisse bauen kann und er baut scheisse.

[ZyTReX]

Im Windows wird auf den betroffenen Systeme alle Dateien mit der Endung ".locky" angezeigt. Ein Umbenennen des Bildes in z.B. JPG bringt keine Abhilfe !!!

Der war gut

Kurze Frage: Ich nutze Kaspersky als Virenschutz und zusätzlich Sandboxie.
Wenn ich mir über eine Datei unsicher bin starte ich diese mit Sandboxie.
Dies hat sich bis jetzt bewährt. Ist das aus eurer Sicht eine gute zusätzliche Lösung?

[hodlcoins]

2FA für Mailanhänge:
Der Absender muss ein individuelles Kennwort vom Empfänger anfordern, mit dem ein evtl. Anhang verschlüsselt wird.
Da das für jede emailadresse individuell ist und sich unvorhergesehen ändern kann, ist es für Virenschreiber unrentabel.
Andere Anhänge werden kommentarlos gelöscht.
Mails nur noch als nur-Text, HTML/Richtext ebenfalls direkt in die Tonne, so wie es sich gehört.

Mühsam, aber effektiv. Wenn nur ich und Herr Müller wissen wie wir Mails verschlüsseln (und es reicht 123456 als Passwort) kann eine Mail nur von ihm persönlich sein, nicht nur "von seinem Rechner".
Man darf nur nicht den Fehler machen, der Maschine das PW anzuvertrauen, also kein "Tresor" oder PGP oder so.
Daher reicht auch ein einfaches Passwort, damit man es eben via Mail oder Telefon verteilen kann.

99,99% aller Mails die ich bekomme haben Richtext oder HTML nur für Logos, bunte Messehinweise, "Unterschriften". Keiner meiner legitimen Kontakte bräuchte das, man macht das weil's alle machen, und weil's geht. Einen echten Grund gibts nicht, genau wie für die Vertragsbedingungen unter Mails, völlig nutzlos, macht aber jeder.

@Zytrex:
Ja, eine Sandbox hilft, auch wenn sie seitens Kaspersky nicht empfohlen wird, da viele Programme die Sandbox erkennen und entweder umgehen oder das erwartete tun, damit kein Verdacht erregt wird.
Ich frage mich nur, warum du zweifelhafte Dateien überhaupt öffnen musst.
Kenn ich nicht: lösche ich. Hatte ich noch nie: lösche ich. Sieht komisch aus: lösche ich.
Und wenn mir wirklich einer sowas schicken muss, ruf ich an. Musste ich aber noch nie.

Ganz ehrlich, ich frage mich, warum Gehirn 1.0 nicht benutzt wird. Jeder Mensch hat eins, die wenigsten nutzen es.
Bislang ist mir selbst schon mehrmals diverser Scheiß ins Netz gegangen, da ich leider im info@-Verteiler bin.
Warum bin ich der einzige der 40 Kollegen, der sich Gedanken macht, ob Paypal wirklich so scheiße schreibt?
Ob wir echt ein Hotel in Slowakien nicht bezahlt haben, obwohl keiner unserer Mitarbeiter Außendienst schiebt?
Ob die Treiber ncht wohl auf dem aktuellen Stand sind, da ja alles einwandfrei funktioniert?
Ob mich Mahnungen oder Rechnungen wirklich was angehen? Ich habe Kollegen in der Produktion, die haben "Rechnungen" angeklickt. Warum zum Teufel? Du sitzt an einer Fräse. Was geht dich eine Rechung an? Willst du die bezahlen?

Ein einiziges Mal in den letzten 15 Jahren hat tatsächlich einer unserer Lieferanten einen virus auf der Maschine gehabt, der eine "Rechnung" via DOC mit Outlook und damit absolut echt mit Signatur und Anrede geschickt hat, und ich war der einzige der gemerkt hat, das Rechnungen normal als PDF kommen und das DOC leer ist und nach Makros fragt. Dabei hab ich mit Rechnungen nichts zu tun und lösche die eh ungesehen. Zum Glück hat uns Kasper in diesem Moment den Arsch gerettet.
Privat habe ich seit Jahren keinen Antivir, da es mir mehr Probleme macht als nützt, außer dem von MS ins Win7 eingebauten.
Ich surfe auch auf zweifelhaften Seiten, Adblock, NoScript und eine Fritze mit Kinderfilter sind alle meine Bollwerke, und ich nehm fast nur den IE von Win7.
Noch nie auch nur den Hauch einer Infektion gehabt. Könnte daran liegen, das ich nicht so doof bin allen scheiß anzuklicken. Und ja, ab und an lasse ich eine RescueDisk drüberfahren, bislang verschenkte Zeit.

[Chefin]

@hodlcoins:

Arbeite mal in der Auftragsannahme einer Firma oder ähnlicher Abteilung wo du mit Kunden zu tun hast. Du glaubst garnicht, was einem da alles zugemutet wird. Wir hatten sogar schon selbstentpackende (.exe) Archive mit PDF-Inhalt, deren Endeung auf .ZIP geändert waren. In der Mail steht dann auf .exe ändern und entpacken bitte. Natürlich haben wir das abgelehnt und den Kunden angerufen Telnummer war in der Mail.

Der war nicht angetan, das wir seine Mail nicht annehmen wollten. Er muss ZIP machen, weil deren Firewall keine Exe raus und rein lässt. Und er hatte schon den Fall das jemand kein ZIP entpacken konnte (oder wollte wie auch immer) also macht er es jetzt als Exe, damit JEDER es entpacken kann. Linux kennt er natürlich aber wird nur auf Servern und in Unis verwendet.

Das ist zwar eines der krasseren Beispiele, aber du hast unmengen an Dienstleister, die blödsinnige Verfahrensweisen haben das du nur den Kopf schütteln kannst. Einige Firmen pflastern ihre Mails so zu das unser Spamfilter immer drauf anspringt und wir Mühe haben sie zu whitelisten. Die wechseln auch noch dauernd ihre Absende-Domain, lt Sachbearbeiter je nachdem an welchem PC er gerade sitzt. Da versucht man erst garnicht ihn aufzuklären, wie er das einstellen kann. Den dann kommt, das er dann ja nicht mehr sehen können, für welches Projekt das ist. Herr...schmeiss....

Und in diesem Gewussel willst du noch seperat zur Mail irgendeinen extra Informationsaustausch haben. Wir haben 2000 Kunden, wenn statistisch nur alle 3 Jahre einem der Kunden seine Passphrase flöten geht und wir eine neue benötigen, kommt das 2x arbeitstäglich vor. Und ich bin mir sicher, das du einige Kunden hast, die mehrmals im Jahr aufgrund von Mitarbeiter wechsel diese Information ändern müssen. Das ist absolut Unbrauchbar für Auftragsbearbeitung. Weil bei 2000 Kunden diese Kunden eben nicht täglich bestellen, somit also hoher Anteil an Kunden die bei jeder Bestellung inzwischen auch diese Information für die 2FA geändert haben. Wenn ich aber in 50-70% der Fälle anrufen muss, kann man es auch gleich wieder faxen, das geht schneller als Reden.

Und dazu kommt, das man auch Spam erstmal nachtelefonieren muss. Erst wenn man hinterher telefoniert weis man ob es wirklich eine echte Mail oder ein Virus ist weil keine 2FA. Dann mach ich mir den Spaß und sende an die Bestellmail unmengen an Mails mit Telefonnummern wild durch die Bank. Ältere Menschen, weil dann dauert es länger bis man kapiert das man verarscht wurde. Behörden, weil du dann mindestens 5 Leuten die Story sagen musst bis du merkst, das da wohl spam reingekommen ist, Firmendurchwahl in Produktion wo es so laut ist, das du ewig brauchst rauszufinden das etwas nicht stimmt.

Wie gesagt, öffne die Möglichkeit Scheisse zu bauen und du findest Menschen die sich den Spaß erlauben es zu machen.

[hodlcoins]

Auch wieder wahr.

Wir müssen wieder zum Einschreiben oder Fax zurück.
Aber da wird auch gespamt.

[shorena]

Kleine Anmerkung zum ersten Post:

Verschlüsselung ist immer ein SHA mit 2048bit

Soweit ich weiß wird mit PGP 2048 bit und AES 128 bit verschlüsselt. SHA(1,2,3) ist ohnehin nicht zur Verschlüsselung geeignet.

[hodlcoins]

Locky hat auch teilweise mit hardgecodeten Keys gearbeitet, war von daher in Sekunden brutebar.
Aber da alle 5 Minuten neue Lockies auftauchen mag das mttlerweile anders sein, und Konsens ist das Locky mittlerweile zu ist.
Durch den Onlineupdate ist da vorerst auch nix zu wollen.

[testbug]

Locky hat auch teilweise mit hardgecodeten Keys gearbeitet, war von daher in Sekunden brutebar.
Aber da alle 5 Minuten neue Lockies auftauchen mag das mttlerweile anders sein, und Konsens ist das Locky mittlerweile zu ist.
Durch den Onlineupdate ist da vorerst auch nix zu wollen.

Kannst du mir bitte die Quelle nennen, in der du das gefunden hast? Das wäre sehr sehr hilfreich!

Es kann sein, dass hier nicht SHA sondern eine andere Verschlüsselung zum Einsatz kommt, mein Anliegen war es in erster Linie darauf aufmerksam zu machen. Nach dem ganzen Cryptsy Zeug muss keiner seine BTC auch noch verlieren, weil das Backup/Wallet verschlüsselt ist

[hodlcoins]

Das war ein "Experte" im Fernsehn gestern abend, der so einige Programme vorgestellt hat die die ersten Lockys entschlüsseln konnten.
Irgend wie war das
- Laden sie eine Datei herunter
- Geben sie dem Programm eine der verschlüsselten Dateien, es rechnet einen Key aus
- Den Key auf unserer Webseite eintragen
- Seite rechnen lassen (kostenlos), erzeugt eine Datei
- Anderes Programm runterladen, Datei einfügen, starten
- Alles wieder da, soweit möglich.

Er hat gesagt, das es nur bei "alten" Lockys hilft, seit ein paar Tagen nicht mehr, da ja ein Schädling aus dem Netz nachgeladen wird und der wohl besser verschlüsselt, weil nicht alle PCs ein festes Salt haben.
Der Fehler war, das ein recht einfaches Verfahren genutzt wurde mit einem großen salt, und das war immer gleich, so musste nur der einfache Schlüssel des eigentlichen Systems erraten werden und der war auf dem Server abgelegt (Rainbowtables?). War natürlich Nachrichtenmäßig einfach erklärt, damit jeder Depp mitkommt.
Der aktuelle Locky hat wohl tatsächlich ein zufälliges Salt und einen zufälligen Key, und mindestens einen sogar pro Systemstart. Mit ein bissel Pech sind die Files mehrfach gelockyt und man darf trotz Lösegeld verzichten, da natürlich nur der gerade laufende Locky den Key auf den Server lädt.

[RenH]

Unerwünschte E-Mails mit Gewinnen etc. - Dinge die einfach zu gut klingen, um wahr zu sein -  sind bekannterweise ein echter Klassiker der Betrüger. Ein Bekannter von mir, ist vergangene Woche leider auf diese eigentlich altbekannte Masche reingefallen. Hauptgewinn, Anhang... Locky   Würde ein Vertreter an seiner Tür stehen und ihm die Welt auf den Silbertablett servieren, wäre er doch sicherlich auch skeptisch. Warum dann nicht bei E-Mails? So ausgeklügelt viele Betrugsversuche per E-Mail auch sind, die meisten kann man sicherlich mit gesundem Menschenverstand vermeiden!

Die verschlüsselten Dateien des aktuellen Locky-Trojaners können im Prinzip nur entschlüsselt werden, wenn die Server der Betreiber bereits
beschlagnahmt wurden. Mit den richtigen Sicherheitseinstellungen und einem gesundem Menschenverstand sollte man jedoch ohne Angst im Internet surfen können. Meinen Bekannten empfehle ich eigentlich immer den Einsatz von NoScript (Stichwort: Drive-by Viren), Sandboxie, Defender und Virustotal. Dazu ein eingeschränktes Benutzerkonto. Damit surfe ich seit Jahren Virenfrei .

Das bereits angesprochene Malwarebytes Anti-Ransomware https://blog.malwarebytes.org/news/2016/01/introducing-the-malwarebytes-anti-ransomware-beta/ machte in ersten Tests einen sehr guten Eindruck! Vielleicht ein kleiner "Hoffnungsschimmer" im Kampf gegen Ransomware.

[testbug]

Unerwünschte E-Mails mit Gewinnen etc. - Dinge die einfach zu gut klingen, um wahr zu sein -  sind bekannterweise ein echter Klassiker der Betrüger. Ein Bekannter von mir, ist vergangene Woche leider auf diese eigentlich altbekannte Masche reingefallen. Hauptgewinn, Anhang... Locky   Würde ein Vertreter an seiner Tür stehen und ihm die Welt auf den Silbertablett servieren, wäre er doch sicherlich auch skeptisch. Warum dann nicht bei E-Mails? So ausgeklügelt viele Betrugsversuche per E-Mail auch sind, die meisten kann man sicherlich mit gesundem Menschenverstand vermeiden!

Die verschlüsselten Dateien des aktuellen Locky-Trojaners können im Prinzip nur entschlüsselt werden, wenn die Server der Betreiber bereits
beschlagnahmt wurden. Mit den richtigen Sicherheitseinstellungen und einem gesundem Menschenverstand sollte man jedoch ohne Angst im Internet surfen können. Meinen Bekannten empfehle ich eigentlich immer den Einsatz von NoScript (Stichwort: Drive-by Viren), Sandboxie, Defender und Virustotal. Dazu ein eingeschränktes Benutzerkonto. Damit surfe ich seit Jahren Virenfrei .

Das bereits angesprochene Malwarebytes Anti-Ransomware https://blog.malwarebytes.org/news/2016/01/introducing-the-malwarebytes-anti-ransomware-beta/ machte in ersten Tests einen sehr guten Eindruck! Vielleicht ein kleiner "Hoffnungsschimmer" im Kampf gegen Ransomware.

Zu Malwarebytes kann ich noch sagen, dass es zumindest aktuell den Locky unterbindet. Habe es in einer VM getestet, und sobald man den Virus öffnet und die Verschlüsselung beginnt terminiert Malwarebytes den Prozess und die Verschlüsselung kommt nicht weit. Da die Software "free" ist, würde ich sie jedem empfehlen.

[Chefin]

Malwarebytes ist zu einseitig. Es wird hauptsächlich über Heuristik erkannt. Das machen aber Virenscanner auch.

Heuristik hat aber Nachteile, wenn man die Umgebung nicht kennt. Manche Dinge sind kaum zwischen Gut und Böse zu klassifizieren. Man benötigt also einen weiteren Virenscanner. Und der hat seinerseits auch Heuristik. Das man Verschlüsselung über Heuristik gut erkennen kann, wissen inzwischen alle und zumindest 2 Virenscanner mit denen ich zu tun habe lassen sich von keinen Verschlüsselungstrojaner mehr hinters Licht führen.

Allerdings wüsste ich auch schon, wie ich das wiederum austrickse. Momentan wird das erkannt, weil man die Verschlüsselung als solches erkennt. Und die Dateiendung auf eine bestimmte Endung geändert wird. Verschlüssel es, indem man es zusätzlich komprimiert und in ein .ZIP steckt. Und schon funktioniert die Heuristik nicht mehr. Oder sie lässt dich keine ZIP-Ordner mit Passwort mehr anlegen (die ja nichts anders sind wie verschlüsselte und komprimierte Dateien).

Du hast also für einige Tage Schutz, weist aber nicht wann die Hacker nachlegen. Und wie das so ist, man fühlt sich sicher und geht stärkeres Risiko ein. Bisher war kein Drive-by Infect dabei und der ist auch sehr schwer zu bekomme. Es ist nicht so, das jeder einfach in TOR schnell mal danach sucht und es downloaded. Sowas kostet richtig gut Geld. Musst du erstmal verdienen. Hacker sind ja keine reichen Menschen, die aus Langeweile sowas tun. Also fehlt zu Anfang das geld solche Exploids zu kaufen. Und später, wenn das Geld fliest, braucht man das doch garnicht. Es reicht doch, wenn immer was reinkommt. Erst wenn die Quelle am versiegen ist, wird man sich solche Exploids kaufen wollen. Ob die dann aber ihr Geld noch reinspielen? Ist ja auch so, das Virenscanner permanent nachlegen und so auch beim Drive-by nur noch wenige Infiziert werden.

Ich halte solchen Aktionismus mit schnell irgendwelche tools installieren nicht unbedingt für gut. Man fühlt sich sicher, ohne es zu sein. Gegen einen geschärften Geist hat Schadsoftware kaum eine Chance. Aber wenn man permanent alles irgendwelchen tools übergibt, wird man unvorsichtig und leichtsinnig.

[Wexlike]

Extrem interessant und sehr gut recherchiert, vielen Dank! Ist denn bekannt, wie lange die Verschlüsselung von zB 1 GB dauert? Ich schätze das ist abhängig von der im PC verbauten CPU?

[Chefin]

AES ist schnell. Der Key ist AES, er liegt aber mit RSA verschlüsselt auf deiner Platte. Und den Privatekey zu diesem RSA muss man kaufen.

Damit dürfte die Platte der begrenzende Faktor sein. Eine SSD könnte vieleicht schneller liefern als der PC verschlüsseln. Mechanische Festplatten aber wohl eher nicht. Damit dürfte ein Limit so bei 100-150MB/sec liegen. Vieleicht auch etwas mehr. Genaue Analyse der Software bekommt man wohl eher nicht. zB wieviel Kerne sie nutzt, wie stark sie parallelisiert usw.

Auch geht sie nicht pauschal auf alle Dateien los, sondern auf bestimmte Datenformate. Also muss sie auch erstmal die typischen Ablageorte abklappern, wo sie sicher einiges findet. Mit etwas glück liegt dort eher belangloses und die wichtigen Orte kommen erst später dran, wenn sie gefunden wurden. Das gibt einem eine gewisse Chance. Aber wie die das genau aufteilen..keinen Plan. Möglich wäre auch, das sie zuerstmal alle Verzeichnisse durchackern um die Orte mit dem höchsten Schadenspotential zu finden. Das dürfte recht schnell gehen. Und dann gezielt dort zuschlagen, wo möglichst viele Datendateien liegen.

[testbug]

Extrem interessant und sehr gut recherchiert, vielen Dank! Ist denn bekannt, wie lange die Verschlüsselung von zB 1 GB dauert? Ich schätze das ist abhängig von der im PC verbauten CPU?

Danke dir

Wie lang das genau für ein GB dauert kann ich nicht sagen, bei einem Kunden wurde der gesamte Desktop (tja...das war bei ihm eher ein Temp-Verzeichnis bzw Ablage...) ca 1,5-1,7GB (im Backup) war in ca 5Minuten verschlüsselt.

Chefin hat schon recht, wie schnell der genau ist kann man nicht sagen. Drehen Platten, also herkömmliche HDDs sind deutlich langsamer als SSDs. SSDs werden merklich schneller verschlüsselt, das liegt aber halt auch daran, dass SSDs einen deutlich größeren Datendurchsatz haben als HDDs.

@chefin
Natürlich sollte man sich nicht nur auf tools/Antivirensoftware verlassen. Aber diese bieten eine guten Grundschutz. Das von mir verlinkte Tool schützt NUR gegen Ransomware und nicht gegen z.B. "herkömmliche" trojaner.

Ist der Nutzer natürlich immer aufmerksam sinkt die Gefahr einer Infizierung deutlich.

Abhilfe schafft ebenfalls noch, per Richtlinie das starten/ausführen von Exe,zip, sonstige Dateien, zu unterbinden. Klar, das lässt sich auch wieder umgehen, aber bis jetzt funktionieren alle mir bekannten Ransomware in den Temp-Verzeichnissen bzw werden dort herunter geladen.

[Chefin]

Jo, stimme ich dir zu.

Wenn man sich die Viren der letzten 20 Jahre anschaut merkt man wie der Anteil an automatischen Infektionen abgenommen hat und wie immer mehr versucht werden muss, den User dazu zu bringen eine Aktion zu machen. Die letzten 2-3 Jahre sind praktisch alle großen Virenwellen auf Userinteraktion angewiesen gewesen.

Also kann man es dadurch auch ganz gut erkennen, wenn man seinen Blick dafür schärft.

Was es an Netzwerkinternen und Drive-by Vektoren gibt, wird von normalen Kriminellen nicht genutzt. Einfach zu teuer und man kann den Bug legal für fast das selbe verkaufen, wie man illegal abzocken könnte. Das nutzten dann andere und ist auch ein völlig anderes Thema. Das wird auch von Virenscannern meist nicht erkannt, weils da entsprechend Vereinbarungen gibt.

USA wird sich sicher keinen Exploid den sie teuer erworben haben, einfach so via Virenscanner lahmlegen lassen. Die haben da schon ihre Möglichkeiten, wie wir heute wissen.

[Bytekiller]

also ich bekomm mails auf einen erfunden namen den ich NUR bei ebay verwedet hatte (war ein zweit fake acc)