WeBLOG
Schutz vor Ransom-Verschlüsselungs-Trojaner (20.02.2016)
Derzeit kursieren "Locky" (spricht auch Deutsch) oder "TeslaCrypt", sog. Verschlüsselungs-Trojaner (Ransomware), die die Vorgänger Cryptolocker & Co. abgelöst haben. I.d.R. kommen diese Trojaner per eMail-Anhang oder eMail-Link von vermeintlich sicheren Absendern oder die eMail-Empfänger gehören einem bekannten Kreis an (Stichwort Mail-Spoofing über eMail-Adresshandel), weshalb der unvorsichtige Empfänger schnell zum Klick verleitet wird. Auch ist die Verbreitung über Exploit-Kits wie z.B. Neutrino üblich. Hierbei wird versucht, Sicherheitslücken im Browser oder Browser-(Flash-)Plug-ins auszunutzen, um entsprechende Malware über manipulierte Webseiten zu platzieren.

Anschliessend werden Dateien auf dem Rechner und erreichbaren Verzeichnissen im Netzwerk und in der Cloud meist unwiederbringlich verschlüsselt. Die Zahlung des geforderten Betrages an die Erpresser führt i.d.R. ins Leere.

Wie kann man sich - über den Einsatz von Hirn 2.0 (gesunder Menschenverstand, der beste Virenscanner) hinaus - davor schützen? Wir geben nachfolgend ein paar profunde Tipps:
  • Wir haben es schon erwähnt: Zuerst nachdenken, dann klicken! Bestehen nur geringste Zweifel an der Vertrauenswürdigkeit einer Quelle, Finger weg. Insbesondere Rechnungs-Mails mit Office-Anhängen (vermeintliche Word- bzw. Exceldateien) oder Tracking-Links von Versanddiensten ist besondere Beachtung zu schenken. Des weiteren kursieren eMails von der eigenen Domain, beispielsweise "scanner@ihredomain.tld" mit einem vermeintlich gescannten Dokument...

    Durchaus können es aber auch plausible eMails sein, lieber einmal zu wenig als einmal zu viel klicken (siehe Mail-Spoofing am Bsp. von Yahoo).

  • Aktuell kursieren sog. Makroviren, d.h. konfigurieren Sie Microsoft-Office diesbzgl. so, dass kein Makrocode zugelassen bzw. nur auf Nachfrage ausgeführt wird. Z.B. "arbeitet" der Ransom-Trojaner "Locky" u.a. per Makrocode (aber er kann auch anders). Excel- oder Word-Anhänge haben im eMail-Verkehr eigentlich nichts zu suchen. Erhalten Sie von einer Firma eine ERWARTETE Rechnung in einem Office-Format, öffnen Sie diese nicht und fordern stattdessen eine PDF-Datei an. Erwarten Sie keine Rechnung, eMail sofort löschen.

    Office-Einstellungen zu Makros sind zu finden unter den Optionen. Dort "Einstellungen für das Trust Center" respektive "Einstellungen für das Sicherheitscenter" und "Einstellungen für Makros" bzw. "Makroeinstellungen":


  • Evtl. sollte in Erwägung gezogen werden, den Windows Script Host (COM-basierte Laufzeitumgebung für Script-Sprachen) zu deaktivieren. Dazu können Sie HIER zwei Registry-Import-Dateien herunterladen, welche den WSH einfach deaktivieren und aktivieren können. Ansonsten wäre folgender Eintrag in der Registry zu tätigen:

    Schlüssel-Pfad:
    HKEY_LOCAL_MACHINE-->SOFTWARE-->Microsoft-->Windows Script Host-->Settings
    REG_SZ-Zeichenfolge:
    "Enabled"="0"

    Die 1 zu "Enabled" bedeutet aktiviert und die "0" deaktiviert.

  • Lassen Sie JavaScript im Browser nur bei vertrauenswürdigen Webseiten zu und aktivieren JS nicht grundsätzlich! Ransom32 "arbeitet" z.B. per JavaScript...Für den Browser Firefox gibt es das sehr sinnvolle AddOn "NoScript", welches darüber hinaus auch wunderbar Einblick gibt, welche Webseite was wohin schickt...

    Das hilft allerdings nichts, wenn die JS-Datei per eMail ins Haus flattert, siehe Kommentar weiter unten.

  • Befolgen Sie DIESE grundsätzlichen Sicherheits-MASSNAHMEN penibel!

  • Lassen Sie sich Dateiendungen anzeigen! Windows blendet diese per default bei bekannten Dateitypen aus, was zu fatalen Fehlinterpretationen führen kann. Einzustellen im Win-Explorer unter Organisieren/Ordner- und Suchoptionen/Reiter Ansicht/Erweiterungen bei bekannten Dateitypen ausblenden (Häkchen entfernen):


    Einige Beispiele wie solche Irrtümer entstehen können:

    • Datei "rechnung.pdf.exe" oder "rechnung.pdf.js" oder "rechnung.pdf.xls" sieht so aus: "rechnung.pdf"

    • Datei "rechnung.zip" oder "rechnung.rar" sieht so aus: "rechnung" (und ähnelt dem Aussehen eines Ordners, weil Archivdateien unter Windows im Explorer als solche interpretiert werden)

  • Erstellen Sie regelmässig Backups Ihrer Rechner auf einem Datenträger, der nicht ständig mit dem Rechner verbunden ist bzw. im Netzwerk nicht automatisiert schreibberechtigt erreicht werden kann. Sehen Sie dazu diesen ausführlichen Beitrag zur Datensicherung inkl. Beschreibung zum Schutz eines NAS vor Ransomware

  • Arbeiten Sie unter Windows nicht als Benutzer mit Administrator-Rechten, sondern als Standardbenutzer mit eingeschränkten Rechten. Gegen die Verschlüsselung der Benutzerdaten des angemeldeten User schützt dies allerdings nicht aber es wird einem Trojaner nicht gleich der volle Admin-Zugriff vererbt, der zu weiterem Ungemach führen würde. Ferner werden Daten anderer Systembenutzer nicht angetastet. So könnten Sie z.B. eigens für den eMail-Verkehr oder das Browsen im Internet einen eigenen eingeschränkten Account anlegen und wichtige Dateien unter einem anderen eingeschränkten Account im Benutzerverzeichnis ablegen. Das Admin-Konto dient nur für wichtige Systemeingriffe wie Installation u.s.w..

  • Für fortgeschrittene Anwender bieten sich unter Windows Softwareinschränkungen (Software Restriction Policies) über die Gruppenrichtlinien an (besseren Schutz gibt es nicht). D.h. die Ausführung von Anwendungen ist in bestimmten Verzeichnissen nicht mehr möglich bzw. bestimmte Anwendungen dürfen nie ausgeführt werden. Wer über fundiertes Wissen und Erfahrung verfügt, bediene sich des mächtigen Gruppenlinieneditors (gpedit.msc). Aber auch wenig versierte Anwender bleiben nicht im Regen stehen. Es gibt z.B. das Tool CryptoPrevent (in der Grundausstattung kostenlos) der Firma FoolishIT über welches entsprechende Richtlinien auf einen Schlag aktiviert oder wieder deaktiviert werden können, siehe Screenshot:



    Wurde in den Einstellungen zu den "Notification Options" kein Häkchen bei "Silent blocking" gesetzt, erscheint bei einer Verletzung der Gruppenrichtlinien eine der folgenden Meldungen und Sie sind auf der sicheren Seite des Computerlebens :





    Wir haben diverse Ransomware (TeslaCrypt 2 und 3 sowie Locky) auf ein Windows 7 mit diesen Gruppenrichtlinien absichtlich losgelassen und keiner der Trojaner konnte sich aufgrund derer entfalten, sprich keine einzige Datei wurde verschlüsselt!

  • Auch kann die Installation von MalwareBytes Anti-Ransomware (Beta) in Erwägung gezogen werden. Diese Software läuft problemlos neben einem installierten Anti-Virenprogramm und verfolgt einen anderen Ansatz als den traditionellen Weg über Virensignaturen oder heuristisches Verhalten Malware aufzudecken. Siehe Screenshot:



    Wir haben die Betaversion 5 (build 0.9.14.361) von Anti-Ransomware, ohne obige Software-Restriktionen über Gruppenrichtlinien, getestet, indem wir die Ransom-Trojaner "TeslaCrypt" in Version 2 und 3 sowie "Locky" absichtlich auf einem Windows 7-System von der Leine gelassen haben. Im Falle von TeslaCrypt konnte das Tool eine Verschlüsselung komplett verhindern. Locky schaffte die Verschlüsselung von rund 25 Dateien und wurde "erst" dann von Anti-Ransomware gestoppt. Dennoch ein beachtliches Ergebnis. Allerdings kommt es bei der Beta-Version aktuell noch zum einen oder anderen Fehlalarm, was jedoch durch das White-Listen (Exclusions) gut in den Griff zu bekommen ist.



FAZIT: Mit etwas Engagement kann man sich durchaus wirksam Ransomware vom Hals halten und ist nicht, wie in der Presse oft behauptet wird, schutzlos ausgeliefert. Selbst ein unbedachter Maus-Klick lässt so die Welt nicht einstürzen.

Sicherheit hat aber seinen Preis (zeitlicher Aufwand) und war noch nie bequem. Ferner ist die IT-Sicherheit kein Zustand, sondern ein Prozess, d.h. immer dranbleiben...

Kommentare (25) zu diesem BLOG-Eintrag
Sie können einen neuen Kommentar-Thread beginnen (siehe Button) oder auf einen bestehenden Kommentar antworten (Grafik "antworten" unten links zu einem Kommentar anklicken). In letzterem Fall wird ein "@{name}" (auf wen die Antwort erfolgte) im Kommentar automatisch vorangestellt.


Troll (20.02.2016 | 14:36 Uhr)

Hallo Herr Murr,

danke für den Newsletter. Der beste Beitrag, den ich bisher zu diesem Thema gelesen habe. Vor allem die Sache mit den Gruppenrichtlinien scheint mir der richtige Ansatz zu sein. Werde ich fleißig weitergeben.    

securetoken (20.02.2016 | 16:46 Uhr)

@Troll
Sehe ich genauso. Der Gruppenrichtlinienansatz war mir bisher auch nicht bekannt. Habe ich gleich umgesetzt und siehe da, keine Software kann sich verwirklichen, so lange ich das nicht rückgängig mache.    

manfred (21.02.2016 | 08:04 Uhr)

@securetoken
cryproprevent habe ich auch installiert. leider kann ich danach keine programme mehr installieren.    

Thomas Murr | Bauser-Enterprises IT (21.02.2016 | 11:52 Uhr)
kundenservice@bauser-enterprises.com
@manfred
Bei Deiner Installation handelt es sich sicherlich um ein ausführbare Datei aus einem temporär ausgepackten Archiv, welche nun in einem - durch die CryptoPrevent provozierte Gruppenrichtlinie - geschützten Verzeichnis liegt und dadurch geblockt wird. Das ist ja Sinn der Sache!

Vor einer gewollten Neuinstallation würde ich den "Undo Protection"-Button klicken und den Rechner neu starten. Nach der Installation sollte dann wieder "Apply Protection" (mit den im obigen Screenshot aktivierten Häkchen) geklickt und neu gestartet werden.

Alternativ kann auch das Häkchen bei "Block Executables Temporarily Extracted from Archives" entfernt werden, was ich aber nicht dauerhaft empfehle!    

Alfi (20.02.2016 | 15:46 Uhr)

Ausführliche Info!    

Tommy (20.02.2016 | 16:34 Uhr)

Thomas, du bist der Beste!
immer auf der Info-Spur mit guten Hinweisen und Erklärungen.
Danke!    

Kerstin N. (20.02.2016 | 17:01 Uhr)

Hallo Herr Murr,

ich möchte mich auf diesem Wege auch mal für Ihre immer kritischen und hilfreichen Beiträge bedanken. Auch danke für den letzten Newsletter!

Liebe Grüße von Kerstin N.    

fleet (21.02.2016 | 01:32 Uhr)

danke für die wertvollen hinweise. ich habe das von malwarebytes installiert (auch bei den pc meiner familie) und hoffe, daß das was hilft.    

JumpinJackFlash (21.02.2016 | 12:43 Uhr)

muß euch meinen respekt zollen. auf keiner seite im netz habe ich bisher solche infos gefunden. die meisten empfehlen einen virenscanner zu installieren. einen solchen tipp kann man sich sparen, weil hat ja sowieso jeder. zumal die meisten virenscanner den signaturen zu neusten ransomware hinterherlaufen und man extrem pech haben kann. die idee programme in benutzer-verzeichnissen nicht zuzulassen erscheint mir der einzig richtige tipp zu sein.

diese seite habe ich deshalb auch in einen newsletter gepackt und an meine abonennten geschickt. ganz bestimmt wird sich das in windeseile herumsprechen. weiter so!    

Troll (21.02.2016 | 13:06 Uhr)

@JumpinJackFlash
Ganz meine Meinung.
Bauser-Enterprises hätte das Krankenhaus in NRW und in Los Angeles betreuen sollen, siehe hier:

http://www.spiegel.de/netzwelt/web/it-probleme-in-nrw-computervirus-legt-mehrere-krankenhaeuser-lahm-a-1077469.html

http://www.zeit.de/digital/datenschutz/2016-02/it-sicherheit-ransomware-erpressung-krankenhaus-los-angeles-neuss    

JumpinJackFlash (21.02.2016 | 13:10 Uhr)

@Troll
ransomware LOCKY verschlüsselt momentan 17000 rechner an einem tag NUR in deutschland:

http://www.spiegel.de/netzwelt/gadgets/locky-17000-windows-rechner-in-deutschland-taeglich-infiziert-a-1078318.html    

Kaiman (21.02.2016 | 16:52 Uhr)

Vielleicht kann man mir helfen. CryptoEvent habe ich installiert aber es funktionieren nicht mehr alle installierten Programme korrekt. Erst wenn ich wieder Undo Protection veranlasse funzt es wieder normal.    

Thomas Murr | Bauser-Enterprises IT (21.02.2016 | 17:14 Uhr)
kundenservice@bauser-enterprises.com
@Kaiman
Manche Programme benötigen, nach Erstellung solcher Group-Policies, Administrator-Rechte. Ergo versuche die problematischen Programme mit erweiterten Rechten auszuführen (rechter Mausklick -- "Als Administrator ausführen") und berichte bitte, ob diese dann ordnungsgemäss laufen.    

Kaiman (21.02.2016 | 18:08 Uhr)

@Thomas Murr | Bauser-Enterprises IT
So funktioniert es. Nur komisch, daß das nur bei manchen Programmen so ist.    

Frieder (22.02.2016 | 01:07 Uhr)

Sehr geehrte Damen und Herren,

die oben empfohlene Schutzsoftware CryptoPrevent habe ich installiert. Aber ich finde nicht die gleichen Einstellungsmöglichkeiten wie im dargestellten Bild, sondern nur die Optionen:

None, Basic, Default, Maximum Protection, Maximum Protection + Program Filtering (Beta)

Wie komme ich zu den Einstellungsmöglichkeiten wie oben angezeigt? Danke im voraus.    

Thomas Murr | Bauser-Enterprises IT (22.02.2016 | 07:57 Uhr)
kundenservice@bauser-enterprises.com
@Frieder
CryptoPrevent verfügt über eine Menüleiste. Dort folgenden Punkt auswählen:

Advanced -- Show More Advanced Options

Anschliessend öffnen sich die erweiterten Optionen wie im obigen Screenshot dargestellt. Will man immer sofort die erweiterten Optionen sehen, dann im erweiterten Optionsfenster ein Häkchen wie folgt setzen:

Advanced -- Always open to Advanced Interface    

trojahorst (22.02.2016 | 09:52 Uhr)

der artikel ist erst ma schön und gut. aber es ist eine predigt an die sowieso schon bekehrten. die meisten sind zu faul zur umsetzung bzw. lesen das überhaupt nicht. nach dem motto: passiert mir eh nich...panikmache

leider besteht die welt aus 99,9 prozent DAU. und aus diesem einfachen grund werden sich die ransom-heinis dumm und dämlich verdienen. schätze mal da wird man innerhalb von stunden zum millionär. warum da lange auf einen lottogewinn warten, wenns doch so einfach geht und milliarden von deppen den ganzen tag wirr und sinnfrei auf alles und jedes klicken. mit dummheit hat sich schon immer geld verdienen lassen.

passend dazu hat man gleich die bitcoins eingeführt, um eine astreine erpreßungswährung zu haben, ohne irgendwelche konten hacken oder western union (wie früher) bemühen zu müssen.

und die tollen auf(s)passer, wo sind die eigentlich? immer wenn es darauf ankommt ist von den allwissenden NSA-läden mit ihren großen rechenzentren keiner zu sehen. komisch.    

Thomas Murr | Bauser-Enterprises IT (22.02.2016 | 10:25 Uhr)
kundenservice@bauser-enterprises.com
@trojahorst
Du hast eine sehr verhärtete Sichtweise der Dinge.

Sicherlich ist bei einigen Anwendern kein Hirn 2.0 zu finden, sondern es ist beim Release Candidate 0.9 geblieben aber dennoch muss ich widersprechen:

Heutzutage haben Büroangestellte eine wahre Flut an eMails zu bewältigen, daneben klingelt das Telefon und der Kollege will vielleicht auch noch etwas. Schnell ist da "im Eifer des Gefechts" in der Alltagshektik der falsche Mausklick getan.

Auch gibt es ältere Menschen, die sich einen Rechner angeschafft haben und nicht in der Versiertheit bzw. Kompetenz agieren können, wie es sein müsste bzw. die Du so selbstverständlich erwartest. Ganz zu schweigen von Kindern, die auch am Rechner sitzen...

Die ganze Sache ist eine Riesensauerei und nichts anderes als höchst kriminell. Darüber hinaus legitimiert Dummheit oder Unbedarftheit des Opfers keine Erpressung.

In einem Punkt bin ich allerdings absolut Deiner Meinung: Wo sind die Bürger-Schnüffler mit ihren exzellenten Möglichkeiten (Stichwort: Prism)? Bereits in den 60ern ist man auf dem Mond geflogen und in 2016 nicht in der Lage, eine grossflächig angelegte Erpressungswelle zu stoppen bzw. die Verantwortlichen zu finden und zur Rechenschaft zu ziehen. Das Interesse daran scheint nicht all zu gross. Lieber weiter im Dunklen Daten einsammeln...    

DAU (23.02.2016 | 11:43 Uhr)

@trojahorst
Lieber Trojahorst (was für ein beschissener Name),

Dir wünsche ich den Erhalt einer E-Mail von einem Kumpel (gefälscht) mit vertrauenswürdigem E-Mail-Text (gefälscht), der einen Empfehlungs-Link (gefälscht) zu einem interessanten Artikel (gefälscht) enthält, der Dir dann so richtig den Ransom-Trojaner (völlig echt) um die Ohren haut.

Anschliessend, wenn Du Dein System neu aufgesetzt und Deine Tränen getrocknet hast, bitte ich Dich, hier erneut einen Kommentar als geläuterter DAU zu posten.

Nichts für ungut aber Dein Posting ist Müll.    

Mayer (22.02.2016 | 12:13 Uhr)

Bei uns war das Kind bereits in den Brunnen gefallen. Scheinbar war es der Tesla-3 und hat alle verschlüsselte Dateien mit der Endung .micro versehen. Das Betriebssystem wurde aus Sicherheitsgründen neu installiert. Eine Datensicherung hatten wir keine aber jetzt haben wir eine gemacht. Es handelt sich zwar im großen und ganzen nur um ideelle Werte und ein paar Familiendokumente aber trotzdem sehr ärgerlich.

Wir haben die Verschlüsselung zuerst nicht bemerkt, erst als eine bestimmte Worddatei gesucht wurde und die plötzlich micro hieß.

Ein Bekannter hat mich auf Eure Seite aufmerksam gemacht. Schade, daß ich das alles nicht früher gewußt habe. Ich kann jedem nur raten regelmäßig Daten zu sichern.    

Thomas Murr | Bauser-Enterprises IT (22.02.2016 | 20:30 Uhr)
kundenservice@bauser-enterprises.com
Nachtrag zum Beitrag:

Der Verschlüsselungs-Trojaner "Locky" wird nun auch über Javascript-Dateien unter die Menschheit gebracht. Bisher war nur die Verbreitung über Makrocode bekannt. Siehe Beitrag auf heise.de:

http://www.heise.de/newsticker/meldung/Neue-Masche-Krypto-Trojaner-Locky-ueber-Javascript-Dateien-verbreitet-3113689.html

Der Absender im Namen der Ludwigsluster Fleisch- und Wurstspezialitäten GmbH wurde gefälscht (die Firma hat nichts damit zu tun, dafür jetzt aber viel Ärger am Hals, weil sich viele Empfänger dort beschweren). Im eMail-Text wird der Empfänger in korrektem Deutsch aufgefordert, die im Anhang beiliegende vermeintliche Rechnung zu korrigieren. Der eMail-Anhang enthält eine ZIP-Datei, in welcher sich eine Javascript-Datei findet. Die JS-Datei lädt bei Ausführung den Locky-Trojaner herunter und führt diesen mit bekanntem Ergebnis - Dateien zu verschlüsseln - aus.

Locky kann somit auf jedes System gelangen, da JS plattformunabhängig ist und die entsprechenden Binaries zum jeweiligen System (Windows, Linux, OS X) herunterladen kann. Locky ähnelt jetzt dem Ransom32-Trojaner.    

Manuela (23.02.2016 | 10:09 Uhr)

Danke für den Newsletter und die nützlichen Tipps aus dieser Seite!
Ich habe den Newsletter an mein komplettes Adressbuch weitergeleitet.    

Stern M. (24.02.2016 | 09:27 Uhr)

Eben gelesen. Sehr viele Informationen aber verständlich erklärt.    

Manne (26.02.2016 | 11:47 Uhr)

Sehr gute Aufklärung zum Sachverhalt.
Habe auch schon 3 Mails von scanner@..... mit einem Excel-Anhang bekommen aber sofort gelöscht.    

Ferryman (27.05.2016 | 18:02 Uhr)

SUPER BEITRAG! Danke für die Infos.