Virenwarnung - Teslacrypt.

[Möööööp]

Mahlzeit,

sorry für diesen ellenlangen Post, aber letzte Woche hat dieser Virus einen Kunden ganz übel erwischt, deshalb hier mal ein paar Einzelheiten - bitte lesen und beherzigen:

Virenbefall Freitag, 11.12. mittags aus einer mail mit bekannter Absenderadresse und plausiblem Betreff/Inhalt. Virenscanner war aktuell, hätte den Virus aber erst nach einem Update am Samstag erkannt. Währenddessen hat das Ding an allen erreichbaren Stellen alle Dokumente (s.u.) verschlüsselt und die Dateiendung .vvv angehängt.

Mit Bordmitteln war nichts wiederherstellbar (s.u.), zur Datensicherung hat die Firma eine USB-Platte genommen, die 1.) IMMER am Server hing und 2.) ca. im Juli/August gestorben war. => Alle Daten futsch.

Er hat dann das Prinzip Hoffnung angewendet und 2,2 Bitcoins = ca. 950,-€ an die Erpresser gezahlt und heute mittag dann wirklich das Entschlüsselungstool bekommen. Ist 8 Stunden gelaufen, jetzt sitze ich da und bereinige seit Stunden das System - der verschlüsselte Müll bleibt nämlich liegen, auch in Ordnern, auf die normalerweise niemand Zugriff hat.

Die Gesamtkosten werden mit einer Woche Arbeitsausfall und meiner bescheidenen Rechnung wohl satt 5-stellig sein. Weihnachten wird trist ausfallen...

Zum eigentlichen Virus:

Dieser Virus (Ransomware = Erpressungssoftware) verbreitet sich im Moment rasant, vorletzten Mittwoch hat es z.B. Links sind für Gäste , nicht aktivierte Accounts sowie Nullposter unsichtbar. Bitte registriere Dich erst als Mitglied im Forum, aktiviere Deinen Account oder schreibe Deinen ersten Beitrag. Klick hier zum registrieren, oder hier um den den Aktivierungscode erneut zu erhalten. getroffen.

Der Virus kommt meist als Anhang einer mail von einem bekannten Absender. Dieser Anhang besteht aus einer .ZIP- oder .DOC Datei (auch andere Dokumententypen sind möglich), die dann den eigentlichen Virus (ein Java-Script) enthält, der sich, je nach Systemeinstellung, sehr oft selbständig im PC installiert. Der Virus wird im Moment so schnell und oft verändert, daß die allermeisten Virenscanner ihn nicht oder erst nach geraumer Zeit entdecken können – auch ein aktueller Virenscanner ist kein 100%iger Schutz vor Viren, ein neuer oder veränderter Virus schlüpft an jedem Scanner vorbei!

Der Virus verhält sich einige Zeit ruhig, in dieser Zeit werden auf allen erreichbaren Laufwerken (lokal, Netzwerk, NAS und angeschlossene USB-Sticks und –Festplatten – auch Datensicherungslaufwerke!) alle Dokumente wie z.B. .DOC, .XLS, .PDF usw. und Archive verschlüsselt, die Originale werden spurlos gelöscht. Daneben beendet der Virus den Schattenkopie-Dienst von Windows und löscht alle vorhandenen Wiederherstellungspunkte und anschließend sich selbst
.
Ein Entschlüsseln der Dateien ist NICHT MÖGLICH! Die verwendete Verschlüsselungsmethode gilt (nach heutigem Stand) als nicht in vertretberen Zeiträumen umkehrbar, ohne Kenntnis des verwendeten Schlüssels.

Wegen der oben beschriebenen Arbeitsweise ist auch ein Wiederherstellen der Daten mit Windows-Bordmitteln nicht möglich. Eine Datensicherung hilft auch nur dann, wenn die Sicherungsmedien offline gehalten werden – also z.B. täglich gewechselte Bänder/Platten.

Der Anwender wird dazu aufgefordert, einen Betrag von 500,- bis 1.000,- US-$ in Bitcoins oder via PayPal zu zahlen, um im Gegenzug das Entschlüsselungsprogramm mit dem passenden Schlüssel zu bekommen – ob das zutrifft, ist im Moment noch unsicher, da Teslacrypt als Virenkit im Darknet verkauft wird, und je nach Käufer mal das Entschlüsselungsprogramm 'rausgerückt wird, mal nicht. Aber von ähnlichen Angriffen kann man darauf schließen, daß wahrscheinlich das Geld UND die Daten verloren sind.

Nebenbei versendet sich der Virus auch selbsttätig an Kontakte aus dem Adreßbuch des „Opfers“.

Bitte seid in Zukunft äußerst vorsichtig, was das öffnen von email-Anhängen angeht. Fragt Euch bitte auch bei bekannten Absendern, ob es sich wirklich um eine gewollt versandte mail handelt, oder ob der Absender evtl. unwissentlich diesen Virus verschickt hat.

Notfalls beim Absender nachfragen, ob diese mail „echt“ ist – oder den Anhang nach Links sind für Gäste , nicht aktivierte Accounts sowie Nullposter unsichtbar. Bitte registriere Dich erst als Mitglied im Forum, aktiviere Deinen Account oder schreibe Deinen ersten Beitrag. Klick hier zum registrieren, oder hier um den den Aktivierungscode erneut zu erhalten. hochladen und scannen lassen, kost' nix! Für Paranoide: Zwei, drei Tage warten, nochmal hochladen und erst dann öffnen.

In Outlook auch die Anlagenvorschau abschalten - diese blockiert zwar potentiell gefährliche Anhänge, aber nach einem unbedachten Klick auf "Dateivorschau" wird sie doch angezeigt (und Schadcode ausgeführt).
Links sind für Gäste , nicht aktivierte Accounts sowie Nullposter unsichtbar. Bitte registriere Dich erst als Mitglied im Forum, aktiviere Deinen Account oder schreibe Deinen ersten Beitrag. Klick hier zum registrieren, oder hier um den den Aktivierungscode erneut zu erhalten.

Immer eine Datensicherung auf mehr als einem Sicherungsmedium durchführen, z.B. zwei oder drei USB-Platten im Wechsel, diese nach der Sicherung vom Rechner trennen. Im geschäftlichen Umfeld eine professionelle Lösung (DLT, RDX) mit täglichem Medienwechsel verwenden! Sicherungsprotokoll lesen!

Statt des Internet-Exploders einen anderen Browser nutzen, z.B. Firefox mit den Addons Adblock+ und Noscript.

Und immer daran denken: Der beste Virenscanner sitzt zwischen den Ohren!

Bitte gebt diese Warnung auch an Kollegen und Freunde weiter.

Viele Grüße, schöne Weihnachten und einen guten Rutsch

Michael

[doc]

Hallo Michael,

vielen Dank für die Warnung!

Wie sieht es mit Mac aus, auch gefährdet, oder nur Windoof-Rechner?

2. Frage: Verlässt das Virus einen Virtuellen Server und greift trotz strikter Trennung des virtuellen mail-Servers auf das ganze Serversystem über bei Windoof-Systemen?

Ulf

[Möööööp]

(23.12.2015 02:36)doc schrieb: Links sind für Gäste , nicht aktivierte Accounts sowie Nullposter unsichtbar. Bitte registriere Dich erst als Mitglied im Forum, aktiviere Deinen Account oder schreibe Deinen ersten Beitrag. Klick hier zum registrieren, oder hier um den den Aktivierungscode erneut zu erhalten.Hallo Michael,

vielen Dank für die Warnung!

Wie sieht es mit Mac aus, auch gefährdet, oder nur Windoof-Rechner?

2. Frage: Verlässt das Virus einen Virtuellen Server und greift trotz strikter Trennung des virtuellen mail-Servers auf das ganze Serversystem über bei Windoof-Systemen?

Ulf

Hallo Ulf,

erstmal nur Windoof - Mac OS hat etwas andere Mechanismen, was das Ausführen von Dateien angeht - ein normaler Benutzer hat nirgends root-Privilegien.

Zu 2.) Der Virus geht an ALLE im Zugriff befindlichen Netzwerk-Shares - was der aktuelle Benutzer im Netz nicht im Zugriff hat, ist nicht gefährdet. Gemappte Laufwerksbuchstaben (z.B. L:\) und freigegebene Netzwerkshares (\\Servername\Freigabename) werden erkannt und verschlüsselt.

Ein virtualisierter mailserver hilft nicht, denn Teslacrypt wird durch öffnen eines mail-Anhangs auf einem Netzwerk-Rechner auf diesem aktiv - dann hat der Virus den mailserver schon verlassen, auch bei IMAP bzw. OWA.

Grüßle

Michael

[doc]

Danke Dir für die Info,

ist ja wirklich übel! Aber die Jungs von Cisco haben es ja wohl geschafft den Übeltäter zu entschlüsseln, und bieten die Entschlüsselungssoftware kostenlos an.

Ulf

[Möööööp]

Tja Ulf, das ist die Entschlüsselungssoftware für eine alte Version des Virus - die hat nicht mit einem 4096 bit RSA-Key verschlüsselt, und da lag sowohl der Virus als auch der zum Verschlüsseln benutzte Key noch auf dem Rechner rum.
Gauner, wo man hinguckt

[Birne1100]

Benutze fürs i-net einen seperaten Rechner ohne jegliche persönliche Informationen, der andere hat noch das i-net gesehen und wird er auch nie.

[doc]

privat mag das klappen, geschäftlich lässt sich das leider in einer EDV so nicht handhaben.

[Stormbringer]

Also, in einer geschäftlichen Umgebung arbeitet man auch professionell, und nicht halb-und-halb.

Macs & Co sind nicht außen vor, da Geschädigte diese u. U. gemäß Störerhaftung zu Schadenersatz aufkommen lassen können.

[Möööööp]

(26.12.2015 12:05)Stormbringer schrieb: Links sind für Gäste , nicht aktivierte Accounts sowie Nullposter unsichtbar. Bitte registriere Dich erst als Mitglied im Forum, aktiviere Deinen Account oder schreibe Deinen ersten Beitrag. Klick hier zum registrieren, oder hier um den den Aktivierungscode erneut zu erhalten.Also, in einer geschäftlichen Umgebung arbeitet man auch professionell, und nicht halb-und-halb.

Seitdem jeder, der unfallfrei Solitaire spielen kann, sein Firmennetz selbst betreut habe ich Sachen gesehen, jungejungejunge. Und dann erzähl den Leuten mal, daß eigentlich nur plattmachen und neu aufbauen die einzig saubere Lösung ist...

Zitat:Macs & Co sind nicht außen vor, da Geschädigte diese u. U. gemäß Störerhaftung zu Schadenersatz aufkommen lassen können.

Schon richtig, aber nur wenn der Mac irgendwie selbst zur Virenschleuder geworden ist - ist im Fall Teslacrypt (noch) auszuschließen.
Für die Virenprogrammierer lohnen sich die Unix-Abkömmlinge wie MacOS und Linux halt noch nicht, weil sie 1) noch zu wenig verbreitet sind und 2) die Nutzer dieser Systeme sich meist eingehender damit auseinandersetzen als Windows-Nutzer. Wird aber bestimmt noch kommen

[Stormbringer]

(26.12.2015 13:56)Möööööp schrieb: Links sind für Gäste , nicht aktivierte Accounts sowie Nullposter unsichtbar. Bitte registriere Dich erst als Mitglied im Forum, aktiviere Deinen Account oder schreibe Deinen ersten Beitrag. Klick hier zum registrieren, oder hier um den den Aktivierungscode erneut zu erhalten.[quote='Stormbringer' pid='56880' dateline='1451124329']

Zitat:Macs & Co sind nicht außen vor, da Geschädigte diese u. U. gemäß Störerhaftung zu Schadenersatz aufkommen lassen können.

Schon richtig, aber nur wenn der Mac irgendwie selbst zur Virenschleuder geworden ist - ist im Fall Teslacrypt (noch) auszuschließen.
Für die Virenprogrammierer lohnen sich die Unix-Abkömmlinge wie MacOS und Linux halt noch nicht, weil sie 1) noch zu wenig verbreitet sind und 2) die Nutzer dieser Systeme sich meist eingehender damit auseinandersetzen als Windows-Nutzer. Wird aber bestimmt noch kommen

Nicht so ganz richtig, Michael ...
Laut Rechtsprechung reicht schon, daß eine verseuchte Email weitergeitet wurde, weil keine aktuelle AV-Software, bzw. deren Definitionsdateien installiert waren.
Der Heise-Verlag hatte mal eine ausgesprochen interessante Auflistung von Urteilen zum Thema EDV aller Art.


Es gibt wunderschöne Wege, um bspw. ein sich täglich veränderndes Datenvolumen von 2GB durch die Investition von ~€150,- verschlüsselt Sichern kann - mit einer Datenhistorie von 5Tage-5Wochen-12Monats-Regelung.
Seit gestern mittag verschlüsselte Laufwerke? ok ... ein Rückspielen des Datenbestands von vorletzter Nacht (bei obigem Szenario) dauert etwa 2 Stunden ... oder weniger

Was machen denn nun Firmen, deren Emails bspw. zu Wirtschaftsbriefen wurden, und somit einer Aufbewahrungspflicht von 10 Jahren unterworfen sind? Dem FA bei einer Prüfung sagen "wir hatten keinen Bock in sinnvolle Techniken zu investieren?" ... warum sollte das FA dann Gnade vor recht ergehen lassen?

Ich kann nur allen raten, einmal für ihren Bereich oder ihr Unternehmen einen Desaster-Recovery-Plan zu erstellen ... komplett, mit allen was-ist-wenn-und-wie-lösen-wir-das Szenarien - da wird dann vieles auf einmal recht simpel und schnell umsetzbar, ohne automatisch hohe Investitionen zu verlangen.

Gruß
Torsten

[Birne1100]

Links sind für Gäste , nicht aktivierte Accounts sowie Nullposter unsichtbar. Bitte registriere Dich erst als Mitglied im Forum, aktiviere Deinen Account oder schreibe Deinen ersten Beitrag. Klick hier zum registrieren, oder hier um den den Aktivierungscode erneut zu erhalten.

[thosch]

Hallo Michael.
Sehr schöner Beitrag.
Anfang des Monats hatte es auch einen unserer Kunden erwischt.
Die Dame hatte Zugriff auf diverse Abteilungs- und Projektlaufwerke.
Meine Kollegen waren mit dem Recovery der ~55000 betroffenen Dateien einige Tage beschäftigt.

Die Mac-User sollten sich übrigens nicht zu sehr in Sicherheit wiegen - MS Office und Java sind auch auf dieser Plattform sehr verbreitet.
Und letztlich ist das "New World Mac-OS" auch nur ein Unix Derivat.

Der Theorie dass Mac User technisch verständiger als Windows Anwender sind, muss ich übrigens widersprechen. Der Anteil der total Blinden ist dort genauso groß wie bei Windows.
Allerdings neigen Mac User verstärkt zu der Ansicht, dass ihnen aufgrund ihrer exklusiven Geräte und der Vermeidung von MS Software per Definition nichts passieren kann.
Ein gefähricher Trugschluß.

Wie Michael am Schluß schrieb: Der beste Virenschutz sitzt VOR dem Rechner!

[Zebrmann]

Der Lösegeld Trojaner, der als TeslaCrypt 2.0 bekannt ist, hat als Teil des letztes Upgrades eine neue Funktion erhalten und hängt nun eine „.vvv“ Dateierweiterung an alle verschlüsselten Dateinamen an.
Links sind für Gäste , nicht aktivierte Accounts sowie Nullposter unsichtbar. Bitte registriere Dich erst als Mitglied im Forum, aktiviere Deinen Account oder schreibe Deinen ersten Beitrag. Klick hier zum registrieren, oder hier um den den Aktivierungscode erneut zu erhalten.

[UID1059]

(05.01.2016 18:38)Zebrmann schrieb: Links sind für Gäste , nicht aktivierte Accounts sowie Nullposter unsichtbar. Bitte registriere Dich erst als Mitglied im Forum, aktiviere Deinen Account oder schreibe Deinen ersten Beitrag. Klick hier zum registrieren, oder hier um den den Aktivierungscode erneut zu erhalten.Der Lösegeld Trojaner, der als TeslaCrypt 2.0 bekannt ist, hat als Teil des letztes Upgrades eine neue Funktion erhalten und hängt nun eine „.vvv“ Dateierweiterung an alle verschlüsselten Dateinamen an.
Links sind für Gäste , nicht aktivierte Accounts sowie Nullposter unsichtbar. Bitte registriere Dich erst als Mitglied im Forum, aktiviere Deinen Account oder schreibe Deinen ersten Beitrag. Klick hier zum registrieren, oder hier um den den Aktivierungscode erneut zu erhalten.

Was Micha bereits mit den letzten Worten im 2. Absatz des 1. Beitrags geschrieben hat.

[Stormbringer]

(06.01.2016 01:53)ZZR-Harry schrieb: Links sind für Gäste , nicht aktivierte Accounts sowie Nullposter unsichtbar. Bitte registriere Dich erst als Mitglied im Forum, aktiviere Deinen Account oder schreibe Deinen ersten Beitrag. Klick hier zum registrieren, oder hier um den den Aktivierungscode erneut zu erhalten.

(05.01.2016 18:38)Zebrmann schrieb: Links sind für Gäste , nicht aktivierte Accounts sowie Nullposter unsichtbar. Bitte registriere Dich erst als Mitglied im Forum, aktiviere Deinen Account oder schreibe Deinen ersten Beitrag. Klick hier zum registrieren, oder hier um den den Aktivierungscode erneut zu erhalten.Der Lösegeld Trojaner, der als TeslaCrypt 2.0 bekannt ist, hat als Teil des letztes Upgrades eine neue Funktion erhalten und hängt nun eine „.vvv“ Dateierweiterung an alle verschlüsselten Dateinamen an.
Links sind für Gäste , nicht aktivierte Accounts sowie Nullposter unsichtbar. Bitte registriere Dich erst als Mitglied im Forum, aktiviere Deinen Account oder schreibe Deinen ersten Beitrag. Klick hier zum registrieren, oder hier um den den Aktivierungscode erneut zu erhalten.

Was Micha bereits mit den letzten Worten im 2. Absatz des 1. Beitrags geschrieben hat.

Nun plaudere ich mal etwas aus dem Nähkästchen
Bitte nichts von dem persönlich nehmen ... es sind einfach nur meine Erfahrungen!

Obiges paßt absolut ins Schema.
Wir hatten hier gestern aufgrund unterschiedlicher Meldungen in unterschiedlichen Magazinen eine kleine Informationsrunde, nachgefragt wurde diese von unseren "Anwendern".
Nagativartikel werden, so meine Erfahrung, häufig in Magazinen á la chip.de oder pcwelt.de publiziert, in denen zwar vor einer Gefährdung gewarnt wird, oftmals aber eben nicht der technische Hintergrund dieser Gefahr aufgeführt wird, da sie den "Anwender" überfordern würde.
Positivartikel sind eher im Bereich des Heise-Verlags zu finden, technisch fundierter, und (oder aber) i. d. R. für "Anwender" nachvollziehbarer.

Nun kommt aber der liebe "Anwender", verwöhnt vom Schreibstil der "Bild" oder "Kölner Kurier", und nutzt den Computer, egal ob zu Hause oder im Büro, nur als Spielekonsole, Lattengenerator, oder halt als irgendein lästiges Übel - und genauso sieht es da in puncto Informationswillen aus. Erzählt man "Anwender" etwas über die neueste Version seines Lieblingsspiels, oder wo man Gina Lisa beim poppen sehen kann, ist er/sie hin & weg und behält es über Tage/Wochen hinweg.
Erzählt man ihnen allerdings:
- html-Emails sind per se gefährlich
- die Vorschauansicht einer Email ist gefährlich
- eine an eine Email angehängte Datei muß nicht das sein was sie vorgibt
- erlaube deinem Emailprogramm die AV-Software zu nutzen
- ein Mac ist teilweise löchriger als ein MS-System
- auch Linux ist per se kein sicheres System
- der beste Computerschutz könnte vor dem Display sitzen
- aktuallisiere deine AV-Software dierekt nach dem Starten des Computers, und stelle den Aktualisierungsrhythmus auf 1 Stunde
- ...
so wird diesem brav & artig zugehört, aber dann ist es auch vorbei.
(In diesem obigen Beispiel: der Text wurde doch scheinbar nichtmals gelesen ... )

Besonders gefährlich wird es halt, wenn verweichlichte Magazine von einer "Gefährdung" reden ... und nicht sagen inwiefern diese vorliegt.

Ich habe heute früh mal etwas dazu rumrecherchiert, und recht schnell ein ganz schlechtes Beispiel gefunden:
Links sind für Gäste , nicht aktivierte Accounts sowie Nullposter unsichtbar. Bitte registriere Dich erst als Mitglied im Forum, aktiviere Deinen Account oder schreibe Deinen ersten Beitrag. Klick hier zum registrieren, oder hier um den den Aktivierungscode erneut zu erhalten.

Was wird denn da gesagt?
Eigentlich nur: es gibt Schadcode der dein System befallen könnte, und dann wirst du zahlen müssen ... außer du hast ein Backup auf einer externen Festplatte.
Tja ... und das ist eine ganz gefährlich Kiste!
Schließlich nützt das Backup rein gar nichts, wenn die externe Festplatte permanent am Computer angeschlossen ist ... sie wurde halt mitverschlüsselt ...

Und irgendwann kamen wir zum Thema "Früherkennung von phishing/malware/und Co. ... und man konnte die Hände über dem Kopf zusammenschlagen. Begriffe á la URL wurden zwar genutzt, auf Nachfrage kam aber nicht einmal eine korrekte Beschreibung um was es sich dabei handelt (eigentlich um eine Ressourcenangabe mit Protokollinformation), also bspw. Links sind für Gäste , nicht aktivierte Accounts sowie Nullposter unsichtbar. Bitte registriere Dich erst als Mitglied im Forum, aktiviere Deinen Account oder schreibe Deinen ersten Beitrag. Klick hier zum registrieren, oder hier um den den Aktivierungscode erneut zu erhalten.
Als wir dann etwas tiefer gingen, und eigentlich eher zu Spaß fragten, wie man denn solch eine URL liest, um allein schon daher auf eine mögliche Unstimmigkeit zu schließen, kam zu 100% ein "von links nach rechts" ... peng ... also frei nach dem Motto Links sind für Gäste , nicht aktivierte Accounts sowie Nullposter unsichtbar. Bitte registriere Dich erst als Mitglied im Forum, aktiviere Deinen Account oder schreibe Deinen ersten Beitrag. Klick hier zum registrieren, oder hier um den den Aktivierungscode erneut zu erhalten. ist eine Website der Sparkasse Rostock zum Thema "wie Gauner an dein Geld kommen", aus Finanznot in Bulgarien gehostet.

Unser Resumée des Ganzen: es war mal recht interessant zu erfahren, wie wenig "Anwender" überhaupt wissen, wie selbstüberschätzend sie sich benehmen, teilweise wie amüsant es sein kann sich mit "Anwender" zu unterhalten ...
Unterm Strich wird von dieser Gesprächsrunde nicht viel die nächsten 4-6 Wochen überleben ... Themen wie "Flash Player", "Java", "Shockwave Player", und wie sie alle heißen waren oft genug heiße Themen, auch in Magazinen des ÖRR, aber nutzen tun sie noch immer nahezu alle. Warum? Weil Website XY _so_ wichtig ist, daß man ohne diese Website nicht mehr leben will und/oder kann ... ich glaube knuddels.de war es, die einen speziellen Java-Installer mitbrachte, weil der Originale (von Sun/Oracle) nicht für alle Funktionen der Website "funktionierte" ... ohne Worte
Oder das Thema Facebook ... laut EUGh werden die Datenschutzbestimmungen der EU, und damit auch jene Deutschlands, dort nicht befolgt/beachtet ... eigentlich ist auch das Verleiten zum Umgehen von Datenschutzrichtlinien (in Deutschland) starfbar - aber hat irgendein Unternehmen, geschweige denn irgendeine Behörde, ihr FB-Angebot ausgesetzt? Bequemlichkeit (html-Emails, vorschauansicht, Website XV unbedingt nutzen, u. v. a. m.) ist wichtiger als umsichtiges Handeln & Daten & persönliche Informationen zu behalten ...

Und über solch unverständliche Dinge könnte ich sicherlich einen Roman, vielleicht sogar ein Buch schreiben ... wenn ich in der Einleitung dann etwas von Gina Lisa oder so schreibe wird es bestimmt auch ein Bestseller ... lach ...

Wie schon gesagt:
justmy2cents