Ich teile einfach mal Cashys Beitrag. Ich kann das weder prüfen noch kenne ich mich aus.
Eine neue Ransomware macht die Runde. Teslacrypt genannt verschlüsselt diese auf infizierten Rechnern Dateien, die zu bekannten Spielen gehören. Dadurch lassen sich die Games nicht mehr spielen bis man den Verteilern der Ransomware mindestens 500 Dollar zukommen lässt (das heißt nicht, dass die Dateien nach Zahlung auch wirklich wieder entschlüsselt werden). Die Ransomware befällt 40 Spiele, darunter auch Titel wie Call of Duty, Minecraft, World of Warcraft und World of Tanks, wie BBC berichtet.


http://labs.bromium.com/2015/03/12/achievement-locked-new-crypto-ransomware-pwns-video-gamers/

Kommt wohl über Flash rein.

If all the checks are passed it drops a recent Flash exploit (CVE-2015-0311) and an older, but still working, IE exploit- CVE-2013-2551.

Teslacrypt ist nicht so schrecklich, verwenden diese http://nabzsoftware.com/types-of-threats/ccc-file oder http://www.2-spyware.com/remove-teslacrypt-virus.html

Um keinen neuen Thread aufzumachen:

In letzter Zeit scheint dieser Ransomware Crap irgendwie in Mode zu kommen und ich habs sogar letztens wieder mal Live erlebt. Oder auch hier:

http://www.heise.de/newsticker/meldung/Krypto-Trojaner-Locky-wuetet-in-Deutschland-Ueber-5000-Infektionen-pro-Stunde-3111774.html

Dazu eine Frage: ein riesen Problem ist ja, dass diese Dinger nicht nur lokale Dateien, sondern auch Netzwerklaufwerke befallen können.

Würde es was bringen, statt ein Netzwerklaufwerk fest einzubinden, eine Verknüpfung auf das Laufwerk irgendwo abzulegen? Oder schaffen die Crypto Dinger auch sich darauf zu verbinden? Die gehen ja eigentlich nur stur durch alle Laufwerke durch.

Um keinen neuen Thread aufzumachen:

Dazu eine Frage: ein riesen Problem ist ja, dass diese Dinger nicht nur lokale Dateien, sondern auch Netzwerklaufwerke befallen können.


Die Befallen keine Netzwerkshares, sie verschlüsseln die Dateien dieser ggf. nur. Obwohl ein Befall natürlich ebenso möglich wäre und vermutlich demnächst auch so geschehen wird.

Der Grund, weshalb diese so um sich greifen ist, dass schlicht jemand die Idee hatte
"wie man ohne Sicherheitslücke und äusserst trivial" Geld verdienen kann. Deshalb schlägt es so um sich. Damit ist aus einem akademischen Design-Problem, nun ein echtes Sicherheitsproblem geworden.
Das Problem wird auch per Virenscanner faktisch gar nicht zu beheben sein. Viel zu einfach lassen sich Scripte anpassen.


Diese Verschlüsselungs-Malware macht nur das, was der Benutzer auch manuell machen könnte.
Manuell meint, dass der Schädling nach Prinzip alles machen kann, was der Benutzer darf, eben sich auch mit Netzwerk Ressourcen verbinden, wenn dieses für den Benutzer manuell auch möglich ist.

Der einzige Ansatz ist, dass ein Benutzer keinesfalls ein Programm oder ein Script aus seinem Verzeichnis starten darf, in dem der Benutzer auch Schreibrechte hat. Weil er damit zwangsläufig immer, wie auch sonst eingetretene Malware starten kann.

Natürlich kannst du deinen Fileserver anweisen, darauf zu achten, wie viele Dateien der Benutzer so offen hat. Mit einer Verhaltenserkennung kann man so "unnormales" Verhalten erkennen und frühzeitig unterbinden.

Letztendlich hat aber Microsoft mit Applocker seit vielen Jahren genau den Mechanismus immer an Bord von Windows, der gegen diese Ransomware zu 100% hilft.

Netzwerkshares für die Arbeit sind halt immer schon scheiße gewesen. Nutzer sollten besser mit Content- und Dokumentenmanagement eben höher arbeiten, ist eh besser und in dem Fall nicht betroffen.

Die Befallen keine Netzwerkshares, sie verschlüsseln diese nur. Obwohl ein Befall natürlich ebenso möglich wäre und vermutlich demnächst auch so geschehen wird.
[...]
Mit "befallen" meine ich ja dass er einfach nur alle bestimmte Dateien (es sind ja in der Regel nur PDF, Doc, XLS, TXT und so, also keine ausführbaren Dateien) verschlüsselt.

Das heißt in Verknüpfungen zu Netzwerklaufwerken sollten diese Viren oder Skripte oder Trojaner eigentlich nicht "reinkommen", oder?

Das heißt in Verknüpfungen zu Netzwerklaufwerken sollten diese Viren oder Skripte oder Trojaner eigentlich nicht "reinkommen", oder?

Die jetzigen Scriptangriffe sind für den Heimbenutzer gedacht.
Der Schaden in Unternehmen ist sicher nicht gezielt geplant. Unternehmen dürften auch nicht zahlen und verfügen zudem eher über ein BackUp der Daten.
Die Malware greift aber ungesehen schon heute auf sämtliche Laufwerkshares zu die sie erreichen kann und verschlüsseln munter drauf los.

Die Sache ist ganz einfach, kann der Benutzer an einen Ort schreiben und löschen, dann kann es die Malware auch und macht es auch, eben indem sie die Dateien gegen verschlüsselte Gegenstück austauscht.

Das klingt alles nicht so prickelnd. Ich habe zuhause ein NAS stehen, welches für alle PCs und Laptops als NetzwerkShare zur Verfügung steht.

Ich selbst mache mir als mündiger und versierter Nutzer weniger sorgen dass ich mich infiziere, aber meine bessere Hälfte ist da schon etwas unbedarfter.

Wie kann man sich gegen so einen Mist auf Windows Ebene schützen?

Ein systemisches Problem. Immer schön Backups machen.

Microsoft liefert den Applocker, dass ist das Mittel der Wahl.lizenziert allerdings über MDOP und per GPO zu steuern, also nichts für Zuhause.

Aber was bringen GPO im nach hinein? (außer Office Makros zu deaktivieren)
locky schreibt überall, wo er Schreibrechte hat (NAS,Cloud,SMB) -> also alle User Daten, Systemdaten interessieren ihn ja nicht.
Bis jetzt sind nur die Schattenkopien sicher, da dort keine Rechte.
Die Backups sind auch nutzlos, weil locky seit Dez. unterwegs ist und auch Backups verschlüsselt und bei Zeit X aktiv wird. Du musst extern auf einem anderen sicheren System oder LiveCD (auf dem Locky noch nicht aktiv ist), nachschauen, ob die Sicherung noch lesbar ist.

Man kann nur die Anhänge rauswerfen oder nur von signierten Usern zulassen oder die Anhänge am Server umkonvertieren und wieder dranheften.

Amazon wäre bei mir das Einfallstor.
Verschicken keine Rechnungen mehr, online sind nur die Rechnungen von Amazon teilweise vorhanden..dauernd muss man die Rechnungen anfordern und dann bekommt man von zig unbekannten Händlern Anhänge, die man öffnen muss, weil man für die Firma die Rechnung braucht.

Aber was bringen GPO im nach hinein? (außer Office Makros zu deaktivieren)
locky schreibt überall, wo er Schreibrechte hat (NAS,Cloud,SMB) -> also alle User Daten, Systemdaten interessieren ihn ja nicht.

Die GPOs steuern in diesem Fall einen Dienst. Den MS Applocker. Dem Nutzer wird damit unmöglich unbekannte Anwendungen oder Skripte zu starten.

Das funktioniert, wenn es richtig gemacht wird, natürlich als 100% Schutz gegen solche Art von Schädling.
https://technet.microsoft.com/de-de/library/ee424367.aspx

Ja aber keine Makros und nur für Enterprise. Entweder unternehmensweit Makros deaktivieren oder Anhänge verbieten.

http://www.heise.de/forum/heise-Security/News-Kommentare/Krypto-Trojaner-Locky-Was-tun-gegen-den-Windows-Schaedling/Applocker-der-Hebel-mit-dem-man-in-einem-AD-gegen-Locky-ansetzen-kann/posting-24549812/show/

Die neueren Generationen der Schadsoftware inkl Locky durchsuchen das lokale Netz nach Ordnerfreigaben und verschlüsseln dort die Daten, falls der Benutzer Schreibrechte hat. Ob man den freigegebenen Ordner auf dem infizierten PC als Netzlaufwerk einhängt oder nicht, oder irgendeine Verknüpfung dorthin einrichtet oder nicht spielt keine Rolle.
Um das NAS im Beispiel zu schützen sollte also dem Benutzerkonto der Lebensabschnittsgefährtin nur Leserechte aufs NAS gewährt werden. Ich würde das aber erst nach der ersten Infektion tun und nicht pauschal das Misstrauen aussprechen.

Es gibt nicht DIE Lösung, aber eine Reihe von Gegenmaßnahmen, die sich ergänzen.
Embedded Objects in Outlook deaktivieren (oder kein Outlook nutzen)
ActiveX Addins in Microsoft Office deaktivieren (oder kein Microsoft Office nutzen)
Auf keinen Fall die Makro-Sicherheit in Office schlechter als die Werkseinstellungen setzen
Immer kurzfristig alle Sicherheitsupdates für Betriebssystem, Office, Webbrowser, Plugins, E-Mail-Programm installieren
In Microsoft-Office-Dateien, die man aus dem Internet herunterlädt oder per E-Mail zugeschickt bekommt auf keinen Fall Makros aktivieren: http://666kb.com/i/d6kiajtuaybv6pq1a.png
Wenn man sich an die vorherigen Punkte hält stellt das reine Öffnen des Dokuments noch keine Gefahr dar, man kann die Rechnungen/Bewerbungen also durchaus prüfen
Keine UAC-Dialoge abnicken, deren Herkunft man sich nicht erklären kann
Regelmäßig Sicherungen durchführen und diese offline (stromlos) lagern


Die sind alle nicht neu, nur bisher hat es einige Nutzer wenig interessiert, wenn ihr PC Teil eines Botnetzes war. Wenn der PC Spam verschickt oder an DDOS-Angriffen teilnimmt, betrifft es den Besitzer ja nicht direkt, überall eingeblendete Werbung kann man wegklicken, und selbst wenn das Onlinebanking angegriffen wurde, hat die Bank den Schaden meist ersetzt. Den Vandalismus den Cryptowall, Locky & Co veranstalten, kann man aber nicht mehr ignorieren.

Im Unternehmensumfeld kann man noch weiter gehen:
Makros aus eingehenden E-Mails rausfiltern
das erwähnte Applocker nutzen um das Ausführen von Programmen in %TEMP% und %USERPROFILE% zu unterbinden
Internetzugang nur über Proxy-Server mit Authentifizierung
Herunterladen von ausführbaren Dateien sperren
Überwachungsrichtlinien auf Windows Servern setzen, die automatisch Nutzer sperren wenn sie eine Datei mit typischer Verschlüsselungsendung anlegen

Die neueren Generationen der Schadsoftware inkl Locky durchsuchen das lokale Netz nach Ordnerfreigaben und verschlüsseln dort die Daten, falls der Benutzer Schreibrechte hat. Ob man den freigegebenen Ordner auf dem infizierten PC als Netzlaufwerk einhängt oder nicht, oder irgendeine Verknüpfung dorthin einrichtet oder nicht spielt keine Rolle.
Um das NAS im Beispiel zu schützen sollte also dem Benutzerkonto der Lebensabschnittsgefährtin nur Leserechte aufs NAS gewährt werden. Ich würde das aber erst nach der ersten Infektion tun und nicht pauschal das Misstrauen aussprechen.

Es gibt nicht DIE Lösung, aber eine Reihe von Gegenmaßnahmen, die sich ergänzen.
Embedded Objects in Outlook deaktivieren (oder kein Outlook nutzen)
ActiveX Addins in Microsoft Office deaktivieren (oder kein Microsoft Office nutzen)
Auf keinen Fall die Makro-Sicherheit in Office schlechter als die Werkseinstellungen setzen
Immer kurzfristig alle Sicherheitsupdates für Betriebssystem, Office, Webbrowser, Plugins, E-Mail-Programm installieren
In Microsoft-Office-Dateien, die man aus dem Internet herunterlädt oder per E-Mail zugeschickt bekommt auf keinen Fall Makros aktivieren: http://666kb.com/i/d6kiajtuaybv6pq1a.png
Wenn man sich an die vorherigen Punkte hält stellt das reine Öffnen des Dokuments noch keine Gefahr dar, man kann die Rechnungen/Bewerbungen also durchaus prüfen
Keine UAC-Dialoge abnicken, deren Herkunft man sich nicht erklären kann
Regelmäßig Sicherungen durchführen und diese offline (stromlos) lagern


Die sind alle nicht neu, nur bisher hat es einige Nutzer wenig interessiert, wenn ihr PC Teil eines Botnetzes war. Wenn der PC Spam verschickt oder an DDOS-Angriffen teilnimmt, betrifft es den Besitzer ja nicht direkt, überall eingeblendete Werbung kann man wegklicken, und selbst wenn das Onlinebanking angegriffen wurde, hat die Bank den Schaden meist ersetzt. Den Vandalismus den Cryptowall, Locky & Co veranstalten, kann man aber nicht mehr ignorieren.

Im Unternehmensumfeld kann man noch weiter gehen:
Makros aus eingehenden E-Mails rausfiltern
das erwähnte Applocker nutzen um das Ausführen von Programmen in %TEMP% und %USERPROFILE% zu unterbinden
Internetzugang nur über Proxy-Server mit Authentifizierung
Herunterladen von ausführbaren Dateien sperren
Überwachungsrichtlinien auf Windows Servern setzen, die automatisch Nutzer sperren wenn sie eine Datei mit typischer Verschlüsselungsendung anlegen


Vielen dank für die Tipps. ;) Die richten sich aber hauptsächlich gegen office makros als Einfallstor. Was machen wir gegen Skripte die im Browser ausgeführt werden? NoScript ist nicht gerade etwas für den durchschnittsuser und ohne Flash funktionieren nun leider auch heute einige Webseiten nicht problemlos.

Heise bekleckert sich nicht gerade mit Ruhm
http://m.heise.de/newsticker/meldung/Kommentar-zu-Locky-Windows-ist-ein-Sicherheits-Albtraum-3112837.html

Scheinbar hat der Autor nicht begriffen, das es eigentlich kein Software Problem ist, sondern ein Benutzerproblem. Theoretisch wäre ein solcher Angriff auf jedem System möglich. Zumindest auf jedem System, bei dem der Benutzer mit seinen Daten in unterschiedlichen Programmen arbeiten kann.

Die Frage lautet wohl eher, wie schaffen wir es endlich den Nutzer vor sich selbst zu schützen, und zwar so, dass er auch noch mit dem System arbeiten kann.

Makros sind ein wichtiger Bestandteil von vielen automatisierten Prozessen. Generell rausfiltern kann man sie nicht, ohne Prozesse zu unterbrechen (betrifft mich nur office Dokumente). Standardmäßig sind sie auch deaktiviert, was bringt also einen normalen Dau dazu sie zu aktivieren?

Man könnte auch ne spam mail mit virus.exe raus schicken und trotzdem gibt es genug Benutzer, die solche Dateien ausführen würden.

Sollte man nicht das Problem selbst bekämpfen? Warum schaffen es Antivirenprogramme nicht Programme zu entdecken die plötzlich, ohne dass der User es selbst gemacht hat, ganz viele Programme zu verändern?

Interessanterweise war auf zwei Systemen wo ich das erlebt hatte jeweils Avira installiert (einmap Pro und einmal Free). Und auf beiden konnte ich diese Schadsoftware mit einer aktuellen Kaspersky CD entdecken und beseitigen (auch wenns jeweils schon zu spät war und die Schadsoftware schon viele Dateien verschlüsselt hatte). Hätte eine aktuelle Kaspersky Anti Virensoftware diese Ransomware beim Ausführen entdecken können? :uponder:

Sollte man nicht das Problem selbst bekämpfen? Warum schaffen es Antivirenprogramme nicht Programme zu entdecken die plötzlich, ohne dass der User es selbst gemacht hat, ganz viele Programme zu verändern?

Interessanterweise war auf zwei Systemen wo ich das erlebt hatte jeweils Avira installiert (einmap Pro und einmal Free). Und auf beiden konnte ich diese Schadsoftware mit einer aktuellen Kaspersky CD entdecken und beseitigen (auch wenns jeweils schon zu spät war und die Schadsoftware schon viele Dateien verschlüsselt hatte). Hätte eine aktuelle Kaspersky Anti Virensoftware diese Ransomware beim Ausführen entdecken können? :uponder:
Weil der Benutzer die Änderungen in Auftrag gegeben hat, das ist ja das fatale an Skripten.
Sicher, du könntest den virenscanner das verhalten noch mal prüfen lassen und dann irgendwann abbrechen, aber bis dahin ist der schaden schon angerichtetn.
Hier würde höchstens helfen, das die Änderungen nur in einer sandbox durchgeführt werden, und der virenscanner am ende noch mal fragt, ob die ganzen dateizugriffe übernommen werden sollen.
Aber glaub mir, kein Dau liest bevor er auf ok klickt

Was machen wir gegen Skripte die im Browser ausgeführt werden?

Chrome, Safari und der IE laufen alle in Sandboxen. Teilweise laufen sogar noch einmal die einzelnen Komponenten in Sandboxen. War JS im Browser jemals so ein großes Problem?

JavaScript ist vielleicht im Hinblick auf die Privatsphäre nicht so toll, aber sicherheitstechnisch will man doch eigentlich möglichst viel in JavaScript haben und möglichst wenig nativen Code. Mozilla schreiben ja nicht ohne Grund allen möglichen Kram in JavaScript wie z.B. ihren PDF-Viewer oder diesen experimentellen Videoplayer.

Oder gibt es irgendwelche speziellen Sicherheitsprobleme mit JS, von denen ich noch nichts weiß?

und ohne Flash funktionieren nun leider auch heute einige Webseiten nicht problemlos.

Für Flash würde ich Chrome benutzen. Da wird es sogar zur Laufzeit von Chrome aktualisiert. Ansonsten einfach nicht in anderen Browsern benutzen.

Sollte man nicht das Problem selbst bekämpfen? Warum schaffen es Antivirenprogramme nicht Programme zu entdecken die plötzlich, ohne dass der User es selbst gemacht hat, ganz viele Programme zu verändern?

Warum sollten das Antivirenprogramme prüfen? Solche Funktionen gehören in das Betriebssystem und nicht in Third-Party-Programme. Microsoft bietet ja EMET an. Unter GNU/Linux und Android benutzt man SELinux und AppArmor. Damit kann man Profile anlegen, welche strengere Zugriffskontrollen erzwingen. Z.B. dass bestimmte Programme nicht außerhalb von bestimmten Ordnern schreiben dürfen. Das schränkt sie natürlich stark ein und kann zu Kompatibilitätsproblemen führen, aber grundsätzlich ist so etwas die einzige Möglichkeit, Schaden schon im Vorfeld abzuwenden. Programme sollten nie mehr Privilegien haben als sie wirklich brauchen.

Sinnvolle Rechte- und Zugriffskontrollen kann man durch kein Antivirenprogramm der Welt ersetzen. Diese ganze Ransomware lebt ja davon, dass Antivirenprogramme genau dabei versagen.

Vielleicht kommen jetzt aber auch endlich mal mehr Leute dahinter, dass Sicherheit kein Komplettpaket ist, das man einfach so einkaufen kann.

Ja aber keine Makros und nur für Enterprise. Entweder unternehmensweit Makros deaktivieren oder Anhänge verbieten.


Bisher laden alle Varianten der Schadsoftware eine ausführbare Datei aus dem Internet herunter, die dann den eigentlichen Verschlüsselungsvorgang steuert. Auch solch ein Office Makro Schädlinge würde, mit funktionierenden Applocker, in solch einen Fall dann keinen Schaden anrichten können.



Oder gibt es irgendwelche speziellen Sicherheitsprobleme mit JS, von denen ich noch nichts weiß?



Teslacrypt ist ein JavaScript Schädling.


Der Benutzer bekommt eine eMail mit ein Anhang, dieser Anhang kann in einem Archiv stecken, oder auch direkt.
Zudem befindet sich in der eMail ein Link auf einen direkten Download Pfad des JavaScript Schädlings.

Wenn der Benutzer den Schädling ausgeführt hat, dann lädt dieser als Benutzer eine portable Anwendung herunter und steuert diese. Ausgeführt wird das Skript natürlich vom Windows Skrip Host.

[immy;10949155']Heise bekleckert sich nicht gerade mit Ruhm
http://m.heise.de/newsticker/meldung/Kommentar-zu-Locky-Windows-ist-ein-Sicherheits-Albtraum-3112837.html

Scheinbar hat der Autor nicht begriffen, das es eigentlich kein Software Problem ist, sondern ein Benutzerproblem. Theoretisch wäre ein solcher Angriff auf jedem System möglich. Zumindest auf jedem System, bei dem der Benutzer mit seinen Daten in unterschiedlichen Programmen arbeiten kann.



Der Autor hat Recht. Es ist ein Windows Design Problem. Mehr kann man dazu nicht sagen. Natürlich haben auch andere Betriebssysteme solch ein Problem, aber halt nicht alle BSs. Es geht besser.
Das Designproblem bei Windows kann man in zwei Punkten finden

1) Unter Windows ist es möglich, dass der Benutzer Anwendungen und Skripte startet, aus Verzeichnissen auf denen der Benutzer selbst Schreibrechte hat.
2) Windows kennt kein dediziertes Anwendungen-Rechtemanagement

Das interessante an den neuen Erpressungs-Schädlingen ist, dass es nun schon das zweite große Dilemma ist, welches direkt auf eine Designschwäche von Windows abzielt und nicht korrigiert werden kann.

Die erste bis heute bestehende gigantische Schwäche ist "Pass the hash",
die zweite nun "Ransomware".


Es ist an der Zeit "Windows über Bord zu kippen", absolut korrekte Feststellung. Es ist konzeptionell zu alt und bringt durch seine Altlasten und Kompromisse echte Probleme mit. Es ist schon lange Zeit für etwas neues.

Der Autor hat Recht. Es ist ein Windows Design Problem. Mehr kann man dazu nicht sagen. Natürlich haben auch andere Betriebssysteme solch ein Problem, aber halt nicht alle BSs. Es geht besser.
Das Designproblem bei Windows kann man in zwei Punkten finden

1) Unter Windows ist es möglich, dass der Benutzer Anwendungen und Skripte startet, aus Verzeichnissen auf denen der Benutzer selbst Schreibrechte hat.
2) Windows kennt kein dediziertes Anwendungen-Rechtemanagement

Das interessante an den neuen Erpressungs-Schädlingen ist, dass es nun schon das zweite große Dilemma ist, welches direkt auf eine Designschwäche von Windows abzielt und nicht korrigiert werden kann.

Die erste bis heute bestehende gigantische Schwäche ist "Pass the hash",
die zweite nun "Ransomware".


Es ist an der Zeit "Windows über Bord zu kippen", absolut korrekte Feststellung. Es ist konzeptionell zu alt und bringt durch seine Altlasten und Kompromisse echte Probleme mit. Es ist schon lange Zeit für etwas neues.
Und welches System, mit welchem man auch als normaler anwender arbeiten kann, bietet diese Sicherheit?
Das Problem hierbei ist ja grad die Automatisierung und die hätte auf jedem System die gleichen Schwächen. Stimmt der Anwender zu, kann nichts mehr helfen.
Die rechte auf eigene Dateien sind ja schon für so manche Prozesse nötig. Übrigens kannst du auch in Windows die rechte massiv eingrenzen und so etwas verhindern. Macht aber fast niemand.

[immy;10949324']Und welches System, mit welchem man auch als normaler anwender arbeiten kann, bietet diese Sicherheit?
Das Problem hierbei ist ja grad die Automatisierung und die hätte auf jedem System die gleichen Schwächen. Stimmt der Anwender zu, kann nichts mehr helfen.
Die rechte auf eigene Dateien sind ja schon für so manche Prozesse nötig. Übrigens kannst du auch in Windows die rechte massiv eingrenzen und so etwas verhindern. Macht aber fast niemand.

Unter Windows muss zwangsläufig der Applocker genutzt und von Hand administriert werden. Das ist die einzige Chance.

Automatisierung ist ja absolut in Ordnung. Das Problem ist, dass der Anwender selbst direkt automatisieren kann, ohne doppelten Boden.
Windows ist eben historisch gewachsen und neue Anforderungen hat man seitens Microsoft durch mehr Komplexität erschlagen, anstatt alte Zöpfe konsequent abzuschneiden.

Linux hat z.B. ein simples individuelles Ausführungsrecht das für Anwendungen und Skripte gleichermaßen gilt, nicht mal dies hat ein Windows, hätte in dem Fall aber Wunder gewirkt.


Wenn du moderne Systeme betrachten willst, dann sehe dir die smarten OSs an, ein iOS, ein Android ein ChromeOS. Allesamt resistent gegen solche Art von Angriff.

Teslacrypt ist ein JavaScript Schädling.

Liest sich für mich jetzt nicht so, als ob der schädliche Code in JavaScript geschrieben ist. Das Problem steckt ja eher in Windows, aber das hast du ja auch schon geschrieben.

[immy;10949324']Und welches System, mit welchem man auch als normaler anwender arbeiten kann, bietet diese Sicherheit?

Apps aus dem OS X App Store sind stark gesandboxt und dürfen nur eingeschränkt auf die Dateien des Benutzers zugreifen.

Die restlichen System wurden ja schon genannt.

Liest sich für mich jetzt nicht so, als ob der schädliche Code in JavaScript geschrieben ist. Das Problem steckt ja eher in Windows, aber das hast du ja auch schon geschrieben.



Apps aus dem OS X App Store sind stark gesandboxt und dürfen nur eingeschränkt auf die Dateien des Benutzers zugreifen.

Die restlichen System wurden ja schon genannt.
Damit lässt sich aber leider auch nicht produktiv arbeiten.
Bitte geht nicht immer von euch aus, sondern von normalen Anwendern. Rechte lassen sich immer nur so weit einschränken wie die arbeitsweise es erlaubt.
Und ihr vergesst total das makros deaktiviert sind und der Anwender diese expliziet einschalten muss. Von alleine passiert da nix.
Sind die rechte entsprechend gesetzt kann auch unter Windows nicht viel passieren.
Und nein, linux hilft hier auch nicht weiter, da diese rechte auch ganz viele Möglichkeiten verwehren die man im normalen Arbeitsalltag nunmal braucht.

Liest sich für mich jetzt nicht so, als ob der schädliche Code in JavaScript geschrieben ist. Das Problem steckt ja eher in Windows, aber das hast du ja auch schon geschrieben.


Der JS Part macht nicht nichts weiter als die Anwendung aus den Netz zu laden und mit Benutzerrechten zu starten.

Das mit der Anwendung ist mir dabei nicht ganz klar. Weil bisher alle Vertreter dieser Art von Schädlingen immer eine eigene spezielle binäre Anwendung hinterher geladen haben. Unbedingt nötig scheint mir dieses nicht.

Also entweder hat noch niemand einen performante Verschlüsselung dort als Skript umgesetzt, oder es scheitert an Ressourcen welche für den Host bereit gestellt werden.

Jedenfalls denkbar ist absolut, das solch ein Skript eine völlig unbedenkliche Anwendung aus dem Netz lädt, selbst gar kein Schädling und diese für die Verschlüsselung benutzt. Also ein Virenscanner nicht anschlagen kann.
Letztendlich kannst du selbst eine ZIP Datei mit komplexen, langen Kennwort zweck entfremden und gar nichts aus dem Netz laden, oder andere Bordeigene Mittel missbrauchen.

Jedenfalls muss der Schädling den verwendeten Schlüssel, oder Kennwort seinen Erzeuger mitteilen. Das wird auch der Grund sein weshalb binäre Anwendungen zum verschlüsseln, diese werden bestimmt den Schlüssel schon enthalten.

Denn wenn die Dateien gegen Bezahlung nicht wieder frei geschaltet werden können, weil der Angreifer gar nicht in der Lage ist diese frei zu schalten, dann spricht sich das schnell rum und niemand bezahlt.


Das interssante an einer der letzen Angreifer war ja, dass hinter der Rufnummer tatsächlich ein Callcenter stand, welche die Kreditkartendaten abgefragt haben und dann auch nur ihre Erpressungssumme abgezogen haben.

[immy;10949402']Damit lässt sich aber leider auch nicht produktiv arbeiten.
Bitte geht nicht immer von euch aus, sondern von normalen Anwendern. Rechte lassen sich immer nur so weit einschränken wie die arbeitsweise es erlaubt.

Du willst damit also sagen, dass die meisten Leute mit der Software im Mac App Store nichts anfangen können? Kommt mir seltsam vor, denn ich hätte gewettet, dass das gerade für normale Anwender die primäre Quelle für Software ist.

Du willst damit also sagen, dass die meisten Leute mit der Software im Mac App Store nichts anfangen können? Kommt mir seltsam vor, denn ich hätte gewettet, dass das gerade für normale Anwender die primäre Quelle für Software ist.
Die masse, nein.
Der app Store hat nur den Vorteil das darüber nur zertifizierte Software rein kommt. Hier geht es aber um emails. Also dinge die von außen rein kommen um vom Benutzer geöffnet werden. Den Anhang zu öffnen ist schon der erste große Fehler des Benutzers.
Aber viele Prozesse funktionieren so das Dokumente per mail eintreffen und vom Benutzer verarbeitet werden müssen. Meist handelt es sich hierbei um PDFs, aber auch im falle eines Word Dokuments passiert erst mal nix.
Erst wenn der Benutzer makros dann auch noch aktiviert ist es passiert.
Solange es sich um firmeninterne Dokumente handelt ist es auch vollkommen ok und hier wird die Funktion auch häufig gebraucht.
Und ja, Software muss auch auf andere Dateien zugreifen können um es dem Benutzer einfacher zu machen um Prozesse zu verkürzen.
Sobald osx massentauglicher würde, oder Linux hätten wir genau die gleichen Probleme. Denn auch dann würde der Komfort irgendwann siegen und dinge ermöglichen die massig Benutzer ärgert. Mit osx lässt sich auch heute schon gut arbeiten, hat aber im Grunde die gleichen Probleme wie Windows.

[immy;10949458']Die masse, nein.
Der app Store hat nur den Vorteil das darüber nur zertifizierte Software rein kommt.

Und woher weißt du, wie die Masse ihren Rechner benutzt?

Eigentlich ging es mir eher darum, dass Apple nur stark gesandboxte Anwendungen im App Store zulässt.

[immy;10949458']Hier geht es aber um emails. Also dinge die von außen rein kommen um vom Benutzer geöffnet werden. Den Anhang zu öffnen ist schon der erste große Fehler des Benutzers.

Das Problem ist hier, unsignierte Software einfach so ausführbar zu machen. Wenn der Benutzer durch einen einzigen falschen Klick sein System kompromittieren kann, dann läuft da etwas ziemlich falsch.

[immy;10949458']Aber viele Prozesse funktionieren so das Dokumente per mail eintreffen und vom Benutzer verarbeitet werden müssen. Meist handelt es sich hierbei um PDFs, aber auch im falle eines Word Dokuments passiert erst mal nix.
Erst wenn der Benutzer makros dann auch noch aktiviert ist es passiert.
Solange es sich um firmeninterne Dokumente handelt ist es auch vollkommen ok und hier wird die Funktion auch häufig gebraucht.

Ich bin da kein Experte, aber für mich hört es sich seltsam an, Software in statische Dokumente zu integrieren. Das schreit ja gerade danach das zu trennen.

[immy;10949458']Und ja, Software muss auch auf andere Dateien zugreifen können um es dem Benutzer einfacher zu machen um Prozesse zu verkürzen.

Sagt ja niemand, dass für alle Programme die gleichen Rechte gelten müssen. Sie sollten nur nicht mehr machen können als sie sollten.

[immy;10949458']Sobald osx massentauglicher würde, oder Linux hätten wir genau die gleichen Probleme. Denn auch dann würde der Komfort irgendwann siegen und dinge ermöglichen die massig Benutzer ärgert.

Du schreibst im Konjunktiv, als ob niemand GNU/Linux oder OS X „produktiv“ benutzt oder sich Sicherheit und Komfort gegenseitig ausschließen.

SemperVideo hat das ganze mal als Video. Geht echt fix.

https://www.youtube.com/watch?v=331Fzhc_6nM

Gibt es irgendwo eine Blacklist die man in den Router packen kann um Locky zu sperren?

[immy;10949402']Und ihr vergesst total das makros deaktiviert sind und der Anwender diese expliziet einschalten muss. Von alleine passiert da nix.
Sind die rechte entsprechend gesetzt kann auch unter Windows nicht viel passieren.
Meiner Ansicht nach darf man hier nicht nur auf den Anwender einschlagen, Microsoft hat eine Reihe von Fehlern begangen, die auf anderen Betriebssystemen besser im Sinne von sicherher gelöst sind.


Sicherheitskonzepte um Anwendungen untereinander abzuschotten oder ihre Rechte individuell einzugrenzen existieren unter Windows zwar, zB in Form des erwähten EMET und Applocker. Aber: Keines dieser Konzepte ist im Lieferumfang aktiv, teilweise ist die Nutzung sogar aufpreispflichtig! Dies hat zwei Nachteile: Kaum jemand nutzt sie (einfache Heimanwender schon gar nicht), und diejenigen die sie nutzen möchten, laufen immer wieder in Probleme, da verschiedene Anwendungen damit nicht klarkommen. Wären die Funktionen standardmäßig aktiv (zB Programme unterhalb von %TEMP% dürfen nicht auf XMLHTTP-Objekte zugreifen), würden die Anwendungsentwickler dies zwangsläufig berücksichtigen.

Makros sind leider nicht wirklich deaktiviert, sondern warten nur vor der Aktivierung auf einen Mausklick des Nutzers. Die Option Makros zu deaktivieren existiert zwar in den Optionen, ist aber standardmäßig nicht ausgewählt.
In den Werkseinstellungen von Microsoft Office sieht dies so aus:
https://www.microsoft.com/security/portal/blog-images/a/adnel4.png

Was viele Benutzer tatsächlich sehen ist folgendes: http://i.imgur.com/H0uVqFe.jpg
Es gibt zwei Möglichkeiten: a) Der Benutzer klickt auf Ja -> Rechner infiziert
b) Der Benutzer klickt auf Nein -> irgendetwas funktioniert nicht wie gewünscht -> er öffnet das Zeug nochmal und klickt nun auf Ja -> Rechner infiziert

Die Makro-Abfrage ist dabei grob verharmlosend, sie sollte nicht lauten: "Inhalte aktivieren", sondern "Dem Dokumentenautor vollständige Kontrolle über Ihren Computer übertragen".

Unsichere Voreinstellungen, grenzenlose Zugriffsrechte:
* Dateiendungen sind unter Windows entscheidend dafür, was eine Datei tun darf. Trotzdem kann ich den Typ weder am Namen der Datei noch an deren Icon erkennen.
* Ich habe von mehreren Erpressungs-Opfern hinterher die Frage gehört: "Wieso darf ein Word-Makro meine Festplatte verschlüsseln". Und die Frage ist gar nicht so dumm.
* Javascript-Dateien im Internet Explorer laufen in einer Sandbox, im Explorer haben sie alle Rechte. Makros in Office-Dokumenten haben ebenfalls alle Rechte.


Gibt es irgendwo eine Blacklist die man in den Router packen kann um Locky zu sperren?
Die Domains ändern sich im selben Rhythmus wie der Schädlingscode. Es gibt Anbieter von Sicherheitsprodukten / Intrusion Detection Systemen, die solche Listen anbieten, aber auch bei diesen gilt das selbe wie bei Signaturen von Virenscannern: Sie können immer erst als Reaktion nach der Verbreitung eines neuen Schädlings veröffentlicht werden.

Jetzt geht's auch bei Apple los:

http://www.reuters.com/article/us-apple-ransomware-idUSKCN0W80VX

SemperVideo hat das ganze mal als Video. Geht echt fix.

https://www.youtube.com/watch?v=331Fzhc_6nM

Ja perfekt erklärt.

Wäre ja möglich alle Internetseiten zu sperren und nur genutzte freizugeben. Dies wäre natürlich ein Aufwand, würde aber eine Menge Internetseiten ausschließen.

Wäre ja möglich alle Internetseiten zu sperren und nur genutzte freizugeben. Dies wäre natürlich ein Aufwand, würde aber eine Menge Internetseiten ausschließen.

Das Internet besteht nicht nur aus dem Web. Du würdest das also, vermute ich jetzt einmal, auf DNS-Basis durchführen wollen. Dafür war DNS allerdings nie gemacht und es gibt auch kein Feedback außer lädt oder lädt nicht. Man müsste technisch schon sehr versiert sein, um das überhaupt sinnvoll mit DNS anzugehen.

Dann hast du natürlich noch das Problem, dass du dann auf einmal deinen DNS-Einträgen trauen musst. Versteckt sich hinter forum-3dcenter.org. wirklich auch die IP des 3d-Center-Forums? Stichwort Cache Poisoning und DNS Spoofing. Wenn nicht, dann bricht deine Idee in sich zusammen.

Es gibt dafür sogar eine Lösung und die nennt sich DNSSEC, allerdings müsstest du dann jeden Eintrag auf jedem Client validieren. Wenn die Domain überhaupt DNSSEC anbietet. Es gibt da auch noch einen Haufen weitere Problem, z.B. dass man für DNSSEC-Validierung zwingend eine genaue Zeitquelle braucht, die nicht selbst von einer DNSSEC-validierten Domain stammt (typisches Henne-Ei-Problem).

So einfach ist das leider alles nicht.

Zusätzlich laden die meisten modernen Webseiten einen Haufen Kernfunktionalität von externen Webservern. Im modernen Web gibt es keine „bekannten“ Webseiten. Man müsste sich erst sehr lange mit der jeweiligen Webseiten beschäftigen, um überhaupt rauszufinden, wie viel man freigeben muss, damit sie nicht bricht.

Ich hoffe mal das Teslacrypt noch mal als nur Spiele verschlüsselt. Vor allen Dingen warum sollte ich was dafür bezahlen das meine Spiele wieder entschlüsselt werden? Hä?

Die installiere ich einfach neu.

Bei Bildern, persönlichen Videos etc, ist das natürlich eine andere Geschichte.

Also wenn das wirklich nur ein Skript ist, was ein Programm von einer Seite runterlädt, müsste man doch wie früher eine Firewall ala Zone Alarm oder Comodo installieren, wo man jedem Programm was online will erst das OK geben muss, oder ist das kein "Programm"?

Zum Verschlüsseln braucht es keine Internetverbindung und der Download wird vom Browser initiiert, dem du ziemlich sicher ausgehende Verbindungen erlaubt hast. Eine Firewall ist da nicht das richtige Werkzeug. Man braucht dagegen striktere Zugriffskontrollen.

Einfach mit Sandboxie surfen und schon habt ihr das Problem nicht mehr.

Nützt Dir ja nix wenn Du ein "Doc" runterlädst und das Ding mit Browsertechniken nachlädt. Keine Ahnung warum Brain1.0 nun so ein Problem ist.

Inzwischen kommen diese Dokumente über kompromittierte Postfächer von Bekannten, mit gut gemachten Schreiben. Keine offensichtlichen Mängel mehr enthalten.
Auch Unternehmen werden wohl sehr geschickt und ganz zielgerichtet angegangen. Jedenfalls meinte das neulich ein Beschäftigter eines betroffenen Unternehmens.
Ich denke nicht, dass ein Bearbeiter dort einen Unterschied sieht, auch mit noch so viel drüber schauen nicht.

Das Ziel solch einer Anwendung wird es nun werden über das BackUp von Unternehmen zu kommen. Bisher liegt der Fokus auf dem privaten PC, der ja bekanntlich i.d.R. nicht über ein hinreichendes BackUp verfügt.

Nützt Dir ja nix wenn Du ein "Doc" runterlädst und das Ding mit Browsertechniken nachlädt. Keine Ahnung warum Brain1.0 nun so ein Problem ist.


Doch weil du mit Sandboxie alles, auch andere Programme, in einer Sandbox laufen lassen kannst.

Naja, man muss schon ziemlich nerdig sein um das zu tun IMHO. Ich hab auch lange mit SB gearbeitet, aber da alles reinzutun ist halt so ne Sache.