Hallo Habe heute erst von den Angriffen gehört. War Wochenende voll beschäftigt. Muss ich mir Sorgen machen und wie beseitige ich meine möglichen Sorgen Gruß
:
Bearbeitet durch User
Regelmässig/täglich Windows Updates einspielen (d.h. Updates erlauben und Reboots zulassen) und Backups auf nicht immer mit dem PC verbundenen Laufwerken machen. AFAIK ist Win10 aber nicht betroffen. Unabhängig davon ist es aber auch sehr penetrant beim Einspielen der Updates.
Mal nachdenken, wann Du das letzte Systemabbild und Datenbackup gemacht hast.
In erster Line keine Mailanhänge öffnen, die suspekt sind. Wer Ransomware in ZIP-Anhängen startet, dem ist nicht zu helfen, zumindest danach nicht mehr...
Also wir sind auf Arbeit Safe, unser Hauptrechner läuft noch mit Win95 (aus Kostengründen son neuer Rechner ist ja teuer). Sollte ein Trojaner sich daran versuchen gibt es sicher eine Fehlermeldung das die Systemvoraussetzungen für die Schadsoftware nicht ausreichend ist und wir doch bitteschön etwas Arbeitsspeicher nachrüsten sollen.
Ich hab' mir vor ein paar Jahren mal so einen Erpressungs-Trojaner eingefangen. Ein jugendliches Familienmitglied schwört Stein und Bein, af keinen Link geklickt zu haben und nur bei Amazon unterwegs gewesen zu sein... Wie auch immer, die Kiste war kompromittiert. Als Erstes: Netzwerkstecker 'raus!!! Bevor das Mistding sich weiterverbreitet - falls nicht schon geschehen. Und dann: Mit einem Live-Linux (Knoppix, Ubuntu...) booten und die Festplatte(n) gründlich platt machen. Eigentlich sollte eine Neuformatierung durchaus schon reichen, einmaliges Überschreiben reicht erst recht. Und dann das letzte gesunde Backup einspielen und Alles ist wie vorher. Hat Alles in Allem gut eine Stunde gedauert. Sehr hilfreich zur Vorbeugung ist daher, die Systeminstallation auf einer eigenen Partition (oder noch besser auf einer eigenen Platte) zu haben und die Daten auf einer anderen. Falls das noch nicht der Fall sein sollte, ist das auch die passende Ausrede, die Systeminstallation auf eine SSD umzuziehen... Von der Systeminstallation gelegentlich ein Image ziehen und von den Daten Backups - zusätzlich die wichtigen Systemupdates regelmäßig einspielen, das sollte als Vorsichtsmaßnahme IMHO ausreichen.
Fred F. schrieb: > unser Hauptrechner läuft noch mit Win95 Das dürfte sicher sein. USB-Sticks und WLAN scheiden als Infektionswege aus. Vorsicht allerdings mit Disketten.
Wundert mich ja, dass der meistgebrachte Vorschlag hier noch nicht gekommen ist: Nimm Linux. ;-)
Matthias L. schrieb: > Ein jugendliches Familienmitglied schwört Stein und Bein, > af keinen Link geklickt zu haben und nur bei Amazon unterwegs gewesen zu > sein... Kann stimmen: https://de.wikipedia.org/wiki/Drive-by-Download
Wolfgang R. schrieb: > In erster Line keine Mailanhänge öffnen, die suspekt sind. Und auch jene, die nicht suspekt wirken. ;-) Die werden besser. Wenn die Rechnung von Vodafone ist, du aber nur Telefonica hast, ist es einfach zu erkennen. Wenn das aber zufällig zusammen passt, ist das heute nicht mehr so einfach auseinander zu halten.
Uhu U. schrieb: > Auf Linux umsteigen... Das ist für mich keine Option. ..aber kann jetzt der Trojaner schon auf dem PC sein, aber noch nicht aktiv. Wenn ich Sicherungen mache, könnte ich doch die Sicherung HD mit infizieren. Da wird der Schaden doch noch verbreitet!
:
Bearbeitet durch User
A. K. schrieb: > ..aber kann jetzt der Trojaner schon auf dem PC sein, aber noch nicht > aktiv. Mehr als einen Stand vorhalten. Wenn ein inaktiver Trojaner drauf ist, dann lassen sich die Daten in noch intaktem Zustand wiederherstellen. Indem das Medium als Sekundärmedium angesprochen und nicht davon gebootet wird. Dann ist allerdings Linux als Rettungsmedium wirklich sehr praktisch, weil die Wahrscheinlichkeit einer versehentlichen Infektion durch das analysierte Medium praktisch Null ist.
:
Bearbeitet durch User
A. K. schrieb: > Hallo > Habe heute erst von den Angriffen gehört. > War Wochenende voll beschäftigt. > Muss ich mir Sorgen machen und wie beseitige ich meine möglichen Sorgen > Gruß Mach dir nicht so ein Stress. Der Wurm kann sich nur innerhalb eines Netztes via Dateifreigaben verbreiten, was zudem nur auf ungepatchten Systemen funktioniert. Da die von außen im Normalfall nicht sichtbar sind, ist eine Infektion nur per klassischem Trojaner-Weg möglich. Solange du also keine Uraltrechner mit wichtigen Daten im Netz betreibst und auf den Surf-Rechnern die üblichen Vorsichtsmaßnahmen walten lässt, sollte dieser aktuelle Wurm keine größere Gefahr darstellen, als jeder andere Schädling.
Der aktuelle Trojaner, sollte doch mittlerweile so gut wie von jedem AV-Programm erkannt werden. Ich setz da auf Malwarebytes. Wenn ich doch mal ein Suspektes File habe, lade ich es auf VirusTotal hoch, da gehen dann viel Scanner (~40) drüber. Mich beruhigt's.
NB: Was grad abgeht ist trotz dem erkennbaren Ausmass noch vergleichsweise harmlos. Ich bin gespannt, wann jemand das erste Mal eine solche remote code execution Lücke dazu ausnutzt, um sich im Boot-ROM der üblichen Hersteller einzunisten. Wenn man das richtig macht, dann kriegt das allenfalls der Hersteller da wieder raus. Das gibt dann übergangsweise grossflächig PC-freie Zonen, in denen nur die Server noch funktionieren.
Teo D. schrieb: > Der aktuelle Trojaner, sollte doch mittlerweile so gut wie von jedem > AV-Programm erkannt werden. Nach 2 Tagen stehen die Chancen besser als ganz frisch beim Ausbruch. Ist natürlich auch ein Weg, mit Mails umzugehen. Sie grundsätzlich solange im Inbound ungeöffnet reifen zu lassen, bis der Scanner seine Pappenheimer wahrscheinlich erkennt.
Teo D. schrieb: > Mich beruhigt's. https://blog.fefe.de/?ts=a7e8d6ab https://blog.fefe.de/?ts=a7e81647 Beruhigt dich Homöopathie auch?
A. K. schrieb: > NB: Was grad abgeht ist trotz dem erkennbaren Ausmass noch > vergleichsweise harmlos. Ich bin gespannt, wann jemand das erste Mal > eine solche remote code execution Lücke dazu ausnutzt, um sich im > Boot-ROM der üblichen Hersteller einzunisten. Wenn man das richtig > macht, dann kriegt das allenfalls der Hersteller da wieder raus. Das > gibt dann übergangsweise grossflächig PC-freie Zonen, in denen nur die > Server noch funktionieren. Ich denke, das wäre noch ne ganze Ecke komplexer als der aktuelle Fall. da müsste man wohl mehrere solch hochkarätiger Lücken haben und dann noch eine signifikante Anzahl an verschiedenen Mainboards unterstützen. Die Erkennung sollte sauber funktionieren, damit man nicht vorzeitig darauf aufmerksam wird. So ein Schädling wäre wohl aber auch das IT-Äquivalent einer Atombombe. Im aktuellen Fall kann man wohl noch aber froh sein, dass das wahre Potential verschleudert wurde, anderseits wähnten sich die Urheber eventuell unter Zeitdruck, da die Zahl der potentiellen Ziele sich mit größerer Verbreitung der Patches immer weiter reduzierten.
Vlad T. schrieb: > Ich denke, das wäre noch ne ganze Ecke komplexer als der aktuelle Fall. > da müsste man wohl mehrere solch hochkarätiger Lücken haben Zwei reichen. Eine für remote code execution, wie hier, und eine local privilege escalation. Letztere sind erheblich häufiger, und nur nötig, wenn der Anwender nicht sowieso schon Admin seines PCs ist. BIOS/UEFI-Updates aus Windows heraus sind längst üblich. > noch eine signifikante Anzahl an verschiedenen Mainboards unterstützen. Die obersten 2-3 der Top-10 Liste der Business-PCs vor 1-2 Jahren würden für den Anfang wohl reichen. > So ein Schädling wäre wohl aber auch das IT-Äquivalent einer Atombombe. Yep. > Im aktuellen Fall kann man wohl noch aber froh sein, dass das wahre > Potential verschleudert wurde, Ja. Die Sache mit der Kill-URL könnte sehr geholfen haben. Das ist zwar schon "repariert", aber nun greift: > da die Zahl der potentiellen Ziele sich mit > größerer Verbreitung der Patches immer weiter reduzierten. Wobei viele ungepatchte Systeme von jener Sorte sind, die als nur sehr umständlich patchbar gelten. Embedded Systeme wie die diversen infizierten Anzeigesysteme sind eine riesiges Gruppe oft schwer veralteter und ungepatchter Systeme. Bei Geldautomaten las ich unlängst, dass die vorsichtshalber nur vor Ort updated werden können. Das macht dann so richtig Spass.
:
Bearbeitet durch User
Bei mir Zuhause hab ich das so gelöst, dass ich einen Server mit lxc containern für Mail, Webhosting etc. im Haus stehen habe. Darauf läuft auch ein NFS Server, auf dem alle PC's im Haus die daten Speichern. Ein separater Backup Server, der keine eingehenden verbindungen akzeptiert, macht dann jeden Abend über rsync ein backup. Ich habe darauf bis zu 2 Jahren an backups, mit mit alter abnehmender Granularität. Falls sich einmal ein PC eine Ransomware einfängt und das NFS Share verschlüsselt, kann ich einfach das letzte gute backup wiederherstellen, indem ich das rsync Kommando umkehre. Ich halte das für ein Perfektes, fast unkompromittierbares Backupsystem.
Abradolf L. schrieb: > Beruhigt dich Homöopathie auch? Jo, da weiß ich wenigstens das die Leute keinen sinnlosen Chemiemüll in sich rein stopfen. Ich hüte mich, mit Homöopathie-Gläubigen darüber zu reden. Wer heilt hat recht, vor allem wenn es ohne Nebenwirkungen ist. Kosten muss es was, sonst hilft's ja nich ;)
Teo D. schrieb: > Jo, da weiß ich wenigstens das die Leute keinen sinnlosen Chemiemüll in > sich rein stopfen. gerade das tun sie ja - sie schlucken Substanzen (in der Regel bekannte Gifte), die bei signifikanter Dosierung genau die Symptome auslösen, die sie selbst bereits haben. Lief bei der Verdünnung was schief, vergiften sie sich noch zusätzlich zu ihrem normalen Leiden. Gabs doch erst vor kurzem: http://www.zeit.de/wissen/gesundheit/2017-02/homoeopathie-usa-arzneimittel-fda-warnung-todesfaelle http://www.focus.de/gesundheit/news/tod-durch-globuli-zehn-kleinkinder-gestorben-gesundheitsbehoerde-warnt-vor-homoeopathischen-mitteln_id_6693477.html
Vlad T. schrieb: > Gabs doch erst vor kurzem: Da steht aber auch, dass das in Deutschland ein wenig anders läuft. Anyway: bleibt bitte beim Thema, sonst wird das hier eine völlig abwegige Diskussion. WanaCry dürfte wichtig genug sein, dass dieser Thread auch weiterhin darüber handelt und nicht um Nebensächlichkeiten.
Beitrag #5011073 wurde von einem Moderator gelöscht.
A. K. schrieb: > allerdings Linux als Rettungsmedium wirklich sehr praktisch, weil die > Wahrscheinlichkeit einer versehentlichen Infektion durch das analysierte > Medium praktisch Null ist. PS: Eine besonders kreative Variante mehrstufiger Infektion ergibt sich hieraus: https://blog.fefe.de/?ts=a7eaa651 Ein System so infizieren, dass es in der Forensik landet, um dann gezielt die Forensiker zu infizieren.
:
Bearbeitet durch User
Beitrag #5011084 wurde von einem Moderator gelöscht.
Gegen solche großflächigen Attacken hilft - ähnlich wie in der Natur - Artenvielfalt bei Betriebssystemen.
Teo D. schrieb: > Dafür sind wir doch viel zu dämlich.... Vor allem ist es ein Hindernis auf dem Weg zum US-Muiltimilliardär.
A. K. schrieb: >> Im aktuellen Fall kann man wohl noch aber froh sein, dass das wahre >> Potential verschleudert wurde, > > Ja. Die Sache mit der Kill-URL könnte sehr geholfen haben. Das ist zwar > schon "repariert", aber nun greift: Ich meinte eher das gesamte Vorgehen. (siehe unten) > >> da die Zahl der potentiellen Ziele sich mit >> größerer Verbreitung der Patches immer weiter reduzierten. > > Wobei viele ungepatchte Systeme von jener Sorte sind, die als nur sehr > umständlich patchbar gelten. Embedded Systeme wie die diversen > infizierten Anzeigesysteme sind eine riesiges Gruppe oft schwer > veralteter und ungepatchter Systeme. Ja, wobei diese Systeme aus Sicht der Urheber nur Kollateralschaden sind - für die haben sie keinen Business Case, weil: unersetzbare, zu entschlüsselnde Daten wird es da eher nicht geben. Und für ganze befallene Firmen-Netzwerke wird wohl auch niemand für jeden Computer eine Transaktion durchführen und einzeln beheben, also auch wieder vergleichbar wenig Gewinn. Das ganze mutet etwas wenig durchdacht an, in etwa wie Trüffelsuche mit nem Tagebaubagger. Das Verhältnis von Gewinn/Gesamtschaden ist extrem gering, was sich am Ende aber als negativ für die Urheber erweisen könnte. Zum einen wegen intensiver internationaler Aufklärungsbemühungen und zum anderen wegen möglicherweise Sensibilisierung von zukünftigen potentiellen Opfern. > Bei Geldautomaten las ich unlängst, dass die vorsichtshalber nur vor Ort > updated werden können. Das macht dann so richtig Spass. Wobei Zentral verwaltete, signierte Updates wahrscheinlich sicherer wären, als vor Ort jemanden irgendwas was aufspielen zu lassen
Uhu U. schrieb: > Gegen solche großflächigen Attacken hilft - ähnlich wie in der Natur - > Artenvielfalt bei Betriebssystemen. Yep. Linux mit LVM2 auf der zu analysierenden Disk und Windows als verwendetes Analysesystem. ;-) Beitrag "Re: TrojanerAngriff wie sollte ich meinen PC Sichern?"
:
Bearbeitet durch User
Teo D. schrieb: > Uhu U. schrieb: >> ähnlich wie in der Natur > > Dafür sind wir doch viel zu dämlich.... Sorry, wollte dir nicht zu nahe treten ;) Mit WIR, meinte ich die Menschheit insgesamt. Vlad T. schrieb: > Das ganze mutet etwas wenig durchdacht an, in etwa wie Trüffelsuche mit > nem Tagebaubagger. Naja, Trojaner == Streubomben.... Wer aber kann sicher ausschließen, das die Geldforderung nicht nur eine Tarnung war und das ganze nur einen Wirtschaftlicher Gesamtschaden verursachen sollte, oder ein Weckruf war???
Teo D. schrieb: > Wer aber kann sicher ausschließen, das die Geldforderung nicht nur eine > Tarnung war und das ganze nur einen Wirtschaftlicher Gesamtschaden > verursachen sollte, oder ein Weckruf war??? Das wären ja geradezu altruistische Motive - meist du, dieses kriminelle Pack würde sich diese Mühe ohne Gewinnaussichten machen? Eher fallen Ostern und Weihnachten auf einen Freitag den 13....
Uhu U. schrieb: > Das wären ja geradezu altruistische Motive - meist du, dieses kriminelle > Pack würde sich diese Mühe ohne Gewinnaussichten machen? Ich denke da nicht an Einzelpersonen o. kleinen Gruppen! China, Russland.... Könnten auch nur Auftragsgeber sein, reicht ja wenn da das Geld herkommt.
Teo D. schrieb: > China, Russland.... Könnten auch nur Auftragsgeber sein, reicht ja wenn > da das Geld herkommt. Dafür gibts so einen bösen Kampfbegriff, der bestimmt von Mutter Theresa erfunden wurde... https://www.heise.de/tp/news/50-Jahre-Verschwoerungstheoretiker-3674427.html
Teo D. schrieb: > China, Russland.... Könnten auch nur Auftragsgeber sein, reicht ja wenn > da das Geld herkommt. Es gab schon Trojaner, die bestimmte Länder verschonten. Bei WannaCry sieht es bisher nicht danach aus, was die üblichen Verdächtigen angeht. So hat es in China Tankstellen und Bankautomaten bös erwischt und auch die Russen hatte schon sehr früh das Vergnügen. In den USA wiederum betraf es beispielsweise FedEx. Verschont blieben bisher angeblich die Nordkoreaner. Aber das wundert sicherlich niemanden wirklich.
:
Bearbeitet durch User
Ach ja, die Zukunft gehört bekanntlich dem bargeldlosen Zahlungsverkehr, sagt man. Bargeld soll gleich ganz abgeschafft werden, sagt man. Wer in China tanken will, der ist nun mit Bargeld deutlich besser dran. Also mal vorausgesetzt, er muss es nicht erst aus dem Automaten ziehen. Der Kopfkissentresor hat echt Zukunft.
:
Bearbeitet durch User
>> TrojanerAngriff wie sollte ich meinen PC Sichern? Vielen Dank für die bisher gegebenen Tipps. Fast alle aufschlussreich und sowas von eindeutig! Jetzt weiss jeder, was zu tun ist. ;-) > Verschont blieben bisher angeblich die Nordkoreaner. Wenn man also zu faul und/oder zu blöd ist, zieht man halt um.
A. K. schrieb: > Verschont blieben bisher angeblich die Nordkoreaner. Aber das wundert > sicherlich niemanden wirklich. Alles scheint in Nordkorea nicht schlecht zu sein, mit Computersicherheit scheinen sich die Menschen dort besser auszukennen aus die gelobte Nation. Ein einfacher Zaun schützt.
A. K. schrieb: > Verschont blieben bisher angeblich die Nordkoreaner. Aber das wundert > sicherlich niemanden wirklich. https://www.welt.de/wirtschaft/article164605500/Hat-Kim-Jong-un-die-weltweite-Cyber-Attacke-koordiniert.html
Abradolf L. schrieb: > A. K. schrieb: >> Verschont blieben bisher angeblich die Nordkoreaner. Aber das wundert >> sicherlich niemanden wirklich. > > https://www.welt.de/wirtschaft/article164605500/Hat-Kim-Jong-un-die-weltweite-Cyber-Attacke-koordiniert.html oh - sie haben Weapons of Data Mass Destruction - ich scwööör' TRUPPEN MARSCH
So ein Mist, gerade wollte ich ein paar Bitcoins kaufen..
hehe wenn da nicht mal jemand eine günstige Gelegenheit in die Hand zu bekommen und versucht ist 2 Fliegen mit einer Klappe zu schlagen. NK mit Kim und Bitcoin als nichtkontrollierbares Zahlungsmittel! da kommt doch so ein mysteriöser Angriff nach bekanntem Muster vielleicht gerade recht. Zitat die Welt ebenda "Die Wissenschaftler warnten allerdings, diese Indizien seien weit entfernt davon, beweiskräftig zu sein. Es könne Wochen oder Monate dauern, bis die Ermittler bei ihren Ergebnissen sicher genug seien, um offiziell Pjöngjangs wachsende Truppe digitaler Hacker dafür verantwortlich machen zu können." Namaste
Folgt dem Börsen-Geld, und ihr werdet den Urheber finden... Gilt der Satz hier in dem Fall auch?
Bitcoin ist zwar trackbar, aber es gibt Dienste die Bitcoin "waschen". In Zukunft werden Erpresser wohl zu anonymen Währungen wie Zerocash oder Monero wechseln. Zu Wannacry jetzt vom letzten Wochenende: Das war "wormable", sprich es war keine Benutzerinteraktion wie Mailanhang klicken nötig. Es hilft also nicht da seine Nutzer zu schulen, das hilft zwar auch, aber nicht alleine. Updates installieren ist zwingend und zwar sehr zeitnah. Wenn $Hersteller Patches ausliefert, kann man davon ausgehen, dass es durch Reverseengeneering innerhalb eines Tages Exploits für die geschlossenen Lücken gibt. Man sollte Updates also möglichst sofort einspielen. Problematisch sind ältere OS Versionen wie Windows XP, Vista oder auch 8.0 (und natürlich auch maches ältere Linux 2.6 oder so und auch OSX). Da hilft nur offline betreiben oder gar nicht betreiben. Die Antivirendiskussion ist dann natürlich auch da und geht leider nicht weg. Oft bewirken Ativiren genau nichts denn sie erkennen nur was schon bekannt ist. Bei dem Trojaner jetzt war die Erkennungsquote bei 0%. Oft machen Antiviren auch zusätzliche Angriffsfläche auf oder verwirren den Benutzer durch absichtliche Falschmeldungen. Ich würde das also weitestgehend weglassen und nur das Nutzen was der Hersteller vom OS mitliefert, bei Microsoft eben den Defender/Security Essentials. Auf Grund der Updatepolitik der großen OS Hersteller würde ich generell zu quelloffener Software raten. Winfried J. schrieb: > Zitat die Welt ebenda > "Die Wissenschaftler warnten allerdings, diese Indizien seien weit > entfernt davon, beweiskräftig zu sein. Es könne Wochen oder Monate > dauern, bis die Ermittler bei ihren Ergebnissen sicher genug seien, um > offiziell Pjöngjangs wachsende Truppe digitaler Hacker dafür > verantwortlich machen zu können." Wer ist denn verantwortlich jetzt bei dem Wannacry Trojaner? Die NSA die jahrelang auf dem Bug und Exploits saßen und das nicht an Microsoft gemeldet haben damit die das patchen können? Microsoft weil sie den Bug nicht gefunden haben? Die Anwender weil sie den Patch nicht rechtzeitig installiert hatten? (Patch gab es schon im März) Die Leaks die die NSA-Tools an die Öffentlichkeit brachten (und die zu diesem Trojaner führten)? Aus meiner Sicht darf eine staatliche Behörde wie die NSA einfach nicht auf sowas sitzen ohne das an den Hersteller zu melden. Ja, vielleicht brauchen Geheimdienste Exploits, das mag man begründen können, aber keine von dieser Sorte. Da reichen auch Exploits die über USB-Stick funktionieren. Microsoft finde ich hat viel bezüglich der Sicherheit getan seit XP und man kann nicht alle Fehler finden. Für den Anwender habe ich kein Mitleid. Lauter Firmen stellen irgendwelche Hardware hin mit Windows und installieren nie Patches. Das ist dann eben die Folge. Wer kritische Infrastruktur betreibt darf dann eben bei der Sicherheit nicht sparen. Zu Nordkorea: Die verwenden dort großflächig Linux. Nicht weil das quelloffen und schön ist, sondern weil es keine Lizenzkosten kostet und man da auch prima seine Bürger überwachen kann. https://de.wikipedia.org/wiki/Red_Star_OS Zusätzlich dazu ist Nordkorea ziemlich limitiert ans Internet angebunden, das lokale Netz dort wird wohl auch stark gefiltert. Wundert also kaum, dass man dort wenig betroffen ist.
:
Bearbeitet durch User
Gustl B. schrieb: > Zu Wannacry jetzt vom letzten Wochenende: > Das war "wormable", sprich es war keine Benutzerinteraktion wie > Mailanhang klicken nötig. nee - irgendein Depp musste den erst mal ins Netzwerk bringen. Es scheint Hinweise zu geben, dass die Lücke schon vorher ausgenutzt wurde. Allerdings von Leuten, die sich der Möglichkeiten eher bewusst waren: https://www.heise.de/newsticker/meldung/WannaCry-Mining-Trojaner-Adylkuzz-nutzte-gleiche-Luecken-wohl-schon-vorher-3715414.html
Gustl B. schrieb: > Wundert also kaum, dass man dort wenig betroffen ist. Was interssierte Kreise allerdings nicht daran hindert, an Verschwörungstheorien zu basteln, die "beweisen" sollen, dass der Dicke aus Pjöngjang dahinter steckt und es wird genug willfährige Qualitätsmedien geben, die den Mist im Brustton der Überzeugung ihren Gläubigen predigen. Aus dem Code von Wannacry den Urheber herauslesen zu wollen, ist Kaffeesatzleserei 2.0
Vlad T. schrieb: > nee - irgendein Depp musste den erst mal ins Netzwerk bringen. Doch. Natürlich muss den wer (der Angreifer) ins Netz bringen, aber dann verbreitet der sich von selbst. Uhu U. schrieb: > Was interssierte Kreise allerdings nicht daran hindert, an > Verschwörungstheorien zu basteln, die "beweisen" sollen, dass der Dicke > aus Pjöngjang dahinter steckt und es wird genug willfährige > Qualitätsmedien geben, die den Mist im Brustton der Überzeugung ihren > Gläubigen predigen. > > Aus dem Code von Wannacry den Urheber herauslesen zu wollen, ist > Kaffeesatzleserei 2.0 Exakt. Das ist wie früher als es bei jedem Hackerangriff hieß der Chinese sei schuld. Jetzt ist der Russe oder der Nordkoreaner schuld. Und das obwohl wir hauptsächlich von westlichen Diensten wissen die solche Angriffe fahren.
:
Bearbeitet durch User
So hatte ich das auch verstanden wissen wollen. Aber irgendeinem scheint das nicht in seine zu bevorzugende.... Ach was ist eh Wurscht, dat Spielchen ist so alt wie es das diskreditieren von Zweifelnden schon immer war. Namaste ?
Gustl B. schrieb: > nur das Nutzen was der Hersteller vom OS > mitliefert, bei Microsoft eben den Defender/Security Essentials. Da habe ich noch ein Verständnisproblem: Hiess es nicht, der Angriff erfolgte, indem der MS Defender per Email eintreffende Scripte "testweise" laufen liess und dabei der Schadcode mit Adminrechten ausgeführt wurde? Oder war das jetzt wieder ein anderer Trojaner? Echt mal, das ist inzwischen ganz schön verwirrend. ;-)
Stimmt schon, in diesem Fall war es anscheinend Defender. Und übrigens, diese Lücke ist in SMB 1, es gibt SMB 2 und 3 mittlerweile, wieso läuft da noch ein altes SMB? Selbst in Windows 10 ist das noch an per Default. Wieso sagte ich man solle wenn überhaupt Defender nutzen? Weil der aus dem Hause Microsoft ist und die seit Windows 7 doch sehr viel getan hat was Sicherheit angeht. Unter XP war das noch ein Blutbad, aber mittlerweile ist das einigermaßen gut geworden. Die investieren sehr viel in Sicherheit und das traue ich den anderen Firmen nicht zu die Antiviren verkaufen. Dafür gibt es viel zu viele Fälle in denen Antiviren Angriffe erst ermöglichten. Gut, jetzt war es Defender, aber auch da gab es einen Patch vor dem Trojaner und sonst ist mir noch nichts negatives von Defender bekannt.
Nachdem es zwei Kunden erwischt hat, beide haben sich Verschlüsselungstrojaner eingefangen, weiß ich jedenfalls was hilft. Arcserve und ein LTO Laufwerk hilft am besten. Windows Sicherung auf eine eigenständige Festplatte geht auch und Acronis auf Externe Platte hilft bis zum anschliessen. Ein Angriff fand am Freitag vor Ostern statt um 19:00 Uhr wurde der Server gehackt und hat bis Montag morgen alles verschlüsselt inkl. Backup. Alles andere wurde gnadenlos mitverschlüsselt smb Freigabe, Mediaboxen etc. mfg Michael
Ein Backup das irgendwie am Netz hängt ist auch kein wirkliches Backup. Klar ist das praktisch, weil niemand mehr hinlaufen muss, aber am Ende hilft halt nur Backup trennen und auf einem Rechner machen dem man vertraut.
Gustl B. schrieb: > Ein Backup das irgendwie am Netz hängt ist auch kein wirkliches Backup. Sicher ist nur der Tod. Ein Kompromiss ist ein Backup, der nicht vom Client aus durchgeführt wird, sondern indem umgekehrt das Backup-System sich die Daten vom Client holt und der Client keinen Zugriff darauf hat. Mit Systemwechsel (Windows, Linux, NAS, Mac, ...), damit nicht beide den gleichen Bug haben. Gegen Software wie Ransomware ist das recht wirksam. Gegen brennende Häuser natürlich nicht. Eine Strategie kann also darin bestehen, solche quasi-online Backups automatisiert täglich zu fahren und in grösseren Abständen Backups offline anderswo zu deponieren. Oder 2 solcher Backup-Systeme online zu replizieren. Backups, die zu viel Arbeit machen, macht man nach einer konsequenten Anfangsphase irgendwann oft erst morgen, aber nicht heute.
:
Bearbeitet durch User
A. K. schrieb: > Ein Kompromiss ist ein Backup, der nicht vom Client aus durchgeführt > wird, sondern indem umgekehrt das Backup-System sich die Daten vom > Client holt und der Client keinen Zugriff darauf hat. Mit Systemwechsel > (Windows, Linux, NAS, Mac, ...), damit nicht beide den gleichen Bug > haben. Wenn es sich um Windows-Server handelt, lassen wir die als VM im XenServer unter Linux laufen. Nachts werden die virtuellen Maschinen dann komplett als Image gesichert. Versehentlich gelöschte Dateien zaubern wir aus den "Schattenkopien" des Windows-Servers selbst wieder hervor. Daher mache ich mir da keine großen Sorgen. Ist eine Windows-Büchse "kaputt" - aus welchen Gründen auch immer - wird das Image zurückgespielt. Das dauert je nach Größe der virtuellen Platten zwischen 10 Minuten und mehreren Stunden. P.S. Dasselbe Vorgehen benutzen wir auch in kleineren Filialen, die nur einen einzigen Windows-Server laufen haben. Auch der wird virtualisiert und unterliegt denselben Backup-Mechanismen. So ist man absolut unabhängig vom Blech. Geht das kaputt, wird XenServer auf einer neuen Maschine installiert (dauert 20 Minuten), das Backup der VM wieder eingespielt und schon gehts weiter.
:
Bearbeitet durch Moderator
Frank M. schrieb: > Wenn es sich um Windows-Server handelt, lassen wir die als VM im > XenServer unter Linux laufen. Nachts werden die virtuellen Maschinen > dann komplett als Image gesichert. Das Prinzip kommt mir bekannt vor, mit VMware statt Xen. Mit Nakivo für inkrementelle online Image-Backups. Mit dem kann man auch selektiv Files aus den Images ziehen. > Dasselbe Vorgehen benutzen wir auch in kleineren Filialen, die nur einen > einzigen Windows-Server laufen haben. Auch der wird virtualisiert und > unterliegt denselben Backup-Mechanismen. Ebenso. Virtualisierung schon deshalb, weil man damit mühelos die Hardware drunter auswechseln und auf Anforderungen schnell reagieren kann. Zudem sind VM-Snapshots bei Updates sehr angenehm. Primärer Backup auf billiger Qnap vor Ort. Heute würde ich evtl. Synology verwenden, weil der Nakivo-Transporter da mit drauf passt. Die eigentlichen Inhalte der Server, also nur die entsprechende Partition, werden zwischen den Filialen zusätzlich inkrementell quergesichert.
:
Bearbeitet durch User
Minimal-Variante für die täglichen Daten im privaten Umfeld: Ein RasPi zieht nächtlich die kritischen Daten vom Client runter und speichert sie auf eigenem Medium. Der Client wird dazu automatisch per WakeOnLAN gestartet und wieder runtergefahren.
:
Bearbeitet durch User
Wenn man jemanden etwas in die Schuhe schieben will macht man das doch nicht von zuhause und auch sonst heist es unter Punkt 1: Hacke nie von zuhause. Wozu sollte man im Programm Code Hinweise auf den Urheber geben? Aus Sicht des Geheimdienstes ist eine Lücke eben mit weniger Hürden zu nutzen als ein "Staatatrojaner" also wird man sich nicht selber verpetzen.
:
Bearbeitet durch User
heute wieder 3 mal im web-basierten Postfach: *wow, sowas hast Du noch nicht gesehen *5000EUR pro Monat *hallo - klickt einer sowas wirklich an?
:
Bearbeitet durch User
● J-A V. schrieb: > - klickt einer sowas wirklich an? Offensichtlich ja. Das sind aber üblicherweise keine Trojaner, sondern Geldwäscher. Trojaner kommen beispielsweise als prima aussehende Rechnung der Telekom, als Amazon-Verkäuferabrechnung, ...
da hilft dann auch seine Shop-Aktivitäten so gering wie möglich zu halten. ich hab z.B. gar kein Amazon-Konto mehr ach und wie oft mir alleine schon mein VISA-Konto gekündigt wurde...
:
Bearbeitet durch User
● J-A V. schrieb: > - klickt einer sowas wirklich an? Ich bekomme seit ca. 3J, in unregelmäßigen Abständen, eine Mahnung mit vollständigen Adressdaten inkl. Tel. Natürlich alles Nähere im Anhang. Ich werde den Teufel tun diesen zu öffnen :D
Teo D. schrieb: > Ich bekomme seit ca. 3J, in unregelmäßigen Abständen, eine Mahnung... > Ich werde den Teufel tun diesen zu öffnen :D Du hast es gut. Ich bekomme immer Nachrichten von irgendwelchen Schweizer Banken, dass ganz viel Geld für mich bereit liegt. Es fällt schon schwer, da nix anzuklicken. ;-)
Ich habe seit gut 3 Jahren kein Problem mehr... Habe mich für die Kaufversion von Kaspersky Internet Security entschlossen und bin seit dem sehr zufrieden mit Warnungen oder sofortiger Zugriffsverweigerung... Das soll keine Werbung sein! Ich bin nur ein Anwender...
Mani W. schrieb: > Habe mich für die Kaufversion von Kaspersky Internet Security > entschlossen und bin seit dem sehr zufrieden mit Warnungen oder > sofortiger Zugriffsverweigerung... Da Antiviren-Programme bekanntermaßen nur das anzeigen können, was sie bis dato auch kennen, ist das eine sehr gefährliche Haltung. "Ich starte jetzt die EXE aus dem Anhang der Mail, denn ich habe ja Kaspersky!" Der beste Schadsoftware-Scanner ist immer noch Brain 1.0. Hat aber leider nicht jeder.
Frank M. schrieb: > Der beste Schadsoftware-Scanner ist immer noch Brain 1.0. Hat aber > leider nicht jeder. Naja, gegen Schadcode in einer Mail, die Dein Mailprogramm automatisch herunterlädt und die MSE auf Viren scannt und dabei den Code "zu Testzwecken" mit Adminrechten laufen läßt kann Dein Brain wenig ausrichten. Jaja, immer aktuelle Patches einspielen. Wenn MS mal wieder was kaputtgepatched hat, heisst es dann, man spielt die ja auch nicht gleich ein, sondern wartet erst mal 2-3 Tage, bis andere die getestet haben.
Timm T. schrieb: > Naja, gegen Schadcode in einer Mail, die Dein Mailprogramm automatisch > herunterlädt und die MSE auf Viren scannt [...] Komisch, bei mir scannt keine MSE meine Thunderbird-Mail-Ordner, woran kann das bloß liegen? Ja, ist Windows7. > und dabei den Code "zu Testzwecken" mit Adminrechten laufen > läßt kann Dein Brain wenig ausrichten. Hier geschieht weder ein Scan noch eine Ausführung zu Testzwecken. Entweder habe ich mein System falsch konfiguriert, weil MSE nichts zu melden hat oder Du gehst von falschen Voraussetzungen aus. ;-) Aber mal zu Deiner Grundaussage: Ich sage ja nicht, dass Brain 1.0 das einzige Schadsoftware-Erkennungsprogramm sein sollte. Aber es ist das beste, wenn man es korrekt benutzt. Zu meiner eigenen Beruhigung läuft bei mir noch Avira, auch wenn es bei mir bisher noch niemals anschlagen musste - außer einem Fehlalarm. Eigentlich ist es bei E-Mails so einfach. Nehmen wir einfach mal eine angebliche Mail von DHL: 1. Konkrete Anrede mit Namen fehlt -> Tonne 2. Umlaute erscheinen nicht korrekt -> Tonne 3. Gebrochenes, grammatikalisch falsches Deutsch -> Tonne 4. Phishing Links (erkennbar durch Drüberfahren mit der Maus) -> Tonne 5. Ich erwarte gar kein Paket von DHL -> Tonne 6. Nicht-plausible "Received:"-Headerzeilen -> Tonne Das dauert zwischen 2 und 5 Sekunden. Dann ist die Mail weg. > Jaja, immer aktuelle Patches einspielen. Natürlich. Gegen einen Angriff von WannaCrypt aus dem lokalen Netzwerk unter Ausnutzung eines grundlegenden Protokolls wie SMB hat man ohne den entsprechenden Patch keine Chance. Auch mit Kaspersky nicht - jedenfalls noch vor ein paar Tagen.
Frank M. schrieb: > Natürlich. Gegen einen Angriff von WannaCrypt aus dem lokalen Netzwerk > unter Ausnutzung eines grundlegenden Protokolls wie SMB hat man ohne den > entsprechenden Patch keine Chance. Auch mit Kaspersky nicht - jedenfalls > noch vor ein paar Tagen. vermutlich danach auch nicht. Dein lokales Netz ist ja für ihn als sicher erklärt worden. Woher will er wissen ob ein Familienmitglied deine Daten öffnet, verschlüsselt und dann speichert oder ob es ein Bösewicht ist. Da helfen Schattenkopien 1A so lange der aktive Trojaner auf dem einen PC bleibt. Meist ist ja nur einer betroffen was aber reicht um alle über das lokale Netz zu erreichende Daten zu verschlüsseln. Da hilft nur SMB Patch oder abschalten.
Frank M. schrieb: > Timm T. schrieb: >> Naja, gegen Schadcode in einer Mail, die Dein Mailprogramm automatisch >> herunterlädt und die MSE auf Viren scannt [...] > > Komisch, bei mir scannt keine MSE meine Thunderbird-Mail-Ordner, woran > kann das bloß liegen? Ja, ist Windows7. bist du dir sicher? Ich glaube Tim spielt auf die letzte heftige Lücke in der Microsoft Malware Protection Engine (wohl teil von MSE) Lücke an https://www.heise.de/security/meldung/Dramatische-Sicherheitsluecke-in-Virenschutz-Software-von-Windows-geschlossen-3706615.html Und soweit wie ich das verstanden habe, war das Mail-Abrufen-Beispiel unabhängig vom Client, da MPE auch auf IP-Stack-Ebene arbeitet. Wobei mir da unklar ist, wie das bei verschlüsselten Verbindungen funktionieren soll.
● J-A V. schrieb: > ich hab z.B. gar kein Amazon-Konto mehr habe ich schon noch, aber ich ändere die User-Email-Adresse manchmal. Wenn Fake-Amazon auf einem anderen Email-Account reinkommen, kann ich diese sofort als Fake erkennen.
J. W. schrieb: > ich ändere die User-Email-Adresse manchmal. > Wenn Fake-Amazon auf einem anderen Email-Account reinkommen, kann ich > diese sofort als Fake erkennen. Ich habe sogar für jeden Service eine andere E-Mail, und mein Mail-Server sortiert die eintreffenden Mails nach Mail-Adresse in Ordner in meiner Inbox ein. So kann ich nicht nur erkennen, woher jemand meine Mail Adresse hat und wie legitim eine Mail ist, sondern finde einzelne Mails auch viel schneller.
Du lässt Dir für jeden neuen Beitrag 'ne Mail schicken?
Ich als normaler User habe seit 3 Jahren kein Problem mehr mit der Gurke (Computer) Vorher hatte ich Avira und auch andere kostenlose Programme, aber dann war irgend wann Schluss mit dem PC... Bin eben Analogmensch und wer weiß, was diverse kostenlose Downloads wieder anstellen auf meinem PC...
Mani W. schrieb: > Vorher hatte ich Avira und auch andere kostenlose Programme, aber dann > war irgend wann Schluss mit dem PC... Was dich aber nicht dran hindert hier regelmäsig mitten in der Nacht bierselige Gedanken zu äußern...
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.