Forum: Offtopic TrojanerAngriff wie sollte ich meinen PC Sichern?

Regelmässig/täglich Windows Updates einspielen (d.h. Updates erlauben 
und Reboots zulassen) und Backups auf nicht immer mit dem PC verbundenen 
Laufwerken machen.

AFAIK ist Win10 aber nicht betroffen. Unabhängig davon ist es aber auch 
sehr penetrant beim Einspielen der Updates.

Mal nachdenken, wann Du das letzte Systemabbild und Datenbackup gemacht 
hast.

In erster Line keine Mailanhänge öffnen, die suspekt sind.

Wer Ransomware in ZIP-Anhängen startet, dem ist nicht zu helfen, 
zumindest danach nicht mehr...

Also wir sind auf Arbeit Safe, unser Hauptrechner läuft noch mit Win95 
(aus Kostengründen son neuer Rechner ist ja teuer). Sollte ein Trojaner 
sich daran versuchen gibt es sicher eine Fehlermeldung  das die 
Systemvoraussetzungen für die Schadsoftware nicht ausreichend ist und 
wir doch bitteschön etwas Arbeitsspeicher nachrüsten sollen.

Ich hab' mir vor ein paar Jahren mal so einen Erpressungs-Trojaner 
eingefangen. Ein jugendliches Familienmitglied schwört Stein und Bein, 
af keinen Link geklickt zu haben und nur bei Amazon unterwegs gewesen zu 
sein...

Wie auch immer, die Kiste war kompromittiert.

Als Erstes: Netzwerkstecker 'raus!!! Bevor das Mistding sich 
weiterverbreitet - falls nicht schon geschehen.

Und dann: Mit einem Live-Linux (Knoppix, Ubuntu...) booten und die 
Festplatte(n) gründlich platt machen. Eigentlich sollte eine 
Neuformatierung durchaus schon reichen, einmaliges Überschreiben reicht 
erst recht.

Und dann das letzte gesunde Backup einspielen und Alles ist wie vorher.
Hat Alles in Allem gut eine Stunde gedauert.

Sehr hilfreich zur Vorbeugung ist daher, die Systeminstallation auf 
einer eigenen Partition (oder noch besser auf einer eigenen Platte) zu 
haben und die Daten auf einer anderen. Falls das noch nicht der Fall 
sein sollte, ist das auch die passende Ausrede, die Systeminstallation 
auf eine SSD umzuziehen...

Von der Systeminstallation gelegentlich ein Image ziehen und von den 
Daten Backups - zusätzlich die wichtigen Systemupdates regelmäßig 
einspielen, das sollte als Vorsichtsmaßnahme IMHO ausreichen.

Fred F. schrieb:
> unser Hauptrechner läuft noch mit Win95

Das dürfte sicher sein. USB-Sticks und WLAN scheiden als Infektionswege 
aus.
Vorsicht allerdings mit Disketten.

Auf Linux umsteigen...

Matthias L. schrieb:
> Ein jugendliches Familienmitglied schwört Stein und Bein,
> af keinen Link geklickt zu haben und nur bei Amazon unterwegs gewesen zu
> sein...

Kann stimmen: https://de.wikipedia.org/wiki/Drive-by-Download

Wolfgang R. schrieb:
> In erster Line keine Mailanhänge öffnen, die suspekt sind.

Und auch jene, die nicht suspekt wirken. ;-)

Die werden besser. Wenn die Rechnung von Vodafone ist, du aber nur 
Telefonica hast, ist es einfach zu erkennen. Wenn das aber zufällig 
zusammen passt, ist das heute nicht mehr so einfach auseinander zu 
halten.

Uhu U. schrieb:
> Auf Linux umsteigen...

Das ist für mich keine Option.
..aber kann jetzt der Trojaner schon auf dem PC sein, aber noch nicht 
aktiv.
Wenn ich Sicherungen mache, könnte ich doch die Sicherung HD mit 
infizieren.
Da wird der Schaden doch noch verbreitet!

A. K. schrieb:
> ..aber kann jetzt der Trojaner schon auf dem PC sein, aber noch nicht
> aktiv.

Mehr als einen Stand vorhalten.

Wenn ein inaktiver Trojaner drauf ist, dann lassen sich die Daten in 
noch intaktem Zustand wiederherstellen. Indem das Medium als 
Sekundärmedium angesprochen und nicht davon gebootet wird. Dann ist 
allerdings Linux als Rettungsmedium wirklich sehr praktisch, weil die 
Wahrscheinlichkeit einer versehentlichen Infektion durch das analysierte 
Medium praktisch Null ist.

A. K. schrieb:
> Hallo
> Habe heute erst von den Angriffen gehört.
> War Wochenende voll beschäftigt.
> Muss ich mir Sorgen machen und wie beseitige ich meine möglichen Sorgen
> Gruß

Mach dir nicht so ein Stress.

Der Wurm kann sich nur innerhalb eines Netztes via Dateifreigaben 
verbreiten, was zudem nur auf ungepatchten Systemen funktioniert.
Da die von außen im Normalfall nicht sichtbar sind, ist eine Infektion 
nur per klassischem Trojaner-Weg möglich.

Solange du also keine Uraltrechner mit wichtigen Daten im Netz betreibst 
und auf den Surf-Rechnern die üblichen Vorsichtsmaßnahmen walten lässt, 
sollte dieser aktuelle Wurm keine größere Gefahr darstellen, als jeder 
andere Schädling.

Der aktuelle Trojaner, sollte doch mittlerweile so gut wie von jedem 
AV-Programm erkannt werden.
Ich setz da auf Malwarebytes.
Wenn ich doch mal ein Suspektes File habe, lade ich es auf VirusTotal 
hoch, da gehen dann viel Scanner (~40) drüber.
Mich beruhigt's.

NB: Was grad abgeht ist trotz dem erkennbaren Ausmass noch 
vergleichsweise harmlos. Ich bin gespannt, wann jemand das erste Mal 
eine solche remote code execution Lücke dazu ausnutzt, um sich im 
Boot-ROM der üblichen Hersteller einzunisten. Wenn man das richtig 
macht, dann kriegt das allenfalls der Hersteller da wieder raus. Das 
gibt dann übergangsweise grossflächig PC-freie Zonen, in denen nur die 
Server noch funktionieren.

Teo D. schrieb:
> Der aktuelle Trojaner, sollte doch mittlerweile so gut wie von jedem
> AV-Programm erkannt werden.

Nach 2 Tagen stehen die Chancen besser als ganz frisch beim Ausbruch. 
Ist natürlich auch ein Weg, mit Mails umzugehen. Sie grundsätzlich 
solange im Inbound ungeöffnet reifen zu lassen, bis der Scanner seine 
Pappenheimer wahrscheinlich erkennt.

A. K. schrieb:
> NB: Was grad abgeht ist trotz dem erkennbaren Ausmass noch
> vergleichsweise harmlos. Ich bin gespannt, wann jemand das erste Mal
> eine solche remote code execution Lücke dazu ausnutzt, um sich im
> Boot-ROM der üblichen Hersteller einzunisten. Wenn man das richtig
> macht, dann kriegt das allenfalls der Hersteller da wieder raus. Das
> gibt dann übergangsweise grossflächig PC-freie Zonen, in denen nur die
> Server noch funktionieren.

Ich denke, das wäre noch ne ganze Ecke komplexer als der aktuelle Fall. 
da müsste man wohl mehrere solch hochkarätiger Lücken haben und dann 
noch eine signifikante Anzahl an verschiedenen Mainboards unterstützen. 
Die Erkennung sollte sauber funktionieren, damit man nicht vorzeitig 
darauf aufmerksam wird.
So ein Schädling wäre wohl aber auch das IT-Äquivalent einer Atombombe.

Im aktuellen Fall kann man wohl noch aber froh sein, dass das wahre 
Potential verschleudert wurde, anderseits wähnten sich die Urheber 
eventuell unter Zeitdruck, da die Zahl der potentiellen Ziele sich mit 
größerer Verbreitung der Patches immer weiter reduzierten.

Vlad T. schrieb:
> Ich denke, das wäre noch ne ganze Ecke komplexer als der aktuelle Fall.
> da müsste man wohl mehrere solch hochkarätiger Lücken haben

Zwei reichen. Eine für remote code execution, wie hier, und eine local 
privilege escalation. Letztere sind erheblich häufiger, und nur nötig, 
wenn der Anwender nicht sowieso schon Admin seines PCs ist.

BIOS/UEFI-Updates aus Windows heraus sind längst üblich.

> noch eine signifikante Anzahl an verschiedenen Mainboards unterstützen.

Die obersten 2-3 der Top-10 Liste der Business-PCs vor 1-2 Jahren würden 
für den Anfang wohl reichen.

> So ein Schädling wäre wohl aber auch das IT-Äquivalent einer Atombombe.

Yep.

> Im aktuellen Fall kann man wohl noch aber froh sein, dass das wahre
> Potential verschleudert wurde,

Ja. Die Sache mit der Kill-URL könnte sehr geholfen haben. Das ist zwar 
schon "repariert", aber nun greift:

> da die Zahl der potentiellen Ziele sich mit
> größerer Verbreitung der Patches immer weiter reduzierten.

Wobei viele ungepatchte Systeme von jener Sorte sind, die als nur sehr 
umständlich patchbar gelten. Embedded Systeme wie die diversen 
infizierten Anzeigesysteme sind eine riesiges Gruppe oft schwer 
veralteter und ungepatchter Systeme.

Bei Geldautomaten las ich unlängst, dass die vorsichtshalber nur vor Ort 
updated werden können. Das macht dann so richtig Spass.

Bei mir Zuhause hab ich das so gelöst, dass ich einen Server mit lxc 
containern für Mail, Webhosting etc. im Haus stehen habe. Darauf läuft 
auch ein NFS Server, auf dem alle PC's im Haus die daten Speichern. Ein 
separater Backup Server, der keine eingehenden verbindungen akzeptiert, 
macht dann jeden Abend über rsync ein backup. Ich habe darauf bis zu 2 
Jahren an backups, mit mit alter abnehmender Granularität. Falls sich 
einmal ein PC eine Ransomware einfängt und das NFS Share verschlüsselt, 
kann ich einfach das letzte gute backup wiederherstellen, indem ich das 
rsync Kommando umkehre. Ich halte das für ein Perfektes, fast 
unkompromittierbares Backupsystem.

Abradolf L. schrieb:
> Beruhigt dich Homöopathie auch?

Jo, da weiß ich wenigstens das die Leute keinen sinnlosen Chemiemüll in 
sich rein stopfen. Ich hüte mich, mit Homöopathie-Gläubigen darüber zu 
reden. Wer heilt hat recht, vor allem wenn es ohne Nebenwirkungen ist.
Kosten muss es was, sonst hilft's ja nich ;)

Teo D. schrieb:
> Jo, da weiß ich wenigstens das die Leute keinen sinnlosen Chemiemüll in
> sich rein stopfen.

gerade das tun sie ja - sie schlucken Substanzen (in der Regel bekannte 
Gifte), die bei signifikanter Dosierung genau die Symptome auslösen, die 
sie selbst bereits haben.
Lief bei der Verdünnung was schief, vergiften sie sich noch zusätzlich 
zu ihrem normalen Leiden.

Gabs doch erst vor kurzem:
http://www.zeit.de/wissen/gesundheit/2017-02/homoeopathie-usa-arzneimittel-fda-warnung-todesfaelle

http://www.focus.de/gesundheit/news/tod-durch-globuli-zehn-kleinkinder-gestorben-gesundheitsbehoerde-warnt-vor-homoeopathischen-mitteln_id_6693477.html

Vlad T. schrieb:
> Gabs doch erst vor kurzem:

Da steht aber auch, dass das in Deutschland ein wenig anders läuft.

Anyway: bleibt bitte beim Thema, sonst wird das hier eine völlig
abwegige Diskussion.  WanaCry dürfte wichtig genug sein, dass dieser
Thread auch weiterhin darüber handelt und nicht um Nebensächlichkeiten.

A. K. schrieb:
> allerdings Linux als Rettungsmedium wirklich sehr praktisch, weil die
> Wahrscheinlichkeit einer versehentlichen Infektion durch das analysierte
> Medium praktisch Null ist.

PS: Eine besonders kreative Variante mehrstufiger Infektion ergibt sich 
hieraus: https://blog.fefe.de/?ts=a7eaa651
Ein System so infizieren, dass es in der Forensik landet, um dann 
gezielt die Forensiker zu infizieren.

Gegen solche großflächigen Attacken hilft - ähnlich wie in der Natur - 
Artenvielfalt bei Betriebssystemen.

Uhu U. schrieb:
> ähnlich wie in der Natur

Dafür sind wir doch viel zu dämlich....

Teo D. schrieb:
> Dafür sind wir doch viel zu dämlich....

Vor allem ist es ein Hindernis auf dem Weg zum US-Muiltimilliardär.

A. K. schrieb:
>> Im aktuellen Fall kann man wohl noch aber froh sein, dass das wahre
>> Potential verschleudert wurde,
>
> Ja. Die Sache mit der Kill-URL könnte sehr geholfen haben. Das ist zwar
> schon "repariert", aber nun greift:
Ich meinte eher das gesamte Vorgehen. (siehe unten)

>
>> da die Zahl der potentiellen Ziele sich mit
>> größerer Verbreitung der Patches immer weiter reduzierten.
>
> Wobei viele ungepatchte Systeme von jener Sorte sind, die als nur sehr
> umständlich patchbar gelten. Embedded Systeme wie die diversen
> infizierten Anzeigesysteme sind eine riesiges Gruppe oft schwer
> veralteter und ungepatchter Systeme.

Ja, wobei diese Systeme aus Sicht der Urheber nur Kollateralschaden sind 
- für die haben sie keinen Business Case, weil: unersetzbare, zu 
entschlüsselnde Daten wird es da eher nicht geben.

Und für ganze befallene Firmen-Netzwerke wird wohl auch niemand für 
jeden Computer eine Transaktion durchführen und einzeln beheben, also 
auch wieder vergleichbar wenig Gewinn.

Das ganze mutet etwas wenig durchdacht an, in etwa wie Trüffelsuche mit 
nem Tagebaubagger.

Das Verhältnis von Gewinn/Gesamtschaden ist extrem gering, was sich am 
Ende aber als negativ für die Urheber erweisen könnte. Zum einen wegen 
intensiver internationaler Aufklärungsbemühungen und zum anderen wegen 
möglicherweise Sensibilisierung von zukünftigen potentiellen Opfern.


> Bei Geldautomaten las ich unlängst, dass die vorsichtshalber nur vor Ort
> updated werden können. Das macht dann so richtig Spass.

Wobei Zentral verwaltete, signierte Updates wahrscheinlich sicherer 
wären, als vor Ort jemanden irgendwas was aufspielen zu lassen

Uhu U. schrieb:
> Gegen solche großflächigen Attacken hilft - ähnlich wie in der Natur -
> Artenvielfalt bei Betriebssystemen.

Yep. Linux mit LVM2 auf der zu analysierenden Disk und Windows als 
verwendetes Analysesystem. ;-)
Beitrag "Re: TrojanerAngriff wie sollte ich meinen PC Sichern?"

Teo D. schrieb:
> Uhu U. schrieb:
>> ähnlich wie in der Natur
>
> Dafür sind wir doch viel zu dämlich....

Sorry, wollte dir nicht zu nahe treten ;)
Mit WIR, meinte ich die Menschheit insgesamt.

Vlad T. schrieb:
> Das ganze mutet etwas wenig durchdacht an, in etwa wie Trüffelsuche mit
> nem Tagebaubagger.

Naja, Trojaner == Streubomben....

Wer aber kann sicher ausschließen, das die Geldforderung nicht nur eine 
Tarnung war und das ganze nur einen Wirtschaftlicher Gesamtschaden 
verursachen sollte, oder ein Weckruf war???

Teo D. schrieb:
> Wer aber kann sicher ausschließen, das die Geldforderung nicht nur eine
> Tarnung war und das ganze nur einen Wirtschaftlicher Gesamtschaden
> verursachen sollte, oder ein Weckruf war???

Das wären ja geradezu altruistische Motive - meist du, dieses kriminelle 
Pack würde sich diese Mühe ohne Gewinnaussichten machen?

Eher fallen Ostern und Weihnachten auf einen Freitag den 13....

Uhu U. schrieb:
> Das wären ja geradezu altruistische Motive - meist du, dieses kriminelle
> Pack würde sich diese Mühe ohne Gewinnaussichten machen?

Ich denke da nicht an Einzelpersonen o. kleinen Gruppen!
China, Russland.... Könnten auch nur Auftragsgeber sein, reicht ja wenn 
da das Geld herkommt.

Teo D. schrieb:
> China, Russland.... Könnten auch nur Auftragsgeber sein, reicht ja wenn
> da das Geld herkommt.

Dafür gibts so einen bösen Kampfbegriff, der bestimmt von Mutter Theresa 
erfunden wurde...

https://www.heise.de/tp/news/50-Jahre-Verschwoerungstheoretiker-3674427.html

Jetzt verrennst du dich aber heftig!


bb

Teo D. schrieb:
> China, Russland.... Könnten auch nur Auftragsgeber sein, reicht ja wenn
> da das Geld herkommt.

Es gab schon Trojaner, die bestimmte Länder verschonten. Bei WannaCry 
sieht es bisher nicht danach aus, was die üblichen Verdächtigen angeht. 
So hat es in China Tankstellen und Bankautomaten bös erwischt und auch 
die Russen hatte schon sehr früh das Vergnügen. In den USA wiederum 
betraf es beispielsweise FedEx.

Verschont blieben bisher angeblich die Nordkoreaner. Aber das wundert 
sicherlich niemanden wirklich.

Ach ja, die Zukunft gehört bekanntlich dem bargeldlosen Zahlungsverkehr, 
sagt man. Bargeld soll gleich ganz abgeschafft werden, sagt man. Wer in 
China tanken will, der ist nun mit Bargeld deutlich besser dran. Also 
mal vorausgesetzt, er muss es nicht erst aus dem Automaten ziehen. Der 
Kopfkissentresor hat echt Zukunft.

A. K. schrieb:
> Verschont blieben bisher angeblich die Nordkoreaner. Aber das wundert
> sicherlich niemanden wirklich.




Alles scheint in Nordkorea nicht schlecht zu sein, mit 
Computersicherheit scheinen sich die Menschen dort besser auszukennen 
aus die gelobte Nation.
Ein einfacher Zaun schützt.

Abradolf L. schrieb:
> A. K. schrieb:
>> Verschont blieben bisher angeblich die Nordkoreaner. Aber das wundert
>> sicherlich niemanden wirklich.
>
> 
https://www.welt.de/wirtschaft/article164605500/Hat-Kim-Jong-un-die-weltweite-Cyber-Attacke-koordiniert.html


oh - sie haben Weapons of Data Mass Destruction - ich scwööör'

TRUPPEN MARSCH

So ein Mist, gerade wollte ich ein paar Bitcoins kaufen..

hehe

wenn da nicht mal jemand eine günstige Gelegenheit in die Hand zu 
bekommen und versucht ist 2 Fliegen mit einer Klappe zu schlagen.

NK mit Kim und Bitcoin als nichtkontrollierbares Zahlungsmittel!
da kommt doch so ein mysteriöser Angriff nach bekanntem Muster 
vielleicht gerade recht.

Zitat die Welt ebenda
"Die Wissenschaftler warnten allerdings, diese Indizien seien weit 
entfernt davon, beweiskräftig zu sein. Es könne Wochen oder Monate 
dauern, bis die Ermittler bei ihren Ergebnissen sicher genug seien, um 
offiziell Pjöngjangs wachsende Truppe digitaler Hacker dafür 
verantwortlich machen zu können."

Namaste

Folgt dem Börsen-Geld, und ihr werdet den Urheber finden...

Gilt der Satz hier in dem Fall auch?

Bitcoin ist zwar trackbar, aber es gibt Dienste die Bitcoin "waschen". 
In Zukunft werden Erpresser wohl zu anonymen Währungen wie Zerocash oder 
Monero wechseln.

Zu Wannacry jetzt vom letzten Wochenende:
Das war "wormable", sprich es war keine Benutzerinteraktion wie 
Mailanhang klicken nötig. Es hilft also nicht da seine Nutzer zu 
schulen, das hilft zwar auch, aber nicht alleine. Updates installieren 
ist zwingend und zwar sehr zeitnah. Wenn $Hersteller Patches ausliefert, 
kann man davon ausgehen, dass es durch Reverseengeneering innerhalb 
eines Tages Exploits für die geschlossenen Lücken gibt. Man sollte 
Updates also möglichst sofort einspielen.

Problematisch sind ältere OS Versionen wie Windows XP, Vista oder auch 
8.0 (und natürlich auch maches ältere Linux 2.6 oder so und auch OSX). 
Da hilft nur offline betreiben oder gar nicht betreiben.

Die Antivirendiskussion ist dann natürlich auch da und geht leider nicht 
weg. Oft bewirken Ativiren genau nichts denn sie erkennen nur was schon 
bekannt ist. Bei dem Trojaner jetzt war die Erkennungsquote bei 0%. Oft 
machen Antiviren auch zusätzliche Angriffsfläche auf oder verwirren den 
Benutzer durch absichtliche Falschmeldungen. Ich würde das also 
weitestgehend weglassen und nur das Nutzen was der Hersteller vom OS 
mitliefert, bei Microsoft eben den Defender/Security Essentials.

Auf Grund der Updatepolitik der großen OS Hersteller würde ich generell 
zu quelloffener Software raten.

Winfried J. schrieb:
> Zitat die Welt ebenda
> "Die Wissenschaftler warnten allerdings, diese Indizien seien weit
> entfernt davon, beweiskräftig zu sein. Es könne Wochen oder Monate
> dauern, bis die Ermittler bei ihren Ergebnissen sicher genug seien, um
> offiziell Pjöngjangs wachsende Truppe digitaler Hacker dafür
> verantwortlich machen zu können."

Wer ist denn verantwortlich jetzt bei dem Wannacry Trojaner?
Die NSA die jahrelang auf dem Bug und Exploits saßen und das nicht an 
Microsoft gemeldet haben damit die das patchen können?
Microsoft weil sie den Bug nicht gefunden haben?
Die Anwender weil sie den Patch nicht rechtzeitig installiert hatten? 
(Patch gab es schon im März)
Die Leaks die die NSA-Tools an die Öffentlichkeit brachten (und die zu 
diesem Trojaner führten)?

Aus meiner Sicht darf eine staatliche Behörde wie die NSA einfach nicht 
auf sowas sitzen ohne das an den Hersteller zu melden. Ja, vielleicht 
brauchen Geheimdienste Exploits, das mag man begründen können, aber 
keine von dieser Sorte. Da reichen auch Exploits die über USB-Stick 
funktionieren.
Microsoft finde ich hat viel bezüglich der Sicherheit getan seit XP und 
man kann nicht alle Fehler finden.
Für den Anwender habe ich kein Mitleid. Lauter Firmen stellen 
irgendwelche Hardware hin mit Windows und installieren nie Patches. Das 
ist dann eben die Folge. Wer kritische Infrastruktur betreibt darf dann 
eben bei der Sicherheit nicht sparen.

Zu Nordkorea:
Die verwenden dort großflächig Linux. Nicht weil das quelloffen und 
schön ist, sondern weil es keine Lizenzkosten kostet und man da auch 
prima seine Bürger überwachen kann. 
https://de.wikipedia.org/wiki/Red_Star_OS
Zusätzlich dazu ist Nordkorea ziemlich limitiert ans Internet 
angebunden, das lokale Netz dort wird wohl auch stark gefiltert. Wundert 
also kaum, dass man dort wenig betroffen ist.

Gustl B. schrieb:
> Zu Wannacry jetzt vom letzten Wochenende:
> Das war "wormable", sprich es war keine Benutzerinteraktion wie
> Mailanhang klicken nötig.

nee - irgendein Depp musste den erst mal ins Netzwerk bringen.



Es scheint Hinweise zu geben, dass die Lücke schon vorher ausgenutzt 
wurde. Allerdings von Leuten, die sich der Möglichkeiten eher bewusst 
waren:

https://www.heise.de/newsticker/meldung/WannaCry-Mining-Trojaner-Adylkuzz-nutzte-gleiche-Luecken-wohl-schon-vorher-3715414.html

Gustl B. schrieb:
> Wundert also kaum, dass man dort wenig betroffen ist.

Was interssierte Kreise allerdings nicht daran hindert, an 
Verschwörungstheorien zu basteln, die "beweisen" sollen, dass der Dicke 
aus Pjöngjang dahinter steckt und es wird genug willfährige 
Qualitätsmedien geben, die den Mist im Brustton der Überzeugung ihren 
Gläubigen predigen.

Aus dem Code von Wannacry den Urheber herauslesen zu wollen, ist 
Kaffeesatzleserei 2.0

Vlad T. schrieb:
> nee - irgendein Depp musste den erst mal ins Netzwerk bringen.

Doch. Natürlich muss den wer (der Angreifer) ins Netz bringen, aber dann 
verbreitet der sich von selbst.

Uhu U. schrieb:
> Was interssierte Kreise allerdings nicht daran hindert, an
> Verschwörungstheorien zu basteln, die "beweisen" sollen, dass der Dicke
> aus Pjöngjang dahinter steckt und es wird genug willfährige
> Qualitätsmedien geben, die den Mist im Brustton der Überzeugung ihren
> Gläubigen predigen.
>
> Aus dem Code von Wannacry den Urheber herauslesen zu wollen, ist
> Kaffeesatzleserei 2.0

Exakt. Das ist wie früher als es bei jedem Hackerangriff hieß der 
Chinese sei schuld. Jetzt ist der Russe oder der Nordkoreaner schuld. 
Und das obwohl wir hauptsächlich von westlichen Diensten wissen die 
solche Angriffe fahren.

So hatte ich das auch verstanden wissen wollen. Aber irgendeinem scheint 
das nicht in seine zu bevorzugende....

Ach was ist eh Wurscht, dat Spielchen ist so alt wie es das 
diskreditieren von Zweifelnden schon immer war.

Namaste ?

Stimmt schon, in diesem Fall war es anscheinend Defender. Und übrigens, 
diese Lücke ist in SMB 1, es gibt SMB 2 und 3 mittlerweile, wieso läuft 
da noch ein altes SMB? Selbst in Windows 10 ist das noch an per Default.

Wieso sagte ich man solle wenn überhaupt Defender nutzen?
Weil der aus dem Hause Microsoft ist und die seit Windows 7 doch sehr 
viel getan hat was Sicherheit angeht. Unter XP war das noch ein Blutbad, 
aber mittlerweile ist das einigermaßen gut geworden. Die investieren 
sehr viel in Sicherheit und das traue ich den anderen Firmen nicht zu 
die Antiviren verkaufen. Dafür gibt es viel zu viele Fälle in denen 
Antiviren Angriffe erst ermöglichten. Gut, jetzt war es Defender, aber 
auch da gab es einen Patch vor dem Trojaner und sonst ist mir noch 
nichts negatives von Defender bekannt.

Nachdem es zwei Kunden erwischt hat, beide haben sich 
Verschlüsselungstrojaner eingefangen, weiß ich jedenfalls was hilft. 
Arcserve und ein LTO Laufwerk hilft am besten. Windows Sicherung auf 
eine eigenständige Festplatte geht auch und Acronis auf Externe Platte 
hilft bis zum anschliessen. Ein Angriff fand am Freitag vor Ostern statt 
um 19:00 Uhr wurde der Server gehackt und hat bis Montag morgen alles 
verschlüsselt inkl. Backup.
Alles andere wurde gnadenlos mitverschlüsselt smb Freigabe, Mediaboxen 
etc.

mfg
Michael

Ein Backup das irgendwie am Netz hängt ist auch kein wirkliches Backup. 
Klar ist das praktisch, weil niemand mehr hinlaufen muss, aber am Ende 
hilft halt nur Backup trennen und auf einem Rechner machen dem man 
vertraut.

Gustl B. schrieb:
> Ein Backup das irgendwie am Netz hängt ist auch kein wirkliches Backup.

Sicher ist nur der Tod. Ein Kompromiss ist ein Backup, der nicht vom 
Client aus durchgeführt wird, sondern indem umgekehrt das Backup-System 
sich die Daten vom Client holt und der Client keinen Zugriff darauf hat. 
Mit Systemwechsel (Windows, Linux, NAS, Mac, ...), damit nicht beide den 
gleichen Bug haben.

Gegen Software wie Ransomware ist das recht wirksam. Gegen brennende 
Häuser natürlich nicht. Eine Strategie kann also darin bestehen, solche 
quasi-online Backups automatisiert täglich zu fahren und in grösseren 
Abständen Backups offline anderswo zu deponieren. Oder 2 solcher 
Backup-Systeme online zu replizieren.

Backups, die zu viel Arbeit machen, macht man nach einer konsequenten 
Anfangsphase irgendwann oft erst morgen, aber nicht heute.

A. K. schrieb:
> Ein Kompromiss ist ein Backup, der nicht vom Client aus durchgeführt
> wird, sondern indem umgekehrt das Backup-System sich die Daten vom
> Client holt und der Client keinen Zugriff darauf hat. Mit Systemwechsel
> (Windows, Linux, NAS, Mac, ...), damit nicht beide den gleichen Bug
> haben.

Wenn es sich um Windows-Server handelt, lassen wir die als VM im 
XenServer unter Linux laufen. Nachts werden die virtuellen Maschinen 
dann komplett als Image gesichert. Versehentlich gelöschte Dateien 
zaubern wir aus den "Schattenkopien" des Windows-Servers selbst wieder 
hervor. Daher mache ich mir da keine großen Sorgen.

Ist eine Windows-Büchse "kaputt" - aus welchen Gründen auch immer - wird 
das Image zurückgespielt. Das dauert je nach Größe der virtuellen 
Platten zwischen 10 Minuten und mehreren Stunden.

P.S.
Dasselbe Vorgehen benutzen wir auch in kleineren Filialen, die nur einen 
einzigen Windows-Server laufen haben. Auch der wird virtualisiert und 
unterliegt denselben Backup-Mechanismen. So ist man absolut unabhängig 
vom Blech. Geht das kaputt, wird XenServer auf einer neuen Maschine 
installiert (dauert 20 Minuten), das Backup der VM wieder eingespielt 
und schon gehts weiter.

Frank M. schrieb:
> Wenn es sich um Windows-Server handelt, lassen wir die als VM im
> XenServer unter Linux laufen. Nachts werden die virtuellen Maschinen
> dann komplett als Image gesichert.

Das Prinzip kommt mir bekannt vor, mit VMware statt Xen. Mit Nakivo für 
inkrementelle online Image-Backups. Mit dem kann man auch selektiv Files 
aus den Images ziehen.

> Dasselbe Vorgehen benutzen wir auch in kleineren Filialen, die nur einen
> einzigen Windows-Server laufen haben. Auch der wird virtualisiert und
> unterliegt denselben Backup-Mechanismen.

Ebenso. Virtualisierung schon deshalb, weil man damit mühelos die 
Hardware drunter auswechseln und auf Anforderungen schnell reagieren 
kann. Zudem sind VM-Snapshots bei Updates sehr angenehm.

Primärer Backup auf billiger Qnap vor Ort. Heute würde ich evtl. 
Synology verwenden, weil der Nakivo-Transporter da mit drauf passt. Die 
eigentlichen Inhalte der Server, also nur die entsprechende Partition, 
werden zwischen den Filialen zusätzlich inkrementell quergesichert.

Minimal-Variante für die täglichen Daten im privaten Umfeld: Ein RasPi 
zieht nächtlich die kritischen Daten vom Client runter und speichert sie 
auf eigenem Medium. Der Client wird dazu automatisch per WakeOnLAN 
gestartet und wieder runtergefahren.

Wenn man jemanden etwas in die Schuhe schieben will macht man das doch 
nicht von zuhause und auch sonst heist es unter

Punkt 1: Hacke nie von zuhause.

Wozu sollte man im Programm Code Hinweise auf den Urheber geben?

Aus Sicht des Geheimdienstes ist eine Lücke eben mit weniger Hürden zu 
nutzen als ein "Staatatrojaner" also wird man sich nicht selber 
verpetzen.

heute wieder 3 mal im web-basierten Postfach:

*wow, sowas hast Du noch nicht gesehen

*5000EUR pro Monat

*hallo

- klickt einer sowas wirklich an?

● J-A V. schrieb:
> - klickt einer sowas wirklich an?

Offensichtlich ja. Das sind aber üblicherweise keine Trojaner, sondern 
Geldwäscher. Trojaner kommen beispielsweise als prima aussehende 
Rechnung der Telekom, als Amazon-Verkäuferabrechnung, ...

da hilft dann auch seine Shop-Aktivitäten
so gering wie möglich zu halten.

ich hab z.B. gar kein Amazon-Konto mehr

ach und wie oft mir alleine schon mein VISA-Konto gekündigt wurde...

● J-A V. schrieb:
> - klickt einer sowas wirklich an?

Ich bekomme seit ca. 3J, in unregelmäßigen Abständen, eine Mahnung mit 
vollständigen Adressdaten inkl. Tel.
Natürlich alles Nähere im Anhang.
Ich werde den Teufel tun diesen zu öffnen :D

Ich habe seit gut 3 Jahren kein Problem mehr...

Habe mich für die Kaufversion von Kaspersky Internet Security
entschlossen und bin seit dem sehr zufrieden mit Warnungen oder
sofortiger Zugriffsverweigerung...

Das soll keine Werbung sein!

Ich bin nur ein Anwender...

Mani W. schrieb:
> Habe mich für die Kaufversion von Kaspersky Internet Security
> entschlossen und bin seit dem sehr zufrieden mit Warnungen oder
> sofortiger Zugriffsverweigerung...

Da Antiviren-Programme bekanntermaßen nur das anzeigen können, was sie 
bis dato auch kennen, ist das eine sehr gefährliche Haltung.

"Ich starte jetzt die EXE aus dem Anhang der Mail, denn ich habe ja 
Kaspersky!"

Der beste Schadsoftware-Scanner ist immer noch Brain 1.0. Hat aber 
leider nicht jeder.

Timm T. schrieb:
> Naja, gegen Schadcode in einer Mail, die Dein Mailprogramm automatisch
> herunterlädt und die MSE auf Viren scannt [...]

Komisch, bei mir scannt keine MSE meine Thunderbird-Mail-Ordner, woran 
kann das bloß liegen? Ja, ist Windows7.

> und dabei den Code "zu Testzwecken" mit Adminrechten laufen
> läßt kann Dein Brain wenig ausrichten.

Hier geschieht weder ein Scan noch eine Ausführung zu Testzwecken.

Entweder habe ich mein System falsch konfiguriert, weil MSE nichts zu 
melden hat oder Du gehst von falschen Voraussetzungen aus. ;-)

Aber mal zu Deiner Grundaussage: Ich sage ja nicht, dass Brain 1.0 das 
einzige Schadsoftware-Erkennungsprogramm sein sollte. Aber es ist das 
beste, wenn man es korrekt benutzt. Zu meiner eigenen Beruhigung läuft 
bei mir noch Avira, auch wenn es bei mir bisher noch niemals anschlagen 
musste - außer einem Fehlalarm.

Eigentlich ist es bei E-Mails so einfach. Nehmen wir einfach mal eine 
angebliche Mail von DHL:

 1. Konkrete Anrede mit Namen fehlt -> Tonne
 2. Umlaute erscheinen nicht korrekt -> Tonne
 3. Gebrochenes, grammatikalisch falsches Deutsch -> Tonne
 4. Phishing Links (erkennbar durch Drüberfahren mit der Maus) -> Tonne
 5. Ich erwarte gar kein Paket von DHL -> Tonne
 6. Nicht-plausible "Received:"-Headerzeilen -> Tonne

Das dauert zwischen 2 und 5 Sekunden. Dann ist die Mail weg.

> Jaja, immer aktuelle Patches einspielen.

Natürlich. Gegen einen Angriff von WannaCrypt aus dem lokalen Netzwerk 
unter Ausnutzung eines grundlegenden Protokolls wie SMB hat man ohne den 
entsprechenden Patch keine Chance. Auch mit Kaspersky nicht - jedenfalls 
noch vor ein paar Tagen.

Frank M. schrieb:
> Natürlich. Gegen einen Angriff von WannaCrypt aus dem lokalen Netzwerk
> unter Ausnutzung eines grundlegenden Protokolls wie SMB hat man ohne den
> entsprechenden Patch keine Chance. Auch mit Kaspersky nicht - jedenfalls
> noch vor ein paar Tagen.

vermutlich danach auch nicht. Dein lokales Netz ist ja für ihn als 
sicher erklärt worden. Woher will er wissen ob ein Familienmitglied 
deine Daten öffnet, verschlüsselt und dann speichert oder ob es ein 
Bösewicht ist. Da helfen Schattenkopien 1A so lange der aktive Trojaner 
auf dem einen PC bleibt. Meist ist ja nur einer betroffen was aber 
reicht um alle über das lokale Netz zu erreichende Daten zu 
verschlüsseln. Da hilft nur SMB Patch oder abschalten.

Frank M. schrieb:
> Timm T. schrieb:
>> Naja, gegen Schadcode in einer Mail, die Dein Mailprogramm automatisch
>> herunterlädt und die MSE auf Viren scannt [...]
>
> Komisch, bei mir scannt keine MSE meine Thunderbird-Mail-Ordner, woran
> kann das bloß liegen? Ja, ist Windows7.

bist du dir sicher?

Ich glaube Tim spielt auf die letzte heftige Lücke in der Microsoft 
Malware Protection Engine (wohl teil von MSE) Lücke an

https://www.heise.de/security/meldung/Dramatische-Sicherheitsluecke-in-Virenschutz-Software-von-Windows-geschlossen-3706615.html

Und soweit wie ich das verstanden habe, war das Mail-Abrufen-Beispiel 
unabhängig vom Client, da MPE auch auf IP-Stack-Ebene arbeitet. Wobei 
mir da unklar ist, wie das bei verschlüsselten Verbindungen 
funktionieren soll.

● J-A V. schrieb:
> ich hab z.B. gar kein Amazon-Konto mehr

habe ich schon noch, aber ich ändere die User-Email-Adresse manchmal.
Wenn Fake-Amazon auf einem anderen Email-Account reinkommen, kann ich 
diese sofort als Fake erkennen.

J. W. schrieb:
> ich ändere die User-Email-Adresse manchmal.
> Wenn Fake-Amazon auf einem anderen Email-Account reinkommen, kann ich
> diese sofort als Fake erkennen.

Ich habe sogar für jeden Service eine andere E-Mail, und mein 
Mail-Server sortiert die eintreffenden Mails nach Mail-Adresse in Ordner 
in meiner Inbox ein. So kann ich nicht nur erkennen, woher jemand meine 
Mail Adresse hat und wie legitim eine Mail ist, sondern finde einzelne 
Mails auch viel schneller.

Du lässt Dir für jeden neuen Beitrag 'ne Mail schicken?

Ich als normaler User habe seit 3 Jahren kein Problem mehr mit der
Gurke (Computer)

Vorher hatte ich Avira und auch andere kostenlose Programme, aber dann
war irgend wann Schluss mit dem PC...

Bin eben Analogmensch und wer weiß, was diverse kostenlose Downloads
wieder anstellen auf meinem PC...

Mani W. schrieb:
> Vorher hatte ich Avira und auch andere kostenlose Programme, aber dann
> war irgend wann Schluss mit dem PC...

Was dich aber nicht dran hindert hier regelmäsig mitten in der Nacht 
bierselige Gedanken zu äußern...