News Locky: Mit Backups vor den Krypto-Trojanern schützen

[borizb]

Gibts nicht die möglichkeit dass man sowas wie Seti oder Folding macht,
um die Rechenpower zu haben, den oder die Schlüssel zu brute-forcen?
Ich weiß, that's not how it works, aber ihr wisst worauf ich hinaus will.

Wann schlagen wir eigentlich mal zurück gegen die Hacker? Reicht es
uns, unser leben lang nur unter den Angriffen zu leiden oder wehren wir
uns auch irgendwann mal?

 

[Pitviper]

Hi,

also ich kann aus Erfahrung sagen dass vor allem Firmen die gefährdetsten sind, da diese ja wirklich teilweise mit einer Flut von Kunden/Partnern konfrontiert sind, oft wichtige Emails an falsche Personen/Abteilungen kommen, und auch extrem unaussagekräfte Mail von Kunden/Partnern verschickt werden die dann nicht viel anders aussehen.

Wie kann ich eigentlich mein NAS Laufwerk schützen, da ich ja die Ordner vom NAS mit gespeichertem Passwort als Laufwerk verbunden habe. Ich fürchte mich da etwas davor falls mein PC mal befallen wird dass ich alle meine Fotos die am NAS sind verliere.....

lg

 

[Simpson474]

Gibts nicht die möglichkeit dass man sowas wie Seti oder Folding macht,
um die Rechenpower zu haben, den oder die Schlüssel zu brute-forcen?
Ich weiß, that's not how it works, aber ihr wisst worauf ich hinaus will.

Bereits bei AES128 gibt es 340.282.366.920.938.463.463.374.607.431.768.211.456 unterschiedliche Schlüssel - da kannst du ja mal ausrechnen, wie lange es dauert wenn man z.B. von 100.000.000 Schlüssel pro Sekunde beim Brute-Force ausgeht

 

[nato44]

Ist locky nicht total langsam? AES wird ja schon durch die Festplatte abgebremst, aber RSA? Wie lange soll ich den Rechner denn bei Volllast laufen lassen damit auch wirklich was wichtiges weg ist.

Die wichtigsten Sachen sind meistens nicht die Dateien mit den größten Dateigrößen ;-) Da reicht es schon aus, wenn deine Word- und Excel Tabellen, Fotos usw. verschlüsselt werden..

 

[crvn075]

da kannst du ja mal ausrechnen, wie lange es dauert wenn man z.B. von 100.000.000 Schlüssel pro Sekunde beim Brute-Force ausgeht

Streng genommen musst du im Schnitt nur 50% der Schlüssel ausrechnen. Aber das ist nur Kosmetik, deine Aussage stimmt trotzdem, der Suchraum ist viel zu groß.

 

[Saki75]

Sieht für mich nach erfundenem schrott der Regierungen aus.Bei der heutigen kontrolle von allem undenkbar.
Simpler weg um alle zu zwingen auf cloud ect... zu speichern damit die noch mehr zeug von uns sammeln.

 

[BorstiNumberOne]

Hatte vor paar Tagen auch eine Mail angeblich von Paypal. Täuschend echt, richtige Paypal Mailadresse und voller Name stand drin (und der war nicht Bestandteil der Mailadresse).
Angeblich was gekauft, ne Jacke für 2100 €, und wenn ich stornieren will soll ich einen Button klicken in der Mail. Dennoch sollte man heute so schlau sein und nicht auf sowas reinfallen.
Und wenn man unsicher ist, mit dem Browser über die original Webseite z.B. bei Paypal anmelden und schauen ob da wirklich was ist, bevor man irgendwo in einer Mail was anklickt.
Aber man sollte die Leute nicht nur durch Krypto-Trojaner zu Backups bewegen, denn Backups sind immer sinnvoll. Immerhin ist eine Festplatte, ob HDD oder SSD, auch nie 100% Ausfallsicher. Und wenn so eine hinüber ist, ist alles weg. Und je größer die Platten werden und Daten gespeichert werden, umso größer ist der Verlust.

Bei Paypal kann man so etwas an die Mail "taeuschung@paypal.de" weiterleiten, wofür diese sehr dankbar sind. Mache ich immer, wenn mal wieder eine Mail von denen kommt, dass man z.B. sein Konto verifizieren soll.

 

[chaytec]

Sieht für mich nach erfundenem schrott der Regierungen aus.Bei der heutigen kontrolle von allem undenkbar.
Simpler weg um alle zu zwingen auf cloud ect... zu speichern damit die noch mehr zeug von uns sammeln.

Aluhut hin oder her, es könnte durchaus so sein. Kann, wie so oft in der Vergangenheit, als "Vorwand" dienen wieder etwas zu unserem Nachteil zu beschließen.

 

[M@rsupil@mi]

Die wichtigsten Sachen sind meistens nicht die Dateien mit den größten Dateigrößen ;-) Da reicht es schon aus, wenn deine Word- und Excel Tabellen, Fotos usw. verschlüsselt werden..

Wobei sich die kleinen Dateien halt auch entsprechend einfach sichern lassen. Man sollte halt nur irgendwie ein Sicherungs- und Backupkonzeot haben. Das hilft ja nicht nur bei Verschlüsselungen.

die dann nicht viel anders aussehen

Und deswegen klicken und machen die Mitarbeiter alles, bis nix mehr am Rechner geht und die IT auch keinen vernünftiges Sicherheitskonzept hat?

Wie kann ich eigentlich mein NAS Laufwerk schützen, da ich ja die Ordner vom NAS mit gespeichertem Passwort als Laufwerk verbunden habe. Ich fürchte mich da etwas davor falls mein PC mal befallen wird dass ich alle meine Fotos die am NAS sind verliere.....

a) Backup und b) Papierkorb für NAS-Laufwerke / -Ordner aktivieren und den Zugriff darauf nur dem NAS-Admin gestatten.

wehren wir uns auch irgendwann mal?

Einfach nicht alles anklicken.

 

[Autokiller677]

wer zahlt, dem ist schlicht nicht mehr zu helfen!
Gerade wenn jemand zahlt, ist doch für die Betreiber dieser kriminellen Techniken ein Anreiz gleich den zweiten "Locky" auf den Rechner zu setzen - oder aber den ersten aktiv zu lassen, der erst in einer weiteren Woche / Monat wieder aktiv wird!

Wenn man kein Backup hat blebit aber nicht viel anderes, wenn du die Daten brauchst (Stichwort Unternehmen). Keiner wird freiwiliig pleite gehen, egal wie es gegen Prinzipien verstößt.

War ja auch letzte Woche von einem Krankenhaus in den USA in den Medien. Die haben gezahlt und es wurde entschlüsselt. Ging schneller als die Disaster-Recovery (Backup war vorhanden) und die Patientenversorgung hat halt Vorrang - da wurde der schnellste Weg gewählt, egal welcher das ist.

Gibts nicht die möglichkeit dass man sowas wie Seti oder Folding macht,
um die Rechenpower zu haben, den oder die Schlüssel zu brute-forcen?
Ich weiß, that's not how it works, aber ihr wisst worauf ich hinaus will.

Wenn Verschlüsselung so einfach zu knacken wäre, könnten wir auch gleich Klartext schreiben. Die Rehenpower die Seti etc. haben, haben NSA und co schon lange im Keller.

 

[Klikidiklik]

Wie kann ich eigentlich mein NAS Laufwerk schützen, da ich ja die Ordner vom NAS mit gespeichertem Passwort als Laufwerk verbunden habe. Ich fürchte mich da etwas davor falls mein PC mal befallen wird dass ich alle meine Fotos die am NAS sind verliere.....

lg

Keine freigegebenen Ordner der NAS als Laufwerk verbinden. Das ist der beste Schutz den du haben kannst. Denn die Cryptolocker gehen nur auf bereits vorhandene, lokale und über Netzwerk verbundene Laufwerke los.

Wenn Verschlüsselung so einfach zu knacken wäre, könnten wir auch gleich Klartext schreiben. Die Rehenpower die Seti etc. haben, haben NSA und co schon lange im Keller.

Teslacrypt2 wurde auch geknackt und entschlüsselt. Es ist nur eine Frage der Zeit, bis Teslacrypt3 und Locky in der Hinsicht auch entschlüsselt werden können.

War ja auch letzte Woche von einem Krankenhaus in den USA in den Medien. Die haben gezahlt und es wurde entschlüsselt. Ging schneller als die Disaster-Recovery (Backup war vorhanden) und die Patientenversorgung hat halt Vorrang - da wurde der schnellste Weg gewählt, egal welcher das ist.

Verstehe immer noch nicht wieso viele Unternehmen keine Snapshot basierten Backups haben. Einen einfacheren und schnelleren Weg der Widerherstellung gibt es nicht.

 

[Creati]

Keine freigegebenen Ordner der NAS als Laufwerk verbinden. Das ist der beste Schutz den du haben kannst. Denn die Cryptolocker gehen nur auf bereits vorhandene, lokale und über Netzwerk verbundene Laufwerke los.

Falsch: http://www.heise.de/security/meldun...eber-5000-Infektionen-pro-Stunde-3111774.html
"Der Erpressungs-Trojaner Locky verschlüsselt nicht nur Dateien auf dem infizierten Rechner, sondern auch alles, was er über das Netzwerk erreicht. Laut BleepingComputer erreicht der Schädling sogar Netzwerkfreigaben, die aktuell nicht ins System eingebunden sind. "

 

[Klikidiklik]

Dann muss die NAS eben so konfiguriert werden, dass ohne Eingabe von Benutzername und Kennwort kein Zugriff möglich ist. Sehe ich jetzt auch nicht unbedingt als Problem an. Des Weiteren geht ohne Schreibrechte trotzdem nix.

Die Teslacrpyt 3 Varianten mit denen wir schon Kontakt hatten, konnten das auf jeden Fall noch nicht.

 

[Creati]

So einfach ist das mit dem NAS ja leider nicht. Oft hat man ja zumindest eine Freigabe gemounted und entsprechend ist man dem NAS gegenüber authentifiziert. Es hängt halt von der Situation ab. Dein Vorschlag kann solange umgesetzt werden, wie ich keine einzige Freigabe als Netzlaufwerk gemounted haben möchte. Sobald ich eine gemounted habe, sind alle Freigaben des NAS betroffen, auf die der User Zugriff hat. Zumindets verhält sich mein NAS so.
Schreibrechte hat man in der Regel ja. Man will schließlich auch Dateien ändern. Es gibt halt solche und solche Fälle.
Es zeigt einfach nur, dass es auch ein Backupmedium geben muss, auf welches der Virus eigl nie Zugriff hat (beispielsweise externe USB-Festplatte oder ein weiteres NAS, welches als Backup für das erstere NAS gilt).

 

[crvn075]

Teslacrypt2 wurde auch geknackt und entschlüsselt. Es ist nur eine Frage der Zeit, bis Teslacrypt3 und Locky in der Hinsicht auch entschlüsselt werden können.

Äpfel und Birnen.
Die AES-Verschlüsselung von TeslaCrypt2 wurde nie "entschlüsselt". Die Macher hatten den zu einer verschlüsselten Datei gehörenden Schlüssel jedoch mehr oder weniger im Klartext zu Beginn der Datei selbst abgelegt. Folglich konnte man den Schlüssel einfach aus der Datei auslesen, ohne die Datei selbst entschlüsseln zu müssen (das wäre dann der nächste Schritt, den man dank des extrahierten Schlüssels tun kann).

Sollten TC3 und Locky den Schlüssel nicht auch lokal und leicht auffindbar speichern, dann funktioniert das nicht mehr. Man kann Schwächen in der Umsetzung der Malware oder in der Implementierung der Verschlüsselung finden, die eigentliche Verschlüsselung durch rohe Gewalt zu knacken wird zu deiner Lebzeit jedoch nicht mehr passieren.

 

[hrafnagaldr]

Es geht weiter, gerade sind in unserer Sophos SG115 ca. 50 Mails von noreply[at]bounce.sipgate.de gelandet, Betreff ist ein angebliches Fax von einer real existierenden Faxnummer (034205-998306), Anhang .zip mit Inhalt .js Datei.

Wurde aber schon zuvor mit "RDNS missing" geblockt, einige der IPs sind auch schon auf Blacklists.

 

[highks]

Irgendwie kann ich nicht verstehen, warum die Leute im Jahr 2016 immernoch auf eMail-Anhänge klicken.

Weil man über Mailanhänge jede Menge wichtige Sachen bekommt? Rechnungen werden heute zu 95% per Mail verschickt. Eigentlich natürlich per PDF, aber der Unterschied zwischen PDF und Office Dokument ist dem Normalo im Büro oft schwieriger beizubringen, als man denkt...

Ich bin vorerst bis auf weiteres oder langfristig auf Ubuntu 15.10 Wily Werewolf umgestiegen

Da musst du trotzdem aufpassen - denn nur weil es bisher kein Ransom Virus für Linux oder OSX gab, heißt nicht, dass man das nicht relativ leicht auch machen könnte. Der Vorteil am Ransom Virus ist ja, dass er ausschließlich Nutzerrechte braucht! Er braucht kein Admin, kein root, nichts! Er muss nur vom Nutzer einmal ausgeführt werden, fertig! Das kann man auch für ein *nix System sehr leicht programmieren. Lohnt sich halt weniger, als für Windows - aber vielleicht ist der nächste Ransom Virus ja cross-plattform? Immer mal was Neues!

Simpler weg um alle zu zwingen auf cloud ect... zu speichern damit die noch mehr zeug von uns sammeln.

Also der beste Weg sich gegen einen Ransom Virus zu schützen, ist immer noch das lokale Backup auf der externen Festplatte, die man nach erfolgtem Backup zumindest abschaltet, am besten sogar komplett absteckt (sichert gleich gegen Blitzschlag etc.)
Die Cloud ist doch für größere Backups meist eher noch zu langsam oder auch zu klein/zu teuer. Zumindest bei uns im Entwicklungsland Deutschland, wo ein paar große Köpfe entscheiden, welche Internetgeschwindigkeit uns gefälligst zu reichen hat...

 

[Creati]

Ransomware für Linux gibt es schon. Hatte hier ja schon jmd. angesprochen. Fokussieren tut die sich wohl erst noch auf Server.
http://www.heise.de/security/meldung/Erpressungs-Trojaner-fuer-Linux-stuempert-noch-2915224.html

 

[Ilsan]

So einfach ist das mit dem NAS ja leider nicht. Oft hat man ja zumindest eine Freigabe gemounted und entsprechend ist man dem NAS gegenüber authentifiziert. Es hängt halt von der Situation ab. Dein Vorschlag kann solange umgesetzt werden, wie ich keine einzige Freigabe als Netzlaufwerk gemounted haben möchte. Sobald ich eine gemounted habe, sind alle Freigaben des NAS betroffen, auf die der User Zugriff hat. Zumindets verhält sich mein NAS so.
Schreibrechte hat man in der Regel ja. Man will schließlich auch Dateien ändern. Es gibt halt solche und solche Fälle.
Es zeigt einfach nur, dass es auch ein Backupmedium geben muss, auf welches der Virus eigl nie Zugriff hat (beispielsweise externe USB-Festplatte oder ein weiteres NAS, welches als Backup für das erstere NAS gilt).

Das ist der Punkt, wenn ich mein da alles komplett auf ReadOnly setze ist das einfach nervig beim Arbeiten. Und nicht als Netzlaufwerk verbinden ist auch kein wirklicher Ansatz, denn rein theoretisch müssen die Jungs nur nen Update rausbringen dass eben auch einfache ungemountete Netzwerkshares dann verschlüsselt. Kanns also auch net sein.
Und zumindest unter Windows ist man halt per SMB mit seinen Userdaten am NAS/Server angemeldet bis zum nächsten Rechner neustart. Soll ich mir da 2 Benutzeraccounts nun machen? Da ist auch mega umständlich.

Beste lösung sind snapshots, wenn es das Gerät unterstützt.

Also der beste Weg sich gegen einen Ransom Virus zu schützen, ist immer noch das lokale Backup auf der externen Festplatte, die man nach erfolgtem Backup zumindest abschaltet, am besten sogar komplett absteckt (sichert gleich gegen Blitzschlag etc.)

Und wie sicherst du dich ab dass wenn die USB Platte dranhängt nicht nur dein Backup Programm seine Arbeit verrichtet auf der Festplatte sondern der Virus parallel gleich mit?

Auf eine USB Festplatte hat man idr relativ schnell und einfach Vollzugriff. Ist daher nicht umbedingt das Medium erster Wahl in meinen Augen. Dann doch eher über ein NAS wo man Berechtigungen setzen kann die der Client auch wenn er mit einem Virus infiziert ist nicht aushebeln kann.

 

[fcn4ever]

Es geht weiter, gerade sind in unserer Sophos SG115 ca. 50 Mails von noreply[at]bounce.sipgate.de gelandet, Betreff ist ein angebliches Fax von einer real existierenden Faxnummer (034205-998306), Anhang .zip mit Inhalt .js Datei.

Wurde aber schon zuvor mit "RDNS missing" geblockt, einige der IPs sind auch schon auf Blacklists.

Danke für den Hinweis... Hab grad auf unserer SG210 nachgesehen und tatsächlich auch welche gefunden, die aber allesamt geblockt wurden...