News Locky: Mit Backups vor den Krypto-Trojanern schützen

[Helibob]

... wie sicherst du dich ab dass wenn die USB Platte dranhängt nicht nur dein Backup Programm seine Arbeit verrichtet auf der Festplatte sondern der Virus parallel gleich mit?...

Backup mit einem LiveSystem ohne Internetanbindung.

 

[Acrylium]

Gibt's das Ding eigentlich bisher nur für Windows oder kann das auch auf OSX und Linux zuschlagen?

 

[Creati]

Und wie sicherst du dich ab dass wenn die USB Platte dranhängt nicht nur dein Backup Programm seine Arbeit verrichtet auf der Festplatte sondern der Virus parallel gleich mit?

Auf eine USB Festplatte hat man idr relativ schnell und einfach Vollzugriff. Ist daher nicht umbedingt das Medium erster Wahl in meinen Augen. Dann doch eher über ein NAS wo man Berechtigungen setzen kann die der Client auch wenn er mit einem Virus infiziert ist nicht aushebeln kann.

Eine USB-Festplatte ist für den Privatanwender aus meiner Sicht trotzdem besser geeignet. Ich kann nämlich selber bzw. einfacher eine Versionierung vornehmen. Ich nehme einfach 2 Festplatten und jede Woche sichere ich immer mit der anderen Festplatten. Der Virus wird dann ja nur zu einem bestimmten Zeitpunkt aktiv sein. Habe ich also gerade eine Festplatte angeschlossen und der Virus verschlüsselt mir alles, meldet er sich nach erfolgter Verschlüsselung, dass nun alles futsch ist. Dann habe ich aber noch die andere Festplatte von letzter Woche.

Dann doch eher über ein NAS wo man Berechtigungen setzen kann die der Client auch wenn er mit einem Virus infiziert ist nicht aushebeln kann.

Das mit den Berechtigungen ist dann doch wieder der Punkt mit dem Readonly, womit ich dann wieder nicht an den Dateien arbeiten kann. Setze ich Berechtigungen, damit Locky da nichts verschlüsselt, kann ich nicht mit den Dateien arbeiten. Genau das hast Du doch auch als Problem erkannt. Oder missverstehe ich dich? Führe das bitte einmal genauer aus.

Ansonsten ist halt die Snapshotgeschichte, welche Du angesprochen hast, wirklich am schönsten.
Die Frage ist dann nur, für welches Umfeld ich die Lösung plane. Es stellt sich nun nicht jeder ein NAS hin, um die Snapshootmöglichkeit zu verwenden. Dann lieber eine Variante mit 2 externen Festplatten, die in einem Bankschließfach liegen.

Gibt's das Ding eigentlich bisher nur für Windows oder kann das auch auf OSX und Linux zuschlagen?

Nur Windows. Für OSX gibt es andere Ransomware.

 

[Bolko]

Man kann über die Gruppenrichtlinien die Ausführung von Locky ( lah.bat , fail.exe , ladybi.exe ) verhindern.

Folgenden Text als "Locky-Sperre.reg" speichern und per Doppelklick in die Registry eintragen:

[für alle Benutzer]:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisallowRun"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"1"="fail.exe"
"2"="ladybi.exe"
"3"="Lah.bat"

[nur für den aktuellen Benutzer]:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisallowRun"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"1"="fail.exe"
"2"="ladybi.exe"
"3"="Lah.bat"

Anschließend den Benutzer ausloggen und wieder einloggen oder den PC neustarten, damit die neuen Gruppenrichtinien aktiviert werden.
Solange die vom Locky-Makro nachgeladene Datei den selben Namen "fail.exe" hat, wird diese dann nicht mehr ausgeführt.
Falls sich in Zukunft mal der Name ändert, dann trägt man ihn in obigem reg-File nach:
"4"="nochmalfail.exe"
"5"="failplus.exe"
"6"="ladytri.exe"
etc

Damit wird allerdings nur das Starten von Programmen verhindert, die über den Windows-Explorer-Prozess gestartet werden sollen. Falls der Trojaner das Programm über die Eingabeaufforderung (cmd.exe) oder via Create-Process oder via Task-Manager startet, dann wird das nicht verhindert.
Man müsste also cmd.exe und taskmgr.exe ebenfalls verbieten.

In der Pro- oder Ultimate-Version von Windows kann man auch gpedit.msc starten und dann Benutzerkonfiguration, Administrative Vorlagen, "Angegebene Windows-Anwendungen nicht ausführen" anklicken, "Aktiviert" anklicken, "Anzeigen" anklicken, Name des Programms eintippen ( fail.exe ), Return drücken, OK klicken.
User ausloggen und wieder einloggen.

Um bereits das Nachladen des eigentlichen Schädlings über Javascript (.js) oder VisualBasicScript (.vbs) oder Cscript.exe zu verhindern, kann man den "Windows Script Host" abschalten:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"enabled"="0"

Welcher normale Arbeitsplatzrechner benötigt schon Scripting?
Man könnte auch "CScript.exe" in die oberen beiden Reg-Files einfügen.

Um Drive-By-Infektionen und den Zugriff auf Dateien zu unterbinden kann man den Browser in einer Sandbox laufen lassen (Sandboxie oder vmWare oder VirtualBox).
Im Browser selbst sollte auch ein Script-Blocker wie uBlock Origin oder NoScript installiert sein.

 

[strex]

Teslacrypt2 wurde auch geknackt und entschlüsselt. Es ist nur eine Frage der Zeit, bis Teslacrypt3 und Locky in der Hinsicht auch entschlüsselt werden können.

Die wurden nur geknackt weil grobe Fehler in der Verschlüsselung bzw. deren Implementierung gemacht wurde. Wenn das einer korrekt macht schaut man aber dumm aus der Wäsche. An Truecrypt beißt sich der normale Anwender auch die Zähne aus und die verwenden ähnliche Tools aber mit besserer Implementierung.

 

[Autokiller677]

Teslacrypt2 wurde auch geknackt und entschlüsselt. Es ist nur eine Frage der Zeit, bis Teslacrypt3 und Locky in der Hinsicht auch entschlüsselt werden können.

Es gibt aktuell keinen Weg sauber implementiertes AES / RSA zu knacken. Was glaubst du, wieso NSA / FBI immer nach Hintertüren schreien? Wenn der Programierer keinen Mist macht kommt man an die Daten nicht mehr ran. Ende.

 

[Headcool]

2 Dinge die hier noch nicht gesagt wurden:

1. Backup-Ordner bei Cloud Anbietern nicht in beide Richtungen synchronisieren. Prinzipiell default bei größeren Backups, bei Kleineren wird es aber oft nicht so gemacht. In so einem Fall kann Ransomware natürlich das Backup auch verschlüsseln. Also besser Backup-Ordner nicht synchronisieren sondern der Backup-Software einen Access-Token für den entsprechenden Ordner beim Cloud Anbieter geben.

2. HitmanPro Alert ist ein Sicherheitsprogramm das auf Verhaltensanalyse und nicht auf Signaturen basiert. Schlägt bei Locky gleich an 2 verschiedenen Stellen an, einmal wenn das Makro die Lah.bat erstelllt und starten will und das zweite mal wenn die Verschlüsselung statt findet, wobei man Letzteres niemals sehen wird - außer man hat Word zu einer Ausnahme hinzugefügt. Das Besondere an HitmanPro Alert ist, dass es Locky schon Monate vor dessen erstem Auftreten blockieren konnte.

Hier ein kleiner Graph der darstellt wie Locky arbeitet und an welchen Stellen es eigentlich gestoppt werden sollte:

 

[IRON67]

Das Problem ist aber mit HitmanPro nicht wirklich gelöst. Mag sein, dass die Verschlüsselung verhindert wird, aber da ist die Malware bereits auf dem System gelandet und gestartet. Man stelle sich nun vor, dass sie noch andere Schadroutinen mitbringt oder schlicht in einer neuen Variante auch von HitmanPro nicht aufgehalten wird. Spätestens nach Eintreffen in der Inbox sollte Brain.exe zuschlagen.

 

[Headcool]

Da liegst du falsch. HitmanPro Alert greift schon früher ein. Nämlich dann wenn das Word Makro eine bat erstellt und ausführen will.

Brain.exe kann dir hier weiterhelfen da dieser Angriff auf die Dummheit der User gezielt ist die Makros zu aktivieren. Brain.exe wird dir bei auf exploit basierenden Angriffen nicht helfen.

 

[DerMagus]

Gibt's das Ding eigentlich bisher nur für Windows oder kann das auch auf OSX und Linux zuschlagen?

Soweit bekannt (aus heise.de und anderswo) gibt es den Trojaner nur als exe (also Windows). Auch ist die blödsinnige Methode, bei Email Anhänge per Klick zu aktivieren (auch wenn es ausführbare Programme oder Scripts sind) eben vorwiegend bei Windows üblich. Da es auf Linux ja kein M$-Office geben wird, fällt auch das Macro weg.
Es ist also sehr die Frage, ob die Kriminellen sich die Mühe gemacht haben, eine Linux-Version zu schreiben (die dann herunter geladen und aktiviert wird).

Generell ist es auf richtig konfigurierten Systemen bei Linux weit schwerer, solche Dinge zu machen. Zumindest werden wirklich nur persönliche Dateien betroffen sein, da für alle anderen Dateien die Schreibrechte fehlen - ausser man schlägt alle Warnungen in den Wind und arbeitet permanent als root.

Allerdings - die Kriminellen haben inzwischen einen Weg gefunden, auch Server anzugreifen:
http://www.heise.de/newsticker/meldung/Admins-aufgepasst-Krypto-Trojaner-befaellt-hunderte-Webserver-3116470.html

Zu OSX kann ich nichts sagen. Prinzipiell sind viele der hier besprochenen Methoden gut und relativ sicher. Aber die eigentlich unsichere Stelle bei jedem Computer sitzt vor der Tastatur :-)

Privatleute mit ihrem Heimcomputer sind wirklich selber schuld, ich habe mindestens 5 Email mit 'Rechnungen' bekommen, in den letzten 2 Wochen. Aber man weiß halt, wo man was bestellt hat, und eine Zustellung per Email ist rechtlich irrelevant - somit kann man die getrost ignorieren, wenn man nicht sehr genau weiß, wer die sendet.
Anders sieht es wohl bei kleineren Unternehmen aus, die sind da arm dran...

 

[Bolko]

Man könnte auch die .doc und .docx und .docm Dateien mit dem "Word Viewer" statt mit "Word" verknüpfen.
Dann können Macros nicht ausgeführt werden, wenn man ein doc oder docx oder docm mit Doppelklick startet.

https://www.microsoft.com/de-de/download/details.aspx?id=4
http://www.heise.de/download/word-viewer-111797.html

Ebenso .xls und .xlsx und .xlsm mit dem Excel Viewer verknüpfen.
https://www.microsoft.com/en-us/download/details.aspx?id=10

 

[M@rsupil@mi]

Generell ist es auf richtig konfigurierten Systemen bei Linux weit schwerer, solche Dinge zu machen.

Es wäre auch schon viel erreicht, wenn das Windows-System entsprechend richtig konfiguriert wäre.

 

[Bolko]

Da Locky zum Verschlüsseln das Windows-CryptAPI benutzt, könnte man dieses CryptAPI auch sabotieren, indem man die folgenden Dateien (Win7) einfach umbenennt:

c:\Windows\System32
capi.dll
crypt32.dll
cryptbase.dll
cryptdlg.dll
cryptdll.dll
cryptext.dll
cryptnet.dll
cryptsp.dll
cryptsvc.dll
cryptui.dll
cryptxml.dll

c:\Windows\SysWOW64
capi.dll
CryptoAPI.dll
crypt32.dll
cryptbase.dll
cryptdlg.dll
cryptdll.dll
cryptext.dll
cryptnet.dll
cryptsp.dll
cryptsvc.dll
cryptui.dll
cryptxml.dll

Da Locky keine eigene Verschlüsselungsroutine besitzt und nach der Umbenennung auch nicht mehr die Windows-Cryptofunktionen benutzen kann, bleiben alle Dateien unverschlüsselt.
Das habe ich aber noch nicht getestet.

 

[slsHyde]

Hab kürzlich in einem Betrieb ne hübsche Variante erlebt:

eMail von Bekannten an alle möglichen Bekannten mit einem Bild. Offenbar wurde also in einem ersten Schritt der Mailaccount angegriffen. Die Bilddatei a la Urlaubsfoto enthielt dann gleich mehrere Viren, u.a. hier Gegenständlichen.

Lösung:
1) in einem Betrieb grundsätzlich die Nutzung von Browser-Mailaccounts verbieten - je nach Verhältnissen mit Verweis auf Kündigung und Schadensersatz.
2) sofort, ohne weitere Verzögerung: Rechner vom Netz, servergespeichertes Benutzerprofil löschen.
3) mit geringstmöglicher Verzögerung: Offline-Virenscan aller System.

 

[IRON67]

Hab kürzlich in einem Betrieb ne hübsche Variante erlebt:

eMail von Bekannten an alle möglichen Bekannten mit einem Bild. Offenbar wurde also in einem ersten Schritt der Mailaccount angegriffen. Die Bilddatei a la Urlaubsfoto enthielt dann gleich mehrere Viren, u.a. hier Gegenständlichen.

Das wird dann wohl kein wirkliches Bild gewesen sein, sondern nur etwas, das vorgab, ein Bild zu sein. Es gab zwar in der Vergangenheit einzelne Versuche, Malware direkt in echten Bilddateien unterzubringen, wobei dann bestimmte Sicherheitslücken einzelner Bildbetrachter ausgenutzt wurden, aber idR. nimmt man einfach eine Datei mit Doppelendung a lá urlaub.jpg.exe oder auch .scr oder man verwendet gleich eine EXE, die lediglich als Icon das eines Standard-Bildbetrachters missbraucht. Raffinierter wäre RLO (Right-to-Left-Override), wobei ein unsichtbares Steuerzeichen im Dateinamen die Reihenfolge der Buchstaben verdreht, so dass es wie urlaubs_hexe.jpg aussieht, tatsächlich aber urlaubs_hgpj.exe ist.

 

[slsHyde]

Wird so sein - allerdings hatte ich mir keine Zeit mehr für die Analyse genommen - als ich dazu kam, war der Sachstand schon ausreichend deutlich und Zeit ein kostbares Gut.

 

[fcn4ever]

Bin gespannt... Ne Kollegin bringt mir morgen ihr Win-Tablet mit, das wohl befallen ist. Will mir mal das Ding "live" ansehen und darf ihr dann natürlich das Teil neu aufsetzen.

 

[PoisonofPhoenix]

Hat jemand für mich einen Tipp was ich beachten sollte wenn ich ein Backup von meinem Win7 Rechner machen möchte?

Bin mir unschlüssig welche Größe der exteren Festplatte ich nehmen sollte, da ich eine 2TB HDD und eine 128GB SSD habe. Reicht es wenn ich dann eine 2 TB Festplatte nehmen würde, da die 2TB HDD nichtmal mit 1 TB belegt ist oder dann doch lieber gleich eine 3TB Festplatte? Könnte ja sein, dass die 2TB doch mal irgendwann voll ist.

Dann auch noch welches Backup Programm ich zum sichern nehmen sollte. Reicht hier das in Win7 integrierte Programm aus oder sollte man hier ein anderes Programm nehmen? Am besten wäre hier eins, dass mich wenn ich den PC anmache direkt dann zu einen bestimmten eingestellten Interball daran erinnert, dass ein Backup nötig ist

 

[Autokiller677]

Generell ist es auf richtig konfigurierten Systemen bei Linux weit schwerer, solche Dinge zu machen. Zumindest werden wirklich nur persönliche Dateien betroffen sein, da für alle anderen Dateien die Schreibrechte fehlen - ausser man schlägt alle Warnungen in den Wind und arbeitet permanent als root.

Nein, unter Linux ist es genauso einfach wie unter Windows. Solang der User dumm genug ist, die Datei zu starten (ob das jetzt direkt eine executable ist oder als Libre-Office Datei mit Makro kommt), kann man da das gleiche anstellen wie unter Windows. "Nur persönliche Dateien" ist gut - unter Windows wird ja auch nicht das System verschlüsselt, sondern mit einen Erweiterungsfilter speziell auf Office Dateien, Datenbanken, Bilder etc. pp. gezielt. Das System neu aufsetzen geht schnell, wenn nur das System verschlüsselt würde, wäre das ja noch die nette Variante. Persönliche Dateien sind viel schlimmer, und auf die habe ich halt auch unter Linux Zugriff.

Das es für Linux(Desktop) hier noch keine großen Attacken gibt, liegt an zwei Dingen: 1) Wie immer die Verbreitung, und 2) das Linux User meisten IT-bewandert sind, zumindest soweit, dass sie nicht blind Anhänge aufklicken und Makros erlauben.

Für Linux-Webserver (große Verbreitung) gibts da mittlerweile auch was schickes: http://www.heise.de/newsticker/meld...aner-befaellt-hunderte-Webserver-3116470.html

 

[Klonky]

Hallo zusammen,

Die Bitte an alle Administratoren vielleicht hier etwas nachzudenken:

SPF Records und die RDNS Records pflegen.