ransomware & co ..Malvertising, Drive-by-Downloads

baracus22 · 8. Dezember 2021

einige infofragen

der windows defender hat ja eine extra schutzfunktion gegen ransomware (kostenlos), lohnt sich da das man 3rdparty ausstellt da zb bei avira antivir die entsprechend betitelte funktion kostenpflichtig ist, dh bringt sowas wenigstens ein wenig was ?

ist das wirksam ?
-hdd verschlüsseln (bitlocker laufwerkverschlüsselung
-browser apps wie scriptsave bzw java/flash blocken / click to play plugin (ist das plugin wohl vergleichbar mit addons wie noscript?
-port blocken 3389

wenn 100te tabs offen hat erhöht es risiko ?

wie problematisch sind veraltete versionen/tools (zb entpacker tools oder win10 selbst,) wo dann av meckert, bzw gilt dies nur wenn die aktiv laufen oder "immer"?

Falc410 · 8. Dezember 2021

baracus22 schrieb:
-hdd verschlüsseln (bitlocker laufwerkverschlüsselung

Was soll das bringen? Während du den PC an hast und angemeldet bist, kann auch Ransomware auf deine Daten zugreifen und diese verschlüsseln

baracus22 schrieb:
-browser apps wie scriptsave bzw java/flash blocken / click to play plugin (ist das plugin wohl vergleichbar mit addons wie noscript?

kann was bringen, am sichersten ist natürlich ein stets aktueller Browser. Zero-Day Lücken für Drive-by-Downloads sind zum Glück relativ selten geworden und werden schnell behoben. Nichtsdestotrotz bietet das natürlich einen weiteren Schutz aber der Großteil der Malware wird heutzutage über Office Dokumente verteilt (Macros in Office Dokumenten, PDFs etc)

baracus22 schrieb:
-port blocken 3389

Was soll das bringen? Meinst du vom Internet aus zu dir? Brauchst du Zugriff per RDP auf deinen Rechner? Wenn ja, sei dir der Gefahren bewusst, wenn nein dann sollte gar kein RDP laufen und auch keine entsprechende Portfreigabe in deinem Router eingetragen sein

baracus22 schrieb:
wenn 100te tabs offen hat erhöht es risiko ?

Warum? Höchstens das Risiko, dass dein Browser viel RAM verbraucht.

baracus22 schrieb:
wie problematisch sind veraltete versionen/tools (zb entpacker tools oder win10 selbst,)

Veraltete Versionen egal welcher Software können Schwachstellen beinhalten die ausgenutzt werden können. Dafür muss das Programm aber "angegriffen" werden. Also z.B. eine bösartige Zip Datei die du mit Winrar öffnest oder eine Playlist die eine Schwachstelle in VLC ausnutzt. Hier müssen also zwei Dinge zusammen kommen - eine verwundbare Softwareversion und eine Interaktion von dir mit einer Schadsoftware die genau diese Verwundbarkeit ausnutzt. Deswegen sind ja PDFs so beliebt, weil es im Adobe PDF Reader immer wieder Schwachstellen gab. Wenn man also Dateien aus dem Internet öffnen muss, sollte man das mit aktuellen Softwareversionen machen

baracus22 schrieb:
wo dann av meckert, bzw gilt dies nur wenn die aktiv laufen oder "immer"?

Die meisten AVs erkennen Schadsoftware schon bevor diese ausgeführt wird. Z.b. beim Download einer ausführbaren Datei wird diese gescannt. Wenn der AV aber erst zur Laufzeit die Malware erkennt, ist dein Rechner schon infiziert und dann kann es schwer werden, diese wieder zu entfernen - die läuft dann wahrscheinlich (abhängig von der Malware) also "immer".

und um deine Hauptfrage zu beantworten - Windows Defender ist i.d.R. ausreichend.

NameHere · 8. Dezember 2021

System und Software aktuell halten.
uBlock Origin und LocalCDN im Browser nutzen und 3rd-Party Scripte und Frames blocken.
Keine bösen Seiten besuchen oder Dateien/Software aus fragwürdigen Quellen laden.
Click to Play oder ähnliches kannst du alles im Browser deaktivieren.
Javascript im Acrobat abschalten. (Aktive Elemente, gilt auch für Office)
Brain.exe

baracus22 · 8. Dezember 2021

habe rdp gerade erst ausgestellt, und wusste gerade nicht genau was nun mit dem port ist daher hatte ich ihn dann sicherheitshalber nochmal (in+aus ) geblockt

hm frag mich nur wieso die anti ransomware schutz standartmässig deaktiviert ist... bei win10

Ergänzung (8. Dezember 2021)

NameHere schrieb:
System und Software aktuell halten.
uBlock Origin und LocalCDN im Browser nutzen und 3rd-Party Scripte und Frames blocken.
Keine bösen Seiten besuchen oder Dateien/Software aus fragwürdigen Quellen laden.
Click to Play oder ähnliches kannst du alles im Browser deaktivieren.
Javascript im Acrobat abschalten. (Aktive Elemente, gilt auch für Office)
Brain.exe

kannst du kurz erklären warum localcdn besser ist als click to play / scriptstop etc etc bez. ransomware?

NameHere · 8. Dezember 2021

LocalCDN liefert die meisten gängigen Scripte wie jquery.js u.a. lokal aus (von deinem PC), also nicht von Drittseiten.
In uBlock blockst du wie gesagt die Scripte von Drittseiten und kriegst die dann lokal von LocalCDN ausgelifert.
Im Kuketzblog findest du eine Anleitung für uBlock und Decentraleyes. DIe gilt auch für LocalCDN. LocalCDN wird häufiger updatet und ist umfangreicher.
https://www.kuketz-blog.de/firefox-decentraleyes-firefox-kompendium-teil3/
Man braucht keine weiteren Erweiterungen, da alles über uBlock und LocalCDN und Browsereinstellungen läuft.

baracus22 · 8. Dezember 2021

ok dann versuchs ichs mal auf meinem firefox / chrome rechner, auf dem anderen ist edge dafür scheints localcdn noch nicht zu geben

NameHere · 8. Dezember 2021

klar in dem du es über den chrome store lädst.

Überlege dir die Auswahl deiner Browser gut. Chrome und Edge sind nicht Datenschutzfreundlich, Firefox auch nicht im Ausliferungszustand. Mann kann aber alles im Firefox abstellen im gegensatz zu den anderen beiden.

Falc410 · 9. Dezember 2021

Was hat Datenschutz jetzt mit Ransomware zu tun?

baracus22 · 10. Dezember 2021

noch mal kurz zur einordnung ....
ist dieser link wo die verteilung von ransomware beschrieben ist nach wahrscheinlichkeit gegliedert?

https://blog.emsisoft.com/de/35147/9-wege-wie-sich-ransomware-verbreitet-und-wie-man-sie-aufhaelt/

dh ist punkt 1 gleichwertig punkt 6 --die allermeisten werden über emailanhange verteilt ? bzw - infektion beim einfachen surfen im web OHNE ! aktive aktion des nutzers ist unwahrscheinlicher ? oder ist es gleichverteilt , ich habe eben von ransomware erst sein 1-2monaten was gehört vorher kannte ich das nicht deshalb wollte ich da eine einschätzung da ich das risiko besser einschätzen wollte (ich mein klar das beste ist backups seiner daten, aber hab noch keine sync tool gefunden das ordentlich funktioniert f win10 daher ist mein backup nie aktuell da ich es manuell mache und nicht per sync im background)
es wird ja auch dort ua gesagt das es gar nicht klischemässig nur auf schmuddel/crack/raubkopie sites sind sondern auch normale websites

andy_m4 · 10. Dezember 2021

baracus22 schrieb:
noch mal kurz zur einordnung ....
ist dieser link wo die verteilung von ransomware beschrieben ist nach wahrscheinlichkeit gegliedert?

Man muss dazu auch ganz klar sagen, das die meiste Schadsoftware die "in the wild" unterwegs ist Windows-Systeme betrifft. Was also ein einfaches und gleichzeitig sehr wirksames Mittel ist zumindest für Surfen und eMail kein Windows zu nutzen. Schon damit räumt man mehr ab als mit allen anderen Schutzmaßnahmen zusammen.
Zusätzlich kann man dann natürlich noch erweiterte Maßnahmen treffen. Insbesondere bei eMail bzw. deren Anhänge die nur in einer isolierten Umgebung öffnen (die auch hinterher zurückgesetzt wird).

baracus22 schrieb:
deshalb wollte ich da eine einschätzung da ich das risiko besser einschätzen wollte (ich mein klar das beste ist backups seiner daten, aber hab noch keine sync tool gefunden das ordentlich funktioniert f win10 daher ist mein backup nie aktuell da ich es manuell mache und nicht per sync im background)

Backup ist natürlich ein ganz zentraler Sicherheitsmechanismus. Der muss sozusagen funktionieren. Vorher braucht man gar keine Zeit und Aufwand in irgendwas anderes zu stecken.
Und ein Backup sollte auch nicht so aussehen, das man irgendwie ne externe Festplatte anschließt oder ein Netzlaufwerk einbindet und da alles rüber kopiert. Weil wenn tatsächlich mal ne Ransomware da ist, dann macht die gleich noch Dein Backup kaputt.

Am sichersten lässt es sich gestalten, wenn Du nen zweiten Rechner hast (zum Beispiel ein NAS). Auf deinem Arbeitsrechner machst Du dann eine Ordnerfreigabe wo alles drin ist, was Du sichern willst. Das NAS (oder der Sicherungs-PC) holt sich sozusagen die Daten dann von Deinem Arbeits-PC. Dadurch gibts dann auch keine Möglichkeit für ne Schadsoftware da irgendwie was kaputt zu machen.
Außerdem sollte das Backup immer versioniert sein. Damit eine kaputte Datei nicht eine vorhandene intakte Backup-Datei überschreibt.

Wie man das konkret ausgestaltet hängt natürlich von Deinen Anforderungen und Gegebenheiten vor Ort ab. Aber grundsätzlich sollte es halt so laufen.

Konfekt · 11. Dezember 2021

baracus22 schrieb:
noch mal kurz zur einordnung ....
ist dieser link wo die verteilung von ransomware beschrieben ist nach wahrscheinlichkeit gegliedert?

Remotedesktop ist Punkt 3, später kommt Drive-By und ziemlich am Ende kommen Raubkopien. Wenn Du kein Remoterdesktop nutzt, ist der Punkt für Dich nicht relevant, aber wenn Du jeden Tag Raubkopien von Piratenseiten ziehst, ist der letzte Punkt bei Dir die Nummer 1 noch vor Mails. Daran erkennst Du, dass die Reihenfolge keine Wahrscheinlichkeiten abdeckt, zumindest keine für jeden gleich.

Suche

ransomware & co ..Malvertising, Drive-by-Downloads

baracus22

Cadet 4th Year

Falc410

Vice Admiral

NameHere

Admiral

baracus22

Cadet 4th Year

NameHere

Admiral

baracus22

Cadet 4th Year

NameHere

Admiral

Falc410

Vice Admiral

baracus22

Cadet 4th Year

andy_m4

Admiral

Konfekt

Lt. Junior Grade

Ähnliche Themen