Auch weiterhin Akut hohe Gefahr für Ihre lokalen und Netzwerkdaten durch erpresserische Ransomware! (Update)
Die neueste Variante nennt sich "Jigsaw"... Hinweis: Updates in der Sache finden Sie am Ende dieses Artikels!
Gleich vorweg, in der Zwischenzeit liegen wir - seit Beginn Mitte Oktober 2015 - bei gut 18 Vorfällen durch Ransomware bei unseren Kunden...
Das Glück im Unglück: wir konnten (fast) immer so gut wie alle Daten wiederherstellen!
Wir nehmen einen heutigen (22.10.2015) Problemfall (bei einem nicht genannten Kunden) zum Anlass um eindringlich vor der zur Zeit hohen Gefahr vor möglicher, erpresserischer Verschlüsselung all ihrer Daten auf dem lokalen PC als auch Netzwerklaufwerken zu warnen!
Ganz in der Früh bekamen wir einen Anruf mit einem Hilfeschrei, dass durch das Öffnen eines Mails mit einer Stellenbewerbung und der unachtsame Klick auf einen Downloadlink zu den Bewerbungsunterlagen via Dropbox ein Programm aktiviert wurde, welches sämtliche lokalen Dateien als auch auf einem Netzwerklaufwerk verschlüsselt und somit unzugänglich gemacht hatte.
Wir haben dies sofort geprüft und es war tatsächlich so: sämtliche Word-, Excel-, Adobe- und andere Dateien war mit der zusätzlichen Endung ".????" (zb .3Job) versehen und konnten nicht mehr geöffnet werden, waren somit unbrauchbar geworden > eine klassische Ransomware :-( Der Name der Bedrohung in diesem Fall lautet "Chimera"...
Am Bildschirm erschien die Meldung, dass man einen bestimmten Betrag über BitCoins(!) überweisen solle, sonst werden all die Daten in Bälde im Internet veröffentlicht und man bekommt sie nie mehr frei.
Was konnten wir jetzt noch machen? Im Endeffekt sicherheitshalber den befallenen PC neu aufsetzen und die Daten via Backup wiederherstellen inkl. Datenbanken einrichten, etc. - eine andere Möglichkeit gab es nicht.
Der Schaden ist nicht klein, da im gesamten Unternehmen eine lange Zeit nicht gearbeitet werden konnte und der PC neu gemacht werden musste.
Das Unverständliche an der Sache ist allerdings, warum die lokale Securitylösung nicht sofort darauf angeschlagen und das Ganze verhindert hat? Auf Grund der Recherche im Internet können wir allerdings sagen, dass es seit Bekanntwerden dieser Schädlingsvariante bis heute keine vernünftige Erkennung verschiedener Hersteller dafür gibt. Traurig, aber wahr...
Durch weitere, heutige Telefonate mit anderen IT'lern außerhalb unserer Region konnten wir schlussendlich feststellen, dass auch die Kollegen mit solchen akuten und plötzlich vermehrt auftretenden Problemen zu kämpfen haben. Dies deutet somit darauf hin, dass viele solche bösartigen Mails derzeit im Umlauf sein müssen und man wirklich wachsam sein muss.
In Beispielbild unten erkennt man sehr schön, dass beim Absender etwas faul war bzw. man ein ungutes Gefühl hätte haben müssen und besser den IT-Administrator angerufen und sich darüber informieren hätte sollen. Allerdings ist es so, dass dieser Kunde tatsächlich Personal sucht und der Text an sich plausibel klang...
Deswegen beachten Sie und Ihre Mitarbeiter/innen bitte folgendes:
- Seien Sie immer eher skeptisch beim Öffnen von Links und Dateien in Mails unbekannter Absender und nicht vertrauensselig!
- Laden oder starten Sie niemals eine EXE-Datei von einem Mail mit einem unbekanntem Absender!
- Schauen Sie sich immer gut beim Absender eines Mails an ob der Klartextname und die Mailadresse halbwegs logisch zusammen passen!
- Bei Unsicherheit fragen Sie lieber beim Kollegen/in nach seiner Meinung nach oder direkt beim IT-Administrator nach und lassen das Mail vorerst unbeantwortet liegen!
- Öffnen Sie bei unbekannten Absendern niemals einen Downloadlink von Dropbox, Onebox, Box, Google Drive, WeTrans oder anderen Dateiablage- und -versendesystemen!
- Überlegen Sie sich gut, ob Sie überhaupt eine Stellenbewerbung oder Auftragsangebote oder ähnliches erwarten!
- Verlangen Sie von uns niemals Ihnen und Ihren Mitarbeiter/innen aus Bequemlichkeit Administratorenrechte auf dem Arbeitsplatz zu gewähren!
- Und zu guter letzt: Das tägliche Backup muss da sein!
Defakto kann die Technik nicht allein 100% Schutz bieten > Sicherheit im Unternehmen muss immer gemeinsam geleistet werden: durch die User und die Technik!
Seien Sie in Ihrem Interesse immer Wachsam!
Sollten Sie weitere Fragen zum Thema RansomWare haben, rufen Sie uns doch einfach an, wir beraten Sie gern...
Beispielbild:
Weiterführende Links dazu gibt es hier:
Bisherige Kundenvorfälle:
- 22.10.2015:
- mehrtägiger Betriebsausfall bis zur vollständigen Wiederherstellung (keine Virtualisierung) inkl. Datenverlust
- Grund des Verlustes: Kunde recht neu und Totalumbau/-anpassung des Netzes für Anfang 2016 festgelegt und Vor-Admin hat nur Imagebackup von OS/C-Partition gemacht "da die Daten ja via einem RAID geschützt sind"... :-(
- Auslöser des Schädlings: Mitarbeiter, der in einem eMail den verlinkten Dropbox-Download ausgeführt hat - 29.10.2015.
- mehrstündiger Betriebsausfall bis zur vollständigen Wiederherstellung (Virtualisiert)
- Auslöser des Schädlings: Mitarbeiter, der in einem eMail den verlinkten Dropbox-Download ausgeführt hat - 02.11.2015:
- mehrstündiger Betriebsausfall bis zur vollständigen Wiederherstellung (keine Virtualisierung) inkl. Datenverlust
- Grund des Verlustes: Mitarbeiter hat erst am nächsten Tag den Vorfall gemeldet und somit wurde das "gesunde" Backup vom NAS/Medienarchiv überschrieben und zerstört
- Auslöser des Schädlings: Wissen wir nicht genau, eMail war es "angeblich" keines; wahrscheinlich durch Öffnen einer Webseite - 17.11.2015:
- mehrstündiger Betriebsausfall bis zur vollständigen Wiederherstellung (Virtualisiert)
- Auslöser des Schädlings: Wissen wir nicht genau, eMail war es "angeblich" keines; wahrscheinlich durch Öffnen einer Webseite - 30.11.2015:
- mehrstündiger Betriebsausfall bis zur vollständigen Wiederherstellung (Virtualisiert)
- Auslöser des Schädlings: Wissen wir nicht genau, eMail war es "angeblich" keines; wahrscheinlich durch Öffnen einer Webseite - 14.04.2016: Wir haben aufgehört die Fälle zu eruieren. Meist waren es Mitarbeiter die Links in Mails geöffnet haben, die sie nicht öffnen müssten...
In Summe kann man allerdings sagen, dass virtualisierte Systeme weitaus besser und unproblematischer damit zurecht kommen als "normal" installierte.
Update 24.10.2015:
In der Zwischenzeit wird diese Bedrohung auch erkannt, allerdings nicht über den normalen Anti-Viren-RealTimeScan, sondern über die sogenannte "Verhaltensüberwachung". Aber dennoch kann ein Nichterkennung stattfinden und etwas passieren!
Update 03.11.2015:
Natürlich gibt es bereits Mutationen der Ransomware. Beim letzten Vorfall bekamen alle verschlüsselten Dateien keine neue Dateiendung mehr, sondern sie wurden noch verschlüsselt mit dem selben Dateinamen. Das Problematische dabei ist, dass bei Sicherungen von NAS-Laufwerken auf externe Festplatten meist ein Kopiejob gemacht wird. Und meldet sich der Anwender nicht sofort nach dem Vorfall, läuft in der Nacht der Sicherungsjob auf dem NAS und überschreibt die unterverschlüsselten, "gesunden" Dateien mit den gesperrten und das Backup ist auch unbrauchbar.
Update 06.11.2015:
In der Zwischenzeit kommt diese akute Problematik auch immer öfter in den Medien vor:
- derStandard.at vom 28.10.2015: Zu gute Erpressungstrojaner: FBI rät, Lösegeld zu zahlen
- Süddeutsche Zeitung vom 05.11.2015: Polizei warnt vor Links in Bewerbungs-Mails
Update 07.11.2015:
- ThreatPost vom 05.11.2015: Updated Cryptowall Encrypts File Names, Mocks Victims
- ThreatPost vom 06.11.2015: Chimera Ransomware Promises to Publish Encrypted Data Online
Update 13.11.2015:
Anwender von Linux und Macs sollten sich nur nicht zu sicher fühlen:
- Zeit Online vom 11.11.2015: Ransomware nun auch für Linux und Macs
- blog.botfrei.de vom 11.11.2015: Mac-Systeme sind nicht immun gegen Ransomware
- blog.fortinet.com vom 13.11.2015: Keeping Pace with Cryptowall
Update 18.11.2015:
Es wird immer spannender:
- blog.fortinet.com vom 17.11.2015: Keeping an Eye on Encryptor RaaS
- Heise Security vom 18.11.2015: Steganografie: Wie Malware verdeckt kommuniziert
Update 10.12.2015:
Tja, es wird nicht weniger:
- Heise online vom 09.12.2015: Verschlüsselungstrojaner: Neue TeslaCrypt-Version grassiert
- T-Online Portal vom 10.12.2015: Trojaner TeslaCrypt legt deutsche Behörden lahm
Update 07.03.2016:
Tja, es geht munter weiter - wie prohezeit werden in der Zwischenzeit auch schon Mac's befallen:
- Heise online vom 05.02.2016: TeslaCrypt 2.0 entschlüsselt
- IT-Espresso vom 12.02.2016: NRW: Erpressersoftware infiziert Systeme mehrerer Krankenhäuser
- Zeit online vom 18.02.2016: Geld her, oder ihr müsst faxen
- IT-Espresso vom 23.02.2016: Erpresser-Malware TeslaCrypt wird über Joomla-Domains verteilt
- Heise online vom 02.03.2016: BKA-Warnung vor Locky enthält Virus
- IT-Espresso vom 04.03.2016: Ein Drittel aller Ransomware-Opfer in Deutschland hat schon Lösegeld bezahlt
- Heise Security vom 04.03.2016: Erpressungstrojaner: Stadtverwaltung kauft sich mit 1,3 Bitcoin frei
- Heise Security vom 07.03.2016: KeRanger: Erste Ransomware-Kampagne bedroht Mac OS X
Update 14.04.2016:
Updates, Updates, Updates:
- derStandard.at vom 25.03.2016: Erpressungstrojaner "Petya" befällt deutschsprachiges Gebiet
- derStandard.at vom 28.03.2016: Neuer Lösegeldtrojaner missbraucht Windows Powershell
- Data on the Edge vom 29.03.2016: Ransomware – die gierigste Schurkerei im Internet
- ChannelPartner.de vom 31.03.2016: Ransomware abwehren - denn: Wer zahlt, wird weiter attackiert
- BleepingComputer vom 11.04.2016: Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom
Update 22.04.2016:
Jetzt auch noch mittels Absender der österreichischen Post:
- derStandard.at vom 21.04.2016: Absender Post: Polizei warnt vor Erpressungstrojaner