Sicherheitslücke in der CPU betrifft nicht nur Intel

Die kürzlich bekannt gemachte Sicherheitslücke in den Prozessoren des Chipherstellers Intel betrifft nach derzeitigem Wissensstand ebenfalls Produkte der Hersteller AMD und ARM.
Sowohl die Chiphersteller, wie auch Microsoft und Browserhersteller haben bereits reagiert und Patches in der Entwicklung oder bereits herausgegeben, bevor die Lücke öffentlich gemacht wurde.
Nutzern von Chrome wird z.B. geraten, die Option „Website-Isolierung“ zu aktivieren.
Dazu muss man ‚chrome://flags/#enable-site-per-process‘ in die
Adressleiste eingeben und hinter „Strict site isolation“ auf den Button „Aktivieren“ klicken.
Ist diese Option aktiv, rendert Chrome den Inhalt jeder geöffneten Website in einem eigenen Prozess,
was es Angreifern erschweren soll, das Sicherheitsproblem auszunutzen.
Mozilla hat bereits Updates bereitgestellt, ebenso Microsoft für Windows 10.
Auch das Mobilbetriebssystem Android hat ein Update parat, das wegen der schleppenden Updatepolik der Hersteller aber nur schleppend verteilt werden wird.
Apple teilt in einem Blogpost mit, dass alle Geräte des Herstellers von der Sicherheitslücke betroffen sind, auf denen MacOS oder iOS läuft.
Die Apple Watch sei jedoch nicht von Meltdown betroffen.
Außerdem haben MacOS 10.13.2, iOS 11.2 und tvOS 11.2 bereits Patches gegen Meltdown erhalten, die das Problem aber wohl nicht vollständig beheben.

Keine Panik

Auch wenn die Berichte bisher große Wellen schlagen, sollte keine Panik oder blinder Aktionismus ausbrechen.
Bisher gibt es noch nicht einmal Erkenntnisse ob die Lücke bisher ausgenutzt wurde. Dies liegt sicherlich auch daran, dass die bisherigen Logdateien der Sicherheitsexperten einen solchen Angriff nicht registrieren.
Wie immer gelten für alle Benutzer folgende ratschläge: nur verifizierte Software zu installieren, das Betriebssystem und die Antivirensoftware stets auf dem neuesten Stand halten und (auch wenn Intel betont, dass in diesem Fall keine Daten verändert oder gelöscht werden können) regelmäßig ein Backup der Daten und des Systems machen.

Wenn Sie Fragen hierzu haben oder Unterstützung brauchen, wenden Sie sich an einen EDV-Dienstleister ihres Vertrauens.

 

Rückruf für HP Notebooks wegen Brandgefahr

Wegen einer möglichen Brandgefahr ruft HP einige Modelle, die in den letzten beiden Jahren weltweit verkauft wurden, zurück.
Die verbauten Lithium-Ionen-Akkus können sich unter bestimmten Umständen stark erhitzen und im schlimmsten Fall in Brand geraten.
In einigen, betroffenen Modellen ist der Akku fest verbaut und kann daher vom Kunden nicht selbst getauscht werden.
HP bietet hier den kostenlosen Tausch an.
Auf dieser Webseite  bietet HP ein Testprogramm zum Download an, mit dem jeder Besitzer eines HP-Notebooks prüfen kann ob sein Gerät betroffen ist.

Dort gibt es auch nähere Hinweise zum weiteren Vorgehen.

Neuer Verschlüsselungs-Trojaner ‚Redboot‘

Die Organisation ‚Bleeping Computer‘ warnt vor einer neuen Ransomware, die auf Windows-Computern den Master Boot Record (MBR) und die Partitionstabelle verändert.
Hierdurch wird das Starten des Betriebssystems verhindert, statt dessen erscheint ein Hinweis dass die Daten auf dem Computer verschlüsselt sind und man sich per E-Mail an die Entwickler wenden soll.

Neben der genannten Veränderungen werden Daten und Programmdateien verschlüsselt und mit der Endung .locked versehen.
Nach bisherigen Erkenntnissen ist bei dieser Ransomware jedoch offensichtlich keine Möglichkeit der Entschlüsselung der Daten vorgesehen, daher warnen Sicherheitsexperten dringend davor eventuell gefordertes Lösegeld zu zahlen.

Die bisher einzige Möglichkeit die Daten wieder herzustellen besteht in der Einspielung eines externen Backups welches bereits vor dem Angriff erstellt wurde.
Der Verbreitungsweg des Schadprogramms ist bisher völlig unklar. Vermutlich findet er wie so oft über infizierte E-Mails den Weg auf den Computer.
Aktuell sind wieder Mails im Umlauf, denen angeblich angeforderte Dokumente beigefügt sind. Sollten Sie so eine Mail mit beigefügten Rechnungen, Bestellungen oder ähnlichen Dokumenten bekommen, so befördern Sie diese in den Papierkorb ohne darin enthaltene Links oder Dateien zu öffnen.

Sind Sie sich nicht sicher ob die Mail wirklich vom vermeintlichen Absender stammt, so fragen Sie lieber einmal mehr nach ob eine entsprechende Mail an Sie geschickt wurde.
Sollten Sie unsicher sein, ob ihre Backup-Strategie die richtige ist, ob Ihr Computer ausreichend gesichert ist oder Sie benötigen Hilfe bei der Einrichtung eines Backup-Systems, wenden Sie sich an einen EDV-Dienstleister Ihres Vertrauens.

Quelle: BleepingComputer.com

Locky-Angriff durch vermeintlichen Font-Update für Dropbox

Das Emergency-Response-Team des BSI CERT-Bund warnt derzeit vor einer Spam-Kampagne,
die unter dem Namen des beliebten Dropbox – Dienstes den Verschlüsselungstrojaner Locky verteilt.

Nach Angabe der IT-Sicherheitsorganisation Internet Storm Center (ISC) werden Empfänger einer  Spam-Mail durch einen darin enthaltenenLink  zur Account-Verifizierung auf eine gefälschte Dropbox-Website geführt.

Diese behauptet, dass der Vorgang aufgrund eines fehlenden Fonts namens „HoeflerText“ nicht abgeschlossen werden kann.
Durch Anklicken des Bestätigungslinks wird der Trojaner heruntergeladen und aktiviert.

Nähere Informationen finden Sie hier:
https://www.heise.de/security/meldung/Spam-Kampagne-Gefaelschtes-Font-Update-installiert-Locky-Trojaner-3819907.html

Quelle:  administrator.de

Entschlüsselungstool für Opfer von Petya & Co. veröffentlicht.

Nachdem die Programmierer des Verschlüsselungstrojaners Petya den Key für die Entschlüsselung der Daten veröffentlicht haben, wurde von den Technikern des Sicherheitsunternehmens Malwarebytes ein Tool entwickelt, mit dem die verschlüsselten Daten wiederhergestellt werden können.
Das Tool und eine (englische) Anleitung finden Sie hier:
https://blog.malwarebytes.com/malwarebytes-news/2017/07/bye-bye-petya-decryptor-old-versions-released/
Es funktioniert bei den Varianten Red Petya, Green Petya, Mischa und Goldeneye.
Die Verschlüsselung von notPetya (WannaCry) kann mit dem Tool leider nicht rückgängig gemacht werden.
Sollten Sie sich diese Prozedur nicht selbst zutrauen, wenden Sie sich an einen EDV-Dienstleister ihres Vertrauens. Er kann gemeinsam mit Ihnen das richtige Verfahren zur Wiederherstellung Ihrer Daten besprechen und durchführen.

Master-Key für Petya, GoldenEye und Mischa

Die Opfer der Verschlüsselungstrojaner Petya, GoldenEye und Mischa, deren Daten im Jahr 2016 durch diese Ransomware verschlüsselt wurden, können aufatmen sofern sie über ein Backup mit den verschlüsselten Daten verfügen.
Die Entwickler dieser Trojaner haben einen Master-Key veröffentlicht, mit dessen Hilfe der Zugriff auf die Daten wieder möglich ist.
Die Echtheit des Schlüssels wurde inzwischen durch mehrere Sicherheitsforscher bestätigt.
Keine Entwarnung gibt es bisher für Opfer der Variante NotPetya oder WannaCry. Diese Ransomware wurde von anderen Autoren entwickelt. Da hier anscheinend ein Fehler beim Verschlüsseln zum Verlust des Schlüssels führt, ist hier eine Entschlüsselung (bisher) unmöglich.

Informationen zum Thema finden Sie z.B. hier.

Verschlüsselung durch Update

Eine neue Welle eines Erpressungstrojaners ähnlich der letzten WannaCry-Variante geht um die Welt.
In diesem Fall wird eine politische Motivation vermutet, die gegen die Ukraine gerichtet ist.
Nach bisherigen Erkenntnissen verbreitet sich diese Variante nicht, wie bisherige Ransomwarevarianten, über Phishing-Mails oder ein Exploit-Kit sondern sie ist in einem Software-Update der ukrainischen Steuersoftware MeDoc enthalten.
Es ist momentan davon auszugehen, dass in erster Linie Unternehmens-Rechner Ziele dieses Angriffs sind, was nicht bedeutet, dass private Rechner nicht infiziert werden können.
offensichtlich gibt es einen ‚Kill-Switch‘ für den Trojaner.
Der Sicherheitsforscher Lawrence Adams hat eine Batch-Datei hierfür entwickelt um die Infektion eines Rechners im Vorfeld zu verhindern. Hierdurch werden bestimmte Dateien im Verzeichnis C:\Windows angelegt.
Der Inhalt der Batch-Datei lautet:

@echo off

echo Administrative permissions required. Detecting permissions…
echo.

net session >nul 2>&1

if %errorLevel% == 0 (
if exist C:\Windows\perfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat

attrib +R C:\Windows\perfc
attrib +R C:\Windows\perfc.dll
attrib +R C:\Windows\perfc.dat

echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
)
) else (
echo Failure: You must run this batch file as Administrator.
)

pause

 

(Fehlerhafte Änderungen am Dateisystem können zu Schäden am Rechner und zu Datenverlusten führen, beauftragen Sie im Zweifel einen Fachmann mit der Durchführung.) 

Da jedoch immer wieder neuere Versionen des Trojaners auftauchen können, ist dieser ‚Kill-Switch‘ nicht als absoluter Schutz zu verstehen. Achten Sie daher immer darauf das Betriebssystem mit den aktuellsten Sicherheitsupdates und ihren Virenschutz mit den aktuellsten Virensignaturen zu versehen.
Die sicherste Lösung bleibt nach wie vor das anlegen aktueller Backups die nicht mit dem Rechner/Netzwerk verbunden gelagert werden. Sollten Sie hierzu Fragen haben, berät Sie der EDV-Dienstleister Ihres Vertrauens.

Wer Hinweise darauf hat, dass ein System von ‚NotPetya‘ infiziert wurde, sollte dieses umgehend vom Strom trennen. Unter Umständen verhindern Sie so, dass Daten verschlüsselt werden. Schon verschlüsselte Festplatten sollte man aufbewahren. Mit etwas Glück entdecken Sicherheitsforscher nach einiger Zeit Fehler in der Verschlüsselung des Trojaners und es wird ein Werkzeug veröffentlicht, mit dem man seine Daten retten kann.

Was ein ‚Exploit Kit‘ ist und wie es funktioniert, können Sie in diesem Artikel nachlesen.

Quelle: www.heise.de

Durch WannaCry verschlüsselte Daten können teilweise wiederhergestellt werden.

Durch Fehler im Programmcode der Ransomware ist es teilweise möglich verschlüsselte Daten auf den betroffenen Rechnern zu rekonstruieren.
WannaCry löscht Dateien nur in einigen, bestimmten Ordnern durch überschreiben unwiederbringlich (z.B. Desktop oder Eigene Dokumente).
Sind die Dateien an anderer Stelle gespeichert, so werden die Dateien lediglich im Windows-Dateiverzeichnis als gelöscht markiert. Wurden die Daten noch nicht durch andere Aktionen überschrieben, so lassen sich in den meisten Fällen die Dateien wiederherstellen.
Dazu reichen kostenlose Undelete-Tools wie Recuva, Puran File Recovery oder Autopsy völlig aus.
Wenn die betroffenen Dateien auf einer anderen Partition oder einer anderen Festplatte (externe USB-HDD/SSD) abgelegt sind sollte die Wiederherstellung ebenfalls funktionieren.
Sollten Sie sich das nicht selbst zutrauen können Sie uns gerne per Mail kontaktieren, wir unterstützen Sie.

Die einfachste Möglichkeit sich zu schützen bleibt jedoch immer noch die regelmäßige Datensicherung auf einer externen Festplatte, die nur zu Sicherungszwecken an den Rechner oder an das Netzwerk angeschlossen wird oder die Sicherung auf Webspace bei einem ISP (Internet Service Provider).
Bei letzterem sollte Wert darauf gelegt werden, dass das Rechenzentrum seinen Standort in Deutschland hat und damit den deutschen Datenschutzbestimmungen unterliegt.
In diesem Bereich gibt es mittlerweile eine ganze Reihe von günstigen Angeboten, die den Vorteil bieten dass die Daten selbst nach einem Super GAU (Einbruchdiebstahl, Brand) ohne Probleme rekonstruiert werden können.

Was tun, wenn ich Opfer von Ransomware, Trojanern oder Viren geworden bin?


  1. Was passiert
    z.B. im Falle von ‚WannaCry‘ oder ‚Locky‘ auf dem Rechner?
    Wenn das Schadprogramm auf den Rechner gelangt ist (z.B. als Mailanhang oder durch öffnen einer manipulierten Internetseite), werden Daten auf der Festplatte verschlüsselt. Mit einer anschließend erscheinenden Hinweisseite wird unter Forderung eines Lösegelds die Zusendung eines Schlüssels zum Entschlüsseln der Daten versprochen.
    Sowohl die europäische Polizeibehörde Europol wie auch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) raten von der Lösegeldzahlung generell ab, da es keinerlei Sicherheit für den Erhalt des Schlüssels gibt.
  2. Was kann ich tun?
    Eine Privatperson, die nur einen einzelnen Rechner hat, hat nicht viele Möglichkeiten.
    Sind regelmäßige Datensicherungen vorhanden, so kann der Rechner auf den Stand der letzten Datensicherung gebracht werden. Alle neueren Daten sind in diesem Fall verloren. Wichtig ist, die Datensicherung nicht auf dem zu sichernden Rechner aufzubewahren, auch nicht auf einem mit dem Rechner verbundenen externen Laufwerk. Sichern Sie die Daten auf einem externen Laufwerk und trennen dieses nach der Sicherung vom Rechner.
    Sie können auch Sicherungen im Netz aufbewahren, etwa auf Webspace, den Sie bei einem Internetprovider anmieten, dies hat den Vorteil, auch im Falle eines Wohnungsbrands oder Einbruchdiebstahls haben Sie die Möglichkeit Ihre Daten zurück zu holen. Sie sollten jedoch darauf achten einen Provider auszuwählen, der seine Server in Deutschland betreibt, das gewährleistet den im Vergleich strengen Datenschutz nach deutschem Recht. Wenn Sie sich unsicher sind oder eine korrekte Datensicherung nicht zutrauen, so können Sie sich an einen IT-Dienstleister Ihres Vertrauens wenden, der Ihnen bei der Einrichtung der Datensicherung behilflich ist und Sie berät.
  3. Bei Rechnern in einem Netzwerk gilt als erste Maßnahme, wenn eine Infektion bemerkt wird, sofort den Netzwerkstecker zur Not den Stromstecker ziehen oder ggf. den WLAN-Adapter abschalten um eine Ausbreitung innerhalb des Netzwerks zu verhindern.
  4. Halten Sie das Betriebssystem Ihres Rechners stets auf dem neuesten Stand, die Hersteller bieten oft kurz nach Bekanntwerden einer Bedrohung Sicherheitsupdates an, die unbedingt eingespielt werden sollten. So hat Microsoft z.B. schon im März diesen Jahres einen Patch zur Beseitigung der Sicherheitslücke, die ‚WannaCry‘ ausnutzt, bereitgestellt. Auf vielen Rechnern wurde dieser Patch (MS17-010) jedoch bisher nicht installiert, was diese Systeme angreifbar macht.
    Weiterhin kann die Infektionsgefahr durch etwas Aufmerksamkeit des Benutzers stark verringert werden. Klicken Sie nicht einfach auf irgendwelche Links in dubiosen Emails, die Sie zur Bestätigung irgendwelcher Kontodaten auffordern, öffnen Sie keine Anhänge in Mails, die Sie nicht erwartet haben, im Zweifel fragen Sie beim angeblichen Absender nach. Deaktivieren Sie die automatische Ausführung von Plug-Ins in Ihrem Browser, wie z.B. Adobe Flash oder Oracle Java.

Der gesunde Menschenverstand ist oft besser als jede Antivirensoftware.
Zu Risiken und Nebenwirkungen fragen Sie jemanden, der etwas davon versteht.

Der EDV-Dienstleister Ihres Vertrauens.

Ransomware WannaCry legt mehrere zehntausend Rechner lahm.

Seit Donnerstag (11.05.2017) sind insgesamt mehrere zehntausend Rechner durch die Ransomware ‚Wana Decrypt0r 2.0‘ bzw ‚WannaCry‘ lahmgelegt worden.
Besonders betroffen sind die Rechner des britischen Gesundheitswesens, sodass der Betrieb in vielen Krankenhäusern stark behindert wurde ein weiterer Schwerpunkt ist in Spanien und Russland zu finden.
Wie die bekannte Variante Locky verschlüsselt die Software die Daten und verlangt für den Schlüssel ein Lösegeld in Form einer Zahlung in ‚Bitcoins‘. 

Der russische Antiviren-Spezialist Kaspersky Lab zählte mehr als 45 000 Angriffe in 74 Ländern, mit einem Schwerpunkt auf Russland.
Die Antivirenfirma Avast will 75.000 Fälle mit Schwerpunkten in Russland, der Ukraine und Taiwan gefunden haben.

Ein Befall von Privatrechnern ist bisher nicht bekannt, aber nicht auszuschließen.
Microsoft empfiehlt das Aufspielen des Software-Patches vom 14. März 2017 (MS17-010).
In einem knappen Tweet rät ‚@HackerFantastic‘ lakonisch das gleiche, außerdem Computer mit Windows NT4, 2000, XP-2003 aus der Schusslinie zu nehmen und in der Firewall die Ports 445/139 und 3389 zu schließen.

Quelle:  www.heise.de