Cryptofag - Ransomware

Martino @, Sonntag, 05.02.2017, 14:26 vor 2726 Tagen 4882 Views

bearbeitet von unbekannt, Sonntag, 05.02.2017, 14:59

Hallo zusammen,

hat jemand Erfahrung, wie man mit Cryptofag umgehen kann?

http://www.pcviruscare.com/blog/remove-decrypt-cryptofag-ransomware-from-your-pc

Eine kleiner Hotelbetreiber in Italien ist davon betroffen, SQL-Server fremdverschlüsselt, kein Zugriff mehr, kein Backup verfügbar (der NAS wurde auch verschlüsselt).

1.) Zahlen und hoffen, dass der Erpresser sein Versprechen einlöst?

2.) Shadow Copy ist auch verschlüsselt, keine Chance.

Was kann man da noch machen, außer warten, bis man einen Quantencomputer beim Media-Markt bekommt? [[sauer]]

Über Ratschläge würde ich mich sehr freuen. Von den IT-lern, welche die Firma vor Ort betreuen, erwarte ich mir keine großen Heldensprünge.

MfG
Martino

Computersicherheit versus Malware und Ransomware - das Social Engineering in den Griff bekommen - wie schützt sich ein Hotel?

Literaturhinweis @, Sonntag, 05.02.2017, 15:05 vor 2726 Tagen @ Martino 5101 Views

Ich hatte ja zu Computersicherheit und zum Thema Datensicherheit zwei Beiträge beigesteuert und dort auch auf viele weitere lesenswerte Posts zu diesen Themen, gerade auch von @Ikonoklast verwiesen.

1) Zum konkreten Fall Cryptofag:

Wenn man danach sucht, bekommt man bereits jede Menge Entfernungstips frei Haus geliefert. Das Problem dürfte sein, daß das Entfernen das Verschlüsseln i.d.R. auch nicht rückgängig machen kann.

Aus der Ferne ist alles weitere nur unnützes Herumraten, daher übe ich mich in weiser Beschränkung, gebe aber einen vielleicht für die Zukunft entscheidenden Tip:

2) Schutz eines Hotels/Buchungsbetriebes vor Ausspähung, Viren, Malware, Ransomware:

Der einfachste Rat, der bis zum Erbrechen im Internet und einschlägigen Büchern breitgetreten wird, heißt ja bekanntlich 'Öffne keine Mail, deren Absender Du nicht kennst'.

Sehr praktischer Rat für Hotels, dann kriegen sie auch keine Buchungen mehr herein bzw. beantworten keine Anfragen, wie "nehmen Sie auch Hunde auf?". Mit dem Ergebnis, daß sie auch gleich den Laden zusperren können bzw. nur noch über Buchungsportale arbeiten, die ihren Rohgewinn abschöpfen.

Wenn man das Problem aber nicht in den Griff bekommt, steht man irgendwann u.U. vor noch viel unlösbareren Problem, wie kürzlich das Hotel Jägerwirt.

Was kann also ein Betrieb, der laufend auf neue Absender-Adressen gefaßt sein muß, wie Betriebe mit erklärungsbedürftigen Produkten oder eben solche, die fremde Kunden en masse jeden Tag begrüßen müssen, tun?

Zwei wesentliche Möglichkeiten:

a) Wie ich es machen würde: einen Rechner, der mit dem Internet, aber nicht mit dem restlichen Hotelnetz verbunden ist, um Mails zu empfangen und zu beantworten. Und ja, je nach Aufteilung der Aufgaben kann es sein, daß dieser nicht direkt mit dem Buchungsrechner verbunden ist und man Daten doppelt erfassen muß. Man vergleiche das mit dem Risiko, das gerade eben eingetreten ist und denke nochmal nach, inwiefern sich das davon unterscheidet, was man bis vor zehn Jahren immer so gemacht hat: Anrufer bucht telefonisch Zimmer, manuelle Eingabe, oder etwa nicht???

b) Zweite Alternative: den Rechner zwar am Netzwerk partizipieren lassen, aber mit einem anderen Betriebssystem (nicht Windows, sondern ein Linux-Derivat) betreiben. Aber lange nicht so wasserdicht wie Lösung a)!

3) Generelle Vorsichtsmaßnahmen gegen Ausspähung, Viren, Malware, Ransomware:

NICHTS ANKLICKEN, insbesondere keine Anlagen öffnen und keine USB-Sticks im System erlauben!

Bei genauer Betrachtung kam auch auf den genannten Rechner die Ransomware nur, weil irgendein Dussel auf eine Mail mit dem Betreff "Thought you might be interested" und einer Anlage etwa mit "PamelaAndersonsBoobs.jpg" geklickt und dann die Anlage geöffnet oder auf einen Link "Schau' Dir doch mal meine Webseite an, wo ich gebrauchte Höschen versteigere" geklickt hat.

Dagegen hilft: kostenlose Bordellbesuche für das Personal an der Rezeption, aber zweimal täglich!!!

Besser aber ist Version 2a.

--
Literatur-/Produkthinweise. Alle Angaben ohne Gewähr! - Leserzuschriften

Zustimmung

software-engineer @, Sonntag, 05.02.2017, 15:51 vor 2726 Tagen @ Literaturhinweis 4190 Views

bearbeitet von unbekannt, Sonntag, 05.02.2017, 16:29

Zwei wesentliche Möglichkeiten:

a) Wie ich es machen würde: einen Rechner, der mit dem
Internet, aber nicht mit dem restlichen Hotelnetz verbunden ist, um Mails
zu empfangen und zu beantworten. Und ja, je nach Aufteilung der Aufgaben
kann es sein, daß dieser nicht direkt mit dem Buchungsrechner verbunden
ist und man Daten doppelt erfassen muß. Man vergleiche das mit dem Risiko,
das gerade eben eingetreten ist und denke nochmal nach, inwiefern sich das
davon unterscheidet, was man bis vor zehn Jahren immer so
gemacht
hat: Anrufer bucht telefonisch Zimmer, manuelle
Eingabe
, oder etwa nicht???

b) Zweite Alternative: den Rechner zwar am Netzwerk partizipieren
lassen, aber mit einem anderen Betriebssystem (nicht Windows, sondern ein
Linux-Derivat) betreiben. Aber lange nicht so wasserdicht wie Lösung
a)!

Völlig richtig! Dabei ist zu beachten, dass IT-Lösungen von der Stange umso gefährdeter sind je verbreiteter sie sind. Und wer Sicherheitsfunktionen im gleichen System laufen lässt wie die Internetkommunikation oder andere Alltagsaufgaben, ist selbst schuld, wenn ein Schaden eintritt.

Ich würde die Geschäftsabläufe eines Betriebes (z.B. eines Hotels) optimalerweise auf einem redundanten VM-Server in mehreren VMs verwalten und proprietäre (d.h. wasserdichte) Schnittstellen für den Datenaustausch erstellen. Damit entfällt auch die händische Übertragung von Buchungen.

--
Wenn man beim Programmieren Fehler macht, dann meckert der Compiler.

Backup / Disaster Recovery / Ransomware / Endpoint Protection

-Quantenfeldtheorie- @, Montag, 06.02.2017, 09:42 vor 2726 Tagen @ Martino 3729 Views

Hallo Martino,

eine Entschuldigung direkt am Anfang: Die kommenden Zeilen werden eine lustige Mischung aus Englisch und Deutsch enthalten.

Fangen wir mit der Analyse an:

Das Backupkonzept hatte offenkundig an den falschen Stellen Luecken. Das ist leider weit verbreitet, erst recht bei kleineren Unternehmen.
Meine Herzensdame hatte anfaenglich auch kein Verstaendnis dafuer, die Datenbestaende ihrer Selbststaendigkeit auch extern vorzuhalten und diese offline zu halten bis ein Blitzschaden alle mitnahm, was zu Hause stand. Ein Rudel Macs, das NAS, die daran angeschlossene Festplatte etc.
Als ich dann aus der Amazon Cloud ein verschluesseltes Backup alle Daten zauberte war sie verzaubert. Das Wiederherstellen dauerte 2 Tage, aber die Daten waren integer und vorhanden.

Das Hotel sollte dringend die Backupstrategie um eine Off-Site Komponente erweitern, die nicht unbedingt von Ransomware mitverschluesselt werden kann. Viele Bedenken das nicht und denken, dass ein Backup auf einem Fileshare im Netzwerk ausreichend ist. Ist es manchmal, wenn dieses in ausreichend kurzen Abstaenden weggesichert wird.

Pragmatischer Vorschlag von mir

- Loesegeld zahlen

Sollte die Hoehe der Zahlung deutlich unter dem finanziellen Schaden liegen, der durch die aktuelle nicht Verfuegbarkeit der Daten erzeugt wird, ist das durchaus gangbar.

http://thehackernews.com/2015/10/fbi-ransomware-malware.html

- NAS in Zukunft wegsichern

An meinem NAS (recht aktuelles Synology Geraet) haengt eine externe Festplatte, die naechtens Backups macht und sich danach aushaengt, also von Schadsoftware erstmal nicht mehr beschrieben werden kann. Alleine das haette in dem von dir geschilderten Falle schon viel geholfen. Zudem wird das NAS verschluesselt taeglich in die Amazon Cloud weggesichert.
Kostenpunkt pro Jahr 80 Euro fuer Amazon und einmalige Anschaffungskosten fuer die Platte ~200 Euro. Das ist dann meine Versicherung gegen die aktuelle Situation da draußen im Netz.

Bei Bedarf gerne dann auch die Enterprise Version dieser Geschichte inkl. Schutzmoeglichkeiten via Software. :)

VG,
QFT

Hatte auch mal ein solches Problem

Albert @, Montag, 06.02.2017, 14:24 vor 2725 Tagen @ Martino 3606 Views

bearbeitet von unbekannt, Montag, 06.02.2017, 17:11

Im unaufmerksamen Moment eine Email angeklickt von "Conrad Elektronic - Letzte Mahnung" und dann innerhalb der Mail auf die angeblich beigefügte Rechnung.

Sollte dann auch zahlen. Details, wie es geblockt war, weiß ich nicht mehr. War, glaube ich, so eine Art Popup-Fenster.

Keins der üblichen Virenprogramm schaffte es außer Malwarebytes. Das hatte ich per Handy ergoogelt von anderen, die bereits Lösungen gesucht hatten.

Ist vermutlich hier ein ganz anderer Fall.

Viel Glück.

Problem gelöst

Martino @, Freitag, 10.02.2017, 18:50 vor 2721 Tagen @ Martino 3379 Views

Vielen Dank für die vielen Hinweise.

Das Hotel hat inzwischen das Lösegeld bezahlt und die Entschlüsselungs-Software bekommen. Alles wieder gut. Die Profis wollten sich ihre "Reputation" und Geschäftsmodell nicht versauen und haben geliefert.

Der Schaden ist aber trotzdem nicht unerheblich: Überstunden, Buchungsausfall, 2 Informatiker a 90,00 Euro die Stunde die halbe Woche beschäftigt mit der halben Welt zu telefonieren und Risiken abzuwägen. Verärgerte Kunden und gefühlte stressbedingte Alterung von 2 Jahren.

In Zukunft gibts ein wöchentliches manuelles cold/offline storage und ein tägliches upload in die Cloud. Wobei, Cloud... dann kann immer noch so etwas passieren:

https://netzpolitik.org/2016/dropbox-gehackt-ueber-60-millionen-accounts-betroffen/

Dann sind halt "nur" die Kundendaten geklaut... aber das Hotel wenigstens noch operativ.

Wer nicht hören will, muss fühlen.
Diese Lektion ins Knochenmark.

Gruß
Martino

Werbung