Crypto-Trojaner im Umlauf

11.12.2015

In den letzten Tagen wird von einer neuerlichen Welle von Crypto-Trojanern berichtet.

Hierbei werden oftmals E-Mails mit unterschiedlichen Arten von Attachements zugesendet. Wird das Atatchement geöffnet, beginnt die Schadsoftware mit der "Arbeit". Dabei werden sowohl lokal als auch im Netzwerk gespeicherte Dateien vom Schadprogramm verschlüsselt. etwaige fehlende Administratorrechte auf dem lokalen Rechner verhindern dies nicht, da "Nur-Benutzer-Rechte" ausreichend sind zum Starten des Programms. Zum Verschlüsseln der Dateien sind dann "Schreibrechte" notwendig.

Häufig werden die neuesten Crypto-Viren Typen vom Virenscanner (beim Speichern/Öffnen) nicht erkannt und der Nutzer wiegt sich in falscher Sicherheit. Weiterlesen…

Vor dem Öffnen von (unverlangt zugesandten) Anhängen von bekannten und unbekannten Absendern, sollten Sie in Erwägung ziehen, die Dateien von mehr als einem Virenscanner zu prüfen. Dies ist z.B. auf der Webseite: http://www.virustotal.com möglich. Bitte beachten Sie aber, dass keine Dateien mit personenbezogenen Daten oder sonstigen schützenswerten Inhalten dorthin hochgeladen werden. Fragen Sie ggf. bei einem Ihnen bekannten Absendern telefonisch (UnivIS / Telefonauskunft) nach, ob er Ihnen eine E-Mail geschickt hat.

Wird bei der Prüfung von bereits einigen Virenherstellern ein Virus gemeldet, dann helfen Sie bitte mit, den Virenschutz zu verbessern. Hierzu besteht die Möglichkeit, die Virenemail weiterzuleiten an den eigenen Virensoftware-Hersteller (samples@sophos.com). Geben Sie dabei die Webadresse an, die Ihnen nach dem Prüflauf gezeigt wird (Beispiel)

Sollte noch kein Virenhersteller einen Virus erkennen, so bedeutet das nicht zwangsläufig, dass die Datei tatsächlich virenfrei ist. Auch in mancherlei Fällen wird bei der genauen Prüfung ein Virus in verdächtigen Dasteien gefunden.

Für den Fall der Fälle

Wenn Sie (plötzlich) nicht mehr auf Ihre loakeln/netzwer gespeicherten Daten zugreifen können und die Dateien neue Endungen erhalten haben, so kann eine Verschlüsselung erfolgt sein. Ein Crypto-Trojaner Befall macht auch durch Startmeldungen auf sich aufmerksam. Bislang ist es noch nicht gelungen, die Verschlüsselung rückgängig zu machen.

Was tun

Die vom Crypt-Trojaner verschlüsselten Dateien sind sehr wahrscheinlich verloren (die Verschlüsselung kann nicht rückgängig gemacht werden). Bei zentral auf Servern des Rechenzentrums gespeicherten Dateien wird regelmässig ein Backup durchgfeührt. Wenden Sie sich an uns und wir werden mit Ihnen zusmamen den besten Datenbestand in der Datensicherung ausfindig machen und wiederherstellen. Sorgen Sie bei Ihren lokal gespeicherten Dateien ebenfalls für ein Backup an einem weiteren, nicht permanent erreichbarem Speicherort.

Schutz vor Viren/Trojanern/Schadsoftware

Halten Sie Ihren Computer mit alen Bestandteilen und insbesondere die verwendete Software auf dem neuesten Stand. Hierzu finden Sie eine Zusammenstellung der "Aktuelle Softwareversionen" auf den RZ-Webseiten. Dort erhalten Sie die nächstgelegenen Downloadquellen (z.B. direkt aus dem Campusnetz).

Aktualisieren Sie Ihr Betriebssystem und installieren Sie die neuesten Windows Updates. Dies kann auch von/mit einer CD/DVD erfolgen - hierzu empfehlen wir die Nutzung der vom RZ bereitgestellten WSUS-Offlien Update ISO-Dateien bzw. die direkte Nutzung von "WSUS-Offline Update"

Ein aktueller Virenscanner kann vor ebreits bekannten (Crypto)-Viren/Trojanern schützen. Hierzu steht Ihnen an der CAU kiel der Virenscanner Sophos Antivirus zur kostenfreien Nutzung (auch auf Privatrechnern) zur Verfügung.

Prüfen Sie beim Öffnen von Anhängen in E-Mails immer, ob dieser Anhang plausibel und und aus einer Ihnen bekannten Quelle stammt. Ergeben sich bereits hierbei Unsicherheiten und Zweifel, so öffnen Sie den Anhang besser nicht und fragen nach (s.o.) bzw. prüfen den Anhang online (s.o. "Virustotal").

Schutz von Daten im Netz

Einen zuverlässigen Schutz vor ungewollter Verschlüsselung besteht nur, wenn die Dateien im Nur-Lese (Read-Only) Zugang erreicht werden können. Dies kann technisch bei Dateien im Netzwerk dadurch erzielt werden, dass die zugehörige Netzwerkfreigabe standardmässig "nur lesend" benutzt werden kann. So kann der Inhalt von Daten problemlos gelesen werden. Ein dann schreibender Zugang auf Daten im Netzlaufwerk könnte über Terminalserver ermöglicht werden, die selber keinen Zugang zum Internet haben. Dies ist kein komfortabler Zugriff auf die Daten, schützt aber vor dieser neuen Bedrohungsart.