Ihr Partner
in Sachen EDV


Hardware
Software
Netzwerktechnik

Aktuelle Meldungen

 

BKA-Warnung vor Locky enthält Virus

Online-Ganoven verschicken im Namen des BKA Mails mit dem Betreff "Offizielle Warnung vor Computervirus Locky". Das angehängte Removal-Tool macht genau das Gegenteil davon, was es verspricht.
Aktuell kursieren Mails mit dem Betreff "Offizielle Warnung vor Computervirus Locky", die vermeintlich vom Bundeskriminalamt stammt, wie der Blog Mimikama berichtet. In den Mails wird behauptet, dass das BKA in Kooperation mit Herstellern von Antiviren-Software einen Sicherheitsratsgeber herausgegeben hat, der erklärt, wie man sich vor dem Erpressungs-Trojaner Locky schützt.
Locky Removal Kit infiziert Rechner
Ferner habe das BKA ein Analyse-Tool namens "BKA Locky Removal Kit.exe" entwickelt, das der Mail auch gleich angehängt ist. Die Datei sollte man auf keinen Fall starten: Perfiderweise handelt es sich dabei nicht um ein Schutzprogramm, sondern um einen Trojaner. Die in der Signatur angegebene Mail-Adresse haben die Online-Ganoven offenbar von der Website des BKA kopiert; sie lautet impressum-bka-internetauftritt@bka.de.
Neue Locky-Welle

Trojaner-Mails, die vermeintlich vom Büro-Kopierer stammen, liegen gerade wieder schwer im Trend. Zudem verschicken Online-Erpresser massenhaft Locky-Mails mit dem Betreff "Whitehouse paperwork" mit einem ZIP-Archiv im Gepäck, wie heise Security beobachtet hat. Es handelt sich dabei angeblich um eingescannte Dokumente, die von einem Büro-Farbkopierer des Types Aficio MP C2500 verschickt wurden, wie sie in vielen Büros zum Einsatz kommen. Als Absender wird die Domain der Empfängeradresse missbraucht – geht die Mail an hans.mustermann@firma.tld, lautet der Absender admin@firma.tld.
(Quelle: http://www.heise.de/newsticker/meldung/BKA-Warnung-vor-Locky-enthaelt-Virus-3125820.html)

 

Trojaner Locky schlägt offenbar koordiniert zu

Locky lauerte vermutlich bereits eine Weile auf den infizierten Systemen, ehe es am vergangenen Montag gleichzeitig bei mehreren Opfern mit der Verschlüsselung persönlicher Dateien begonnen hat.
Aktuell grassiert ein neuer Verschlüsselungs-Trojaner namens Locky, der über 300 Euro von seinen Opfern erpresst. heise Security liegen mehrere Berichte von Lesern vor, bei denen die Ransomware mitunter zehntausende Dateien verschlüsselt hat. Anscheinend schlummerte Locky bereits seit einiger Zeit auf den Windows-Rechnern der Opfer, um dann am vergangenen Montag erstmals koordiniert zuzuschlagen.
Die Liste der Dateiformate, auf die es Locky abgesehen hat, ist lang. Darunter befindet sich Office-Dateien, diverse Medienformate, Archive, Quellcode, Datenbanken, Zertifikate und Krypto-Schlüssel – kurzum alles, was dem Nutzer potenziell lieb und teuer ist. Insgesamt grast die Ransomware die Platte nach Dateien mit über 150 Endungen ab.
Ransomware als Schläfer

Nach dem Verschlüsseln öffnet Locky eine Textdatei mit dem Erpresserbrief. Möglicherweise schlummerte Locky eine Weile auf den inifzierten Rechnern, ehe es zentral den Befehl bekam, das digitale Hab und Gut der Opfer zu verschlüsseln: Ein Leser berichtet uns, dass der Schädling bei mehreren seiner Kunden, die er als IT-Dienstleister betreut, am gestrigen Montag um 15:06 zugeschlagen hat. Dahinter könnte durchaus System stecken: Die Täter hatten so die Möglichkeit, Ihre bis Dato unbekannte Schad-Software auf möglichst viele Rechner zu verteilen, ehe sie zuschlagen.
Locky löscht Schattenkopien
Perfiderweise löscht die Ransomware sämtliche Schattenkopien, indem sie das Windows-Tool vssadmin.exe mit den Parametern "Delete Shadows /All /Quiet" aufruft. Die von Windows automatisch angelegten Schattenkopien sind nach einer Ransomware-Infektion manchmal ein Weg, die ursprünglichen Dateien wiederherzustellen, ohne das Lösegeld zahlen zu müssen.
Dass die neue Ransomware zugeschlagen hat, erkennt man daran, dass sich auf der Platte Dateien mit kryptischen Namen und der Endung .locky befinden – statt der persönlichen Daten, die man am Speicherort erwartet hat. Im Ordner findet man zudem eine Datei namens _Locky_recover_instructions.txt, die Locky auch mit dem Editor zu öffnen versucht.
RSA und AES

Die Opfer der Ransomware sollen im Tor-Netz die "special software" Locky Decryptor kaufen, um ihre Daten zu entschlüsseln. Der Inhalt der Datei macht den Betroffenen wenig Hoffnung: Laut den Tätern verschlüsselt Locky mit RSA mit 2048 Bit Schlüssellänge und AES mit 128 Bit. Wenn das stimmt und die Entwickler bei der Krypto-Implementierung nicht gepatzt haben, besteht keine Hoffnung, die verschlüsselten Dateien zu retten. Eine unabhängige Analyse der von Locky eingesetzten Verschlüsselung steht derzeit noch aus. Aktuell ist kein Weg bekannt, die von Locky verschlüsselten Dateien ohne Zahlung des Lösegelds zu retten.
Laut Recherchen von heise Security wird Locky möglicherweise über das Exploit-Kit Neutrino verteilt. Neutrino versucht unter anderem Sicherheitslücken im Flash Player auszunutzen. Dies muss aber nicht der einzige Verbreitungsweg sein. Einer der eingesetzten Command-and-Control-Server, mit denen Locky kommuniziert, wird auf der Infrastruktur des russischen Hosters Makhost (Макхост) betrieben.
Nicht zahlen
In der Textdatei weist Locky sein Opfer an, bestimmte Adressen im Tor-Netz aufzurufen und dort den privaten Krypto-Schlüssel und das Entschlüsselungs-Tool zu kaufen. Die Täter verlangen aktuell einen Bitcoin, was umgerechnet rund 360 Euro entspricht. Ist man Opfer eines Verschlüsselungs-Trojaners geworden, sollte man der Lösegeldforderung nicht nachgehen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Stattdessen soll man ein Foto von dem digitalen Erpresserbrief machen und Anzeige erstatten. Es ist ratsam, eine Kopie der verschlüsselten Daten aufzuheben, für den Fall, dass ein Weg bekannt wird, die Verschlüsselung zu knacken. So konnte heise Security kürzlich mit dem Tool TeslaDecoder eine Festplatte retten, die der verbreitete Krypto-Trojaner TeslaCrypt2 chiffriert hatte.
Es ist grundsätzlich ratsam, regelmäßig Backups jener Dateien anzufertigen, auf die man nicht verzichten kann. Diese sollten sich auf Datenträgern außerhalb der Reichweite von Trojanern befinden – also etwa auf externen Festplatten oder USB-Sticks, die nur bei Bedarf mit dem Rechner verbunden werden.
Update vom 16. Februar, 18:30: Die VirusTotal-Analyse eines aktuellen Locky-Samples zeigt, dass derzeit offenbar nur wenige Virenscanner anschlagen. Nur 3 der 54 AV-Engines stufen die Datei als Malware ein. Unterdessen häufen sich Berichte, laut denen der Schädling per Mail über Word-Dokumente mit Makro-Code verbreitet wird.
(Quelle: www.Heise.de)

 

Patchday: Microsoft stopft 6 kritische Lücken

Es ist wieder einmal Zeit zum Updaten für Microsoft-Anwender. Wer noch ältere Versionen des Internet Explorer im Einsatz hat, muss jetzt schleunigst handeln.
Microsoft hat am Patchday 13 Sicherheitswarnungen herausgegeben und gleichzeitig Lücken in Windows, im Internet Explorer, im Edge Browser und in Office gestopft. Die Updates werden bereits verteilt. Sechs der Lücken werden als kritisch bewertet, da Angreifer sie ausnutzen können, um Schadcode aus der Ferne auszuführen. Wie lange angekündigt, werden Sicherheitslücken in älteren Internet-Explorer-Versionen nun nicht mehr mit Patches versorgt, Nutzer sollten also schleunigst auf die neueste Version des Browsers für ihr Betriebssystem umsteigen.
Neben dem gewohnten Sammelupdate für die beiden Browser Internet Explorer und Edge – bei beiden werden kritische Lücken geschlossen – fällt besonders eine Reihe von Patches für die Windows-interne PDF-Bibliothek ins Auge. Auch hier hat Microsoft mit Codeausführung aus der Ferne zu Kämpfen. Wie es aussieht hat nicht nur Adobe solche Probleme bei der Verarbeitung von PDF-Dateien. Und auch Office hat Lücken, die Angriffe aus der Ferne erlauben – besonders gefährlich sind diese bei Phishing-Attacken mit manipulierten Office-Dokumenten als Mail-Anhang.

(Quelle: http://www.heise.de/newsticker/meldung/Patchday-Microsoft-stopft-6-kritische-Luecken-laesst-alte-Int[..]

 

Router mit vorhersehbarem Std.-WLAN-Passwort

Angreifer können das werkseitige WLAN-Passwort von einer TP-Link-Router-Serie vergleichsweise einfach herausfinden und sich so Zugang zum Netzwerk verschaffen. Weitere Serien könnten ebenfalls betroffen sein.
Die WLAN-Router der TL-WR702N-Serie von TP-Link haben ab Werk offensichtlich ein leicht herauszubekommendes WLAN-Passwort. Das legt ein von einem Pentester veröffentlichtes Bild nahe, das den rückseitigen Aufkleber mit dem Standard-SSID und -Passwort zeigt. Das Passwort setzt sich dabei aus den letzten acht Ziffern der MAC-Adresse des WLAN-Routers zusammen. Ein weiteres Bild unterstützt den Verdacht.
Die MAC-Adresse lässt sich vergleichsweise einfach mitschneiden. In dem vorliegenden Fall könnte ein Angreifer so in fremden Netzwerken schnüffeln. Nutzer, die das Standard-Passwort geändert haben, sind nicht gefährdet.
Noch weitere Router betroffen?
Ob noch weitere Router davon betroffen sind, ist derzeit nicht bekannt. TP-Link hat noch nicht auf eine Anfrage geantwortet. In den Anleitungen der WLAN-Router des Herstellers sind bei Geräten der Serien 800, 900 und 1000 Formulierungen zu finden, die die gleiche Vorgehensweise bei der Erzeugung des WLAN-Passwortes vermuten lassen.
Dort steht geschrieben, dass sich der Standard-Netzwerkname immer aus TP-LINK_ gefolgt von den letzten vier oder sechs Ziffern der MAC-Adresse zusammensetzt. Zum Standard-Passwort in Verbindung mit der MAC-Adresse ist zwar nichts zu lesen, die betroffene Serie 700 verfährt beim Standard-Netzwerknamen aber genauso.
Das legt die Vermutung nahe, dass TP-Link die Standard-WLAN-Passwörter bei den genannten Serien auch aus Ziffern der MAC-Adresse generiert. Bei Geräten der C-Serie ist eine derartige Formulierung nicht zu finden.
Selbst überprüfen
Ein Blick auf die rückseitigen Aufkleber eines Gerätes der C7-Reihe bekräftigt diese Vermutung, denn das dort aufgedruckte WLAN-Passwort weist keinerlei Bezug zur MAC-Adresse auf. Bei einem in der Redaktion im Einsatz befindlichen TL-WR841N ist das aber auch der Fall.
Besitzer eines WLAN-Routers von TP-Link sollten das in jedem Fall selbst überprüfen. Darüber hinaus sollte man unabhängig davon bei jedem WLAN-Router immer ein eigenes Passwort vergeben.
(Quelle: http://www.heise.de/security/meldung/TP-Link-Router-mit-vorhersehbarem-Standard-WLAN-Passwort-308548[..]

 

Anschlussmissbrauch durch schwerwiegende Lücke bei

Seit über einem Jahr versucht o2 eine Schwachstelle im DSL-Netz zu schließen, durch die man fremde VoIP-Anschlüsse kapern kann. Bisher ist das nur zum Teil gelungen.
Eine Schwachstelle im DSL-Netz von o2 erlaubt es Angreifern, die Telefonanschlüsse der Kunden zu kapern und etwa teure Auslandstelefonate zu führen. Dies berichtet c't in der Ausgabe 2/16. Die Schwachstelle ist o2 bereits seit Herbst 2014 bekannt, vollständig in den Griff bekommen hat sie der Provider allerdings bis heute nicht.
Zufallsfund
Der Aachener Sicherheitsforscher Hanno Heinrichs hat die Lücke zufällig entdeckt: Er suchte einen Weg, die VoIP-Zugangsdaten seines o2-Anschlusses herauszufinden, die der Provider nicht an seine Kunden herausgibt. o2 verteilt diese Daten über das Konfigurations-Protokoll TR-069 an die Router. Heinrichs analysierte den Datenaustausch und entwickelte schließlich einen rudimentären TR-069-Client, der die Zugangsdaten beim sogenannten "Auto Configuration Server“ (ACS) des Providers abholte und im Klartext darstellte. Ihm fiel bei seiner Arbeit auf, dass der Router initial die externe IP-Adresse des Kunden an den ACS überträgt – das ist eigentlich unnötig, schließlich kennt der Server die Absender-IP ohnehin.
Authentifizierung durch IP-Adresse
Auch Heinrichs Client übertrug die IP an o2. Als der Forscher einmal vergaß, die vom Client übertragene IP nach einer Zwangstrennung anzupassen, erhielt der Client vom ACS die VoIP-Zugangsdaten eines anderen Kunden, dem die eingestellte IP offenbar inzwischen zugeteilt wurde. Heinrichs setzte anschließend die IP eines eingeweihten Bekannten ein, der ebenfalls bei o2 ist und erhielt prompt dessen Zugangsdaten. Heinrichs konnte mit den Daten problemlos auf Rechnung seines Bekannten telefonieren. Um das Problem verifizieren zu lassen, wandte er sich an c't. Uns gelang es auf Anhieb, mehrere Testanschlüsse zu übernehmen.
Problem teilweise gelöst
Nachdem das ganze Ausmaß des Problems klar geworden war, informierte der Forscher im Oktober 2014 den Provider o2. Das Unternehmen versprach, die Lücke zu schließen und bat darum, mit der Veröffentlichung der Informationen zu warten. Tatsächlich war es schon am gleichen Tag nicht mehr möglich, die Zugangsdaten fremder Anschlüsse anzurufen. Ein Teilaspekt bekam das Unternehmen allerdings bis heute nicht in den Griff: Über TR-069 ist es im lokalen Netz des Kunden nach wie vor möglich, die VoIP-Zugangsdaten abzurufen. Ein Schädling oder ein böswilliger Nutzer könnte sich also Zugriff auf Daten verschaffen und den Telefonanschluss an einem anderen Ort einrichten.
Im Dezember 2015 baten wir die O2-Mutter Telefónica um eine Stellungnahme zu den Ereignissen – also über ein Jahr, nachdem das Unternehmen über das Sicherheitsproblem informiert wurde. Einige Tage später meldete sich das Unternehmen mit der Bitte, die Veröffentlichung um mehrere Monate zu verschieben. Das Unternehmen erklärte, dass einige Hunderttausende Anschlüsse im DSL-Netz von O2 aus der Ferne angreifbar waren – nämlich jene mit VoIP-Telefonie. Ein Missbrauch der Lücke habe bislang nicht stattgefunden, was durch ein "verschärftes“ Monitoring" sichergestellt werden konnte. Der verbleibende Angriffsvektor im lokalen Netz soll im ersten Quartal 2016 eliminiert werden.

(Quelle: http://www.heise.de/security/meldung/Anschlussmissbrauch-durch-schwerwiegende-Luecke-bei-o2-3066225.[..]

 
 
Netzwerk | Viren Problem | Microsoft | Avira | Nürnberg | Server | Exchange | Typo3 | Office | Fujitsu | Fürth | EDV Problem | Netzwerktechnik | Datensicherung | Datenrettung | Erlangen | EDV Hilfe | Notebook | Hyper-V | Virtualisieren | Suchmaschinenoptimierung | Acronis | Schwabach | Webdesign | Outlook | Windows 8 |
Eibach Reichelsdorf Katzwang Schweinau Gartenstadt Stein Sündersbühl Schwabach Roth Erlangen Fürth Kornburg Wendelstein Zirndorf Mühlhof Regelsbach Büchenbach Gerasmühle Johannis Langwasser Neusses