Cryptolocker
Heute im Gespräch mit Ransomware-Experte Petar Kosic (alias Hetti) zum Thema Cryptolocker. Was ist das eigentlich? Was tun die genau? Wie kann ich mich (und andere!) schützen? Und was ist zu tun, wenn es wirklich mal soweit kommen sollte?
Musik: Adam Selzer, „Vintage News“
Shownotes:
Links:
Hetti auf Twitter
Demo-Talk zu Cryptolockern
CCC e.V.
Chaos Computer Club Wien (C3W)
Barbara Wimmers Talk „Best of IoT Fails“
cryptoparty.at – Cryptoparties in Wien, Graz, Dornbirn, Innsbruck, Salzburg und Steyer
Cryptoparty Berlin
Cryptoparties in Deutschland
Owncloud (bzw. Nextcloud) – eine selbstgehostete Dropboxalternative (Beim Webhoster nachfragen, ob es dafür ein Angebot gibt. Sonst befreundeten Nerd fragen.)
Ubuntu Linux
Debian Linux
Notizen:
Auf einer Texterinnen Mailingliste habe ich vor einer Weile gelesen: „OMG, Cryptolocker!!! Dagegen ist kein Kraut gewachsen!!!“ Nunja … Wenn es mal auf Deinem Rechner und/oder in Deinem Haus (Glühbirne, SmartMeter, Fernseher, Blutdruckmesser, Waage, Kaffeemaschine, Smartphone, Salzstreuer, …) ist, ist halt Scheiße. Bis dahin ist aber eine ganze Menge, was man tun kann. Level 1: Backups machen.
Es kann nämlich sein, dass durch Cryptolocker Daten auch unwiederbringlich verschlüsselt werden und nicht wiederherstellbar, also endgültig futsch sind.
Backups machen hilft.
Die bislang großen Cryptolocker-Wellen 2017:
#wannacry
#nopetya
-> Dominoeffekt bzw. Schneeballeffekt. Infizierte Rechner geben den Virus an den nächsten weiter.
Diese nutzen Sicherheitslücken (0days*) aus, die von staatlichen Stellen oft jahrelang geheimgehalten werden, um damit staatliche Schadsoftware wie den oft angeführten Staats- oder Bundestrojaner zu bauen und einzusetzen. Diese Sicherheitslücken machen nicht einen Staat sicherer, sondern die ganze Welt unsicher, wie man am Ausbruch von #wannacry gesehen hat, wo Krankenhäuser ebenso down waren wie Anzeigetafeln der Deutschen Bahn, Rechtsanwaltskanzleien, Universitätsbibliotheken, NGOs, Privatpersonen, …, alle, die Systeme mit den entsprechenden Lücken im Einsatz hatten.
* Ein 0day ist eine Sicherheitslücke, bei der seit ihrem Bekanntwerden 0 Tage vergangen sind. Also „frisch veröffentlichte“ Sicherheitslücken, bei denen auch die Hersteller genau jetzt erfahren und erst jetzt die Chance haben, sie zu fixen.
Das Problem: Alle Dinge sind mittlerweile Rechner und kompromittierbar / anfällig für Viren. Das Internet of Things birgt aktuell mehr Gefahren, als es Nutzen bringt.
Beispiel: Mirai Netzwerk
Was genau passiert denn nun bei diesen Cryptolockern?
Cryptolocker, Cryptotrojaner, Ransomware: Durch eine Sicherheitslücke gelangt der Virus auf den Rechner. Dort beginnt er, Daten zu verschlüsseln und es wird Lösegeld gefordert, um sie wieder entschlüsseln zu lassen. Dieses Geschäftsmodell scheint durchaus einträtlich zu sein. Daher der dringende Rat: sollte es zu einem Vorfall kommen, nicht zahlen!
Was hilft?
– Updates machen.
– Flash Player ausschalten.
– Backups anlegen und aktuell halten.
– eMail Anhänge (insbesondere von Fremden) nicht öffnen
– Makros in MS Office Produkten deaktivieren, niemals ausführen
Sicherere Alternativen zu Mailanhängen:
1) Owncloud oder eigener Webhost, passwortgeschützt das File sharen, Link und Passwort separat schicken
2) Files übertragen via verschlüsseltem Messenger (Signal, Threema, …)
3) sauberer (!) USB Stick
4) toter Baum
Was war das mit den USB-Sticks nochmal?
USB Sticks verstreuen ist eine gängige Praxis im Social Engineering und wird auch in Tests für/an Firmen angewendet.
-> Unbedacht angesteckte gefundene USB Sticks sind ein sehr häufig Einfallstor für Angriffe auf Firmennetzwerke.
Virenscanner:
Win Essentials oder Avast sind gute Nice-to-haves, aber ersetzen nicht Dein Gehirn.
Immer kritisch hinterfragen, ob die Mail oder der Anhang wirklich geöffnet werden sollte.
Linux als Alternative zum anfälligen Windows:
Ubuntu ist für Linux Einsteiger gebaut und je nach gewählter Oberfläche kaum von einer Standard Windows Installation zu unterscheiden.
Debian geht auch, ist aber etwas für Menschen mit bereits ein bisschen Erfahrung.
Aber: Scrivener für Linux wurde eingestellt. Wer startet jetzt die Petition!?!
Backups!
Haben wir schon Backups erwähnt? Backups sind NICHT optional!
Ein Backup ist mindestens eine Kopie Deiner Daten auf einer Externplatte und eine weitere unabhängige Kopie offsite / bei Freunden, im Bankschließfach, …
#wannacry – again?
Gerade diese Woche ist eine Mldung durch die Medien gegangen, dass noch immer dieselben Lücken wie für #wannacry in Hotel WLANs und in Firmen vorhanden sind und ausgenutzt werden.
– Erstens sollte man grundsätzlich keine öffentlichen WLANs verwenden, auch keine in Hotels, etc., da man nie weiß, wer alles im fraglichen Netzwerk mitliest und mitprotokolliert.
– Zweitens hat bei den meisten Firmen/Hotels/Betrieben IT nicht den Stellenwert, den sie haben sollte. Am Ende ist die Vernachlässigung der IT meist teurer als Angestellte, die sich um die Infrastruktur kümmern – Umsatzverlust, etc.
– IT Menschen / Nerds sind diejenigen, die die heutige Welt gestalten. Die, die dafür sorgen, dass Du arbeiten kannst und die Netzwerke sauber halten.
Kaffeemaschinen & Co – Internet of Shit
Kaffeemaschinen: https://malwareless.com/coffee-machine-infected-european-enterprise-network-ransomware/
IoT Fail Talk von Barbara
Dildo mit Kamera, der als Access Point agiert und eine Skypeverbindung aufbaut #whatcouldpossiblygowrong
Rule34: If it exists, there’s porn of it.
Merke: Ein hoher Preis ist kein Garant für Sicherheit.
F*CK, es ist doch passiert! Und nun?
Was kann man in der Sekunde machen?
1) Ruhe bewahren
2) Sofort den Rechner aus
3) Live-System starten (Knoppix & Co)
4) Decrypter vorhanden?
5) System komplett planieren & neu installieren
6) Backup einspielen
7) Nicht zahlen! Geld lieber in Festplatten für Backups investieren.
Für alle, denen das jetzt alles gar nichts sagt: Wendet Euch an Euren lokalen Hackerspace, befreundeten Nerd, etc und bittet dort um Hilfe. Oft kann man noch was retten, aber leider nicht immer. Daher: In jedem Fall Backups machen.
Ich schreib über hochbrisante Themen und weiß Dinge, die mir gefährlich werden könnten. Was nun?
Bedrohungsszenario für High-Profile-Targets, also Personen, die ins Visier von NSA, etc geraten sein sollten (brisante Themen recherchieren, Quellenschutz, …): Schadsoftware im BIOS, im Festplattentreiber, …
Bei einer Infektion des Rechners in dem Fall neue Festplatte lokal für Bargeld einkaufen, nicht online bestellen. System komplett neu aufsetzen.
Anmerkung: von wegen paranoid! Ersatzteile kommen durchaus auch mit vorinstallierter Malware! Und der Hetti nennt mich paranoid. Pah! 😉 -> Heise Artikel vom 17.08.2017
Ok, nochmal. Was war zu tun?
– Backups machen.
– Immer Systemupdates machen.
– Alles kritisch hinterfragen (Mails, Anhänge, USB Sticks, …)
– Rechner sofort ausschalten = vom Strom trennen
– Datenrettungsversuch via Livesystem oder befreundetem Nerd
– Decrypter suchen (lassen)
– System neu aufsetzen
– Backup einspielen
Crypto… Was?
Cryptoparties:
– In vielen Städten im deutschsprachigen Raum – ggf nach aktuellen Terminen beim lokalen Hackerspace fragen.
– Zu verschiedenen Themen vom Messenger bis System „abdichten“
– Hilfe zur Selbsthilfe
– Bring your own device – und dann vor Ort das Gerät sicherer machen
– Mailinglisten
Zum Schluss:
Wow, Du hast bis ganz zum Schluss gelesen! 🙂 Wenn Du mehr IT Themen hören möchtest und was Du als Autorin oder Autor konkret tun kannst, um Dich und Deine Leser im Netz zu schützen, schreib mir eine kurze Mail mit Deinem Wunschthema an podcast [at] zotzmann [-] koch [.] com.
Unterstützt den Vienna Writer’s Blog & Podcast