Krypto-Trojaner, Viren - Schutz durch Awareness

12.5.2016 Die Vortrags-Videos der letzten ZKI-Tagung zum Thema IT-Sicherheit sind jetzt online verfügbar: https://mportal.europa-uni.de/category/zki-fruehjahrstagung-2016/24 

3.3.2016: Derzeit wird die HNE durch Schadsoftware bedroht, die überwiegend per Email in unser Netz gelangt. Dabei wird aus dem Internet ein sogenannter Krypto-Trojaner geladen, der sofort damit beginnt, alle wichtigen Dateien zu verschlüsseln und damit unbrauchbar zu machen. Das macht er nicht nur auf dem lokalen Computer, sondern auf allen zugänglichen Netzwerklaufwerken!

Für die Entschlüsselung wird eine Geldzahlung verlangt. Es ist derzeit nicht möglich, die Daten wieder zu entschlüsseln. Sie sind verloren!

Infoveranstaltung Awareness

Die Hochschulleitung hat für Beschäftigte eine verpflichtende Teilnahme an einer Infoveranstaltung zum Thema IT-Sicherheit vorgeschrieben. Diese fanden jetzt 3-mal statt. Im Folgenden die Links zu den empfohlenen Webseiten oder Tools.

Informationen

• https://www.verbraucherzentrale.nrw/phishing
• https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/BeispielePhishingAngriffe/beispielephishingangriffe_node.html
• http://www.heise.de/thema/Ransomware
• https://www.youtube.com/user/SemperVideo
• Video "What is Your Password" : https://www.youtube.com/watch?v=opRMrEfAIiI
• Video "Krypto-Trojaner locky": https://www.youtube.com/watch?v=331Fzhc_6nM

Tools

Besonderheiten an der HNEE

• wir haben durchgängig Microsoft Windows und Microsoft Office im Einsatz
• wir haben hochschulweit automatisch verbundene Netzwerklaufwerke (P: und S: sowie Gruppenlaufwerke)

Die Schadsoftware nutz mehrere Verbreitungswege und ist da sehr flexibel. Die ersten Fälle kamen in Form einer perfekt gestalteten Rechnung eines Büromarktes als Worddokument mit Makros. Nutzer können und müssten die Makros am Computer manuell aktivieren. Danach wurde der eigentliche Ransomware-Virus aus dem Intrenet geladen.

Es können aber auch Excel-Tabellen mit Makros sein, die den Schadcode laden. In jüngeren Fällen versicherten uns die Betroffenen, dass kein Anhang geöffnet wurde, so dass inzwischen auch das reine Betrachten einer Email oder infizierten Webseite als Einfallstor angenommen werden muss.

Das Problem bei den Email-Angriffen ist auch, dass oftmals dem Empfänger bekannte Namen im Absender stehen. Dahinter verbirgt sich (noch) zwar eine fremde Emailadresse, aber die ist in Outlook auf den ersten Blick nicht zu erkennen.

 Es wurden auch schon Mitarbeiter von vermeintlichen Microsoft-Mitarbeitern angerufen, die sich so Zugang zum Computer verschaffen konnten. Auch per Email verschickte Warnungen des BKA enthalten den Schadcode. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hier gut erklärt, was Trojaner sind, und wie man sich schützen kann.

Beispiele

Wir hatten bereits viele Vorkommnisse. Beim ersten Mal konnte ein Notebook, das an einem Wochenende wegen Updates eingeschaltet blieb, nahezu das gesamte Laufwerk S: mit allen Unterlagen der Fachbereiche und Studiengänge, dem Austauschverzeichnis und einigen Projektverzeichnissen verschlüsseln. Am Montag musste eine Datensicherung vom Freitag eingespielt werden. Das S-Laufwerk wurde mehrmals verschlüsselt, jedoch war die Ausbreitung durch früheres Erkennen der Bedrohung eingeschränkt.

Mehrere Notebooks und PCs wurde komplett verschlüsselt, so dass alle nur darauf gespeicherten Daten verloren waren. 

Schutz- und Vorsichtsmaßnahmen

Es sind dies mehrere Dinge, die Sie oder wir machen können, um uns zu schützen. Vorsicht und Misstrauen sind derzeit gute Ratgeber.

Maßnahmen des ITSZ:

• von allen Netzwerklaufwerken (zentrale Speicher, Laufwerk P:, S: und andere) wird alle 2 Stunden ein Snapshot gespeichert, der länger als eine Woche aufgehoben wird. 
• der auf allen Computern installierte Virenscanner wurde verschärft, so dass die Ausführung von Programmen in Temp- oder Download-Ordnern nicht mehr möglich ist und ungewöhnliches Verhalten rechtzeitig blockiert wird.
• die hochschulweit ständig verbundenen Windows-Netzwerklaufwerke wird eingeschränkt. So wird das Austauschverzeichnis nahezu verschwinden, wie auch andere selten benutzte Ordner. Eine Alternative kann hier Emma+ sein.
• Unser Spamfilter blockiert Emailanhänge mit Office-Anhängen, die Makros enthalten

Eigene Maßnahmen:

Eine weitere Schutzmaßnahme wäre das generelle Deaktivieren von Scripts "Active Scripting" in Emails und im Internet Explorer. Da dadurch eine sinnvolle Arbeit im Internet kaum mehr möglich ist, würden wir das bei IE nicht unbedingt empfehlen, weil das Eintragen nötiger Ausnahmen doch sehr aufwändig ist. Ansonsten geht das so:

• · Internet Explorer starten.
• · Klicken Sie in der Adresszeile auf das Symbol extras
• · Internetoptionen und dann Register Sicherheit.
• · Button Stufe anpassen…
• · Scrollen Sie zum Abschnitt Scripting.
• · Prüfen Sie ob Active Scripting deaktiviert

(Für den Firefox-Browser ist allerdings die Erweiterung NoScript zu empfehlen: Infos vom Hersteller hier )

Aktivierung von "Active Scripting" für Webmail (Outlook Web Access) und Emma+ im Internet Explorer

1. öffnen Sie im Internet Explorer die Scriptaktive Webseite

2. Klicken Sie auf das Zahnrad rechts oben für Einstellungen

3. Reiter „Sicherheit“ → klick auf „Vertauenswürdige Sites“ und danach „Sites“

4. die aktuelle URL wird zum Hinzufügen angeboten → „Hinzufügen“ klicken