Hochschule für nachhaltige Entwicklung Eberswalde
•••
Menü

Krypto-Trojaner, Viren - Schutz durch Awareness

12.5.2016 Die Vortrags-Videos der letzten ZKI-Tagung zum Thema IT-Sicherheit sind jetzt online verfĂŒgbar: https://mportal.europa-uni.de/category/zki-fruehjahrstagung-2016/24 

3.3.2016: Derzeit wird die HNE durch Schadsoftware bedroht, die ĂŒberwiegend per Email in unser Netz gelangt. Dabei wird aus dem Internet ein sogenannter Krypto-Trojaner geladen, der sofort damit beginnt, alle wichtigen Dateien zu verschlĂŒsseln und damit unbrauchbar zu machen. Das macht er nicht nur auf dem lokalen Computer, sondern auf allen zugĂ€nglichen Netzwerklaufwerken!

FĂŒr die EntschlĂŒsselung wird eine Geldzahlung verlangt. Es ist derzeit nicht möglich, die Daten wieder zu entschlĂŒsseln. Sie sind verloren!

Infoveranstaltung Awareness

Die Hochschulleitung hat fĂŒr BeschĂ€ftigte eine verpflichtende Teilnahme an einer Infoveranstaltung zum Thema IT-Sicherheit vorgeschrieben. Diese fanden jetzt 3-mal statt. Im Folgenden die Links zu den empfohlenen Webseiten oder Tools.

Informationen

Tools

  • Cobian Backup (http://www.cobiansoft.com/cobianbackup.htm)
  • AllwaySync (https://allwaysync.com/)
  • Sandboxie (http://www.sandboxie.com/)

Besonderheiten an der HNEE

  • wir haben durchgĂ€ngig Microsoft Windows und Microsoft Office im Einsatz
  • wir haben hochschulweit automatisch verbundene Netzwerklaufwerke (P: und S: sowie Gruppenlaufwerke)
Verbreitungswege


Die Schadsoftware nutz mehrere Verbreitungswege und ist da sehr flexibel. Die ersten FĂ€lle kamen in Form einer perfekt gestalteten Rechnung eines BĂŒromarktes als Worddokument mit Makros. Nutzer können und mĂŒssten die Makros am Computer manuell aktivieren. Danach wurde der eigentliche Ransomware-Virus aus dem Intrenet geladen.

ScreenShot 100 Locky in Action - YouTube - Google Chrome

Es können aber auch Excel-Tabellen mit Makros sein, die den Schadcode laden. In jĂŒngeren FĂ€llen versicherten uns die Betroffenen, dass kein Anhang geöffnet wurde, so dass inzwischen auch das reine Betrachten einer Email oder infizierten Webseite als Einfallstor angenommen werden muss.

Das Problem bei den Email-Angriffen ist auch, dass oftmals dem EmpfÀnger bekannte Namen im Absender stehen. Dahinter verbirgt sich (noch) zwar eine fremde Emailadresse, aber die ist in Outlook auf den ersten Blick nicht zu erkennen.

bsp1

 Es wurden auch schon Mitarbeiter von vermeintlichen Microsoft-Mitarbeitern angerufen, die sich so Zugang zum Computer verschaffen konnten. Auch per Email verschickte Warnungen des BKA enthalten den Schadcode. Das Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) hat hier gut erklĂ€rt, was Trojaner sind, und wie man sich schĂŒtzen kann.

Beispiele

Wir hatten bereits viele Vorkommnisse. Beim ersten Mal konnte ein Notebook, das an einem Wochenende wegen Updates eingeschaltet blieb, nahezu das gesamte Laufwerk S: mit allen Unterlagen der Fachbereiche und StudiengĂ€nge, dem Austauschverzeichnis und einigen Projektverzeichnissen verschlĂŒsseln. Am Montag musste eine Datensicherung vom Freitag eingespielt werden. Das S-Laufwerk wurde mehrmals verschlĂŒsselt, jedoch war die Ausbreitung durch frĂŒheres Erkennen der Bedrohung eingeschrĂ€nkt.

Mehrere Notebooks und PCs wurde komplett verschlĂŒsselt, so dass alle nur darauf gespeicherten Daten verloren waren. 

Schutz- und Vorsichtsmaßnahmen

Es sind dies mehrere Dinge, die Sie oder wir machen können, um uns zu schĂŒtzen. Vorsicht und Misstrauen sind derzeit gute Ratgeber.

Maßnahmen des ITSZ:

  • von allen Netzwerklaufwerken (zentrale Speicher, Laufwerk P:, S: und andere) wird alle 2 Stunden ein Snapshot gespeichert, der lĂ€nger als eine Woche aufgehoben wird. 
  • der auf allen Computern installierte Virenscanner wurde verschĂ€rft, so dass die AusfĂŒhrung von Programmen in Temp- oder Download-Ordnern nicht mehr möglich ist und ungewöhnliches Verhalten rechtzeitig blockiert wird.
  • die hochschulweit stĂ€ndig verbundenen Windows-Netzwerklaufwerke wird eingeschrĂ€nkt. So wird das Austauschverzeichnis nahezu verschwinden, wie auch andere selten benutzte Ordner. Eine Alternative kann hier Emma+ sein.
  • Unser Spamfilter blockiert EmailanhĂ€nge mit Office-AnhĂ€ngen, die Makros enthalten

Eigene Maßnahmen:

  • Öffnen Sie keine Email-AnhĂ€nge von verdĂ€chtigen Emails (insbesondere Word- oder Exceldateien)
  • Sichern Sie wichtige Daten vom Notebook oder eigenen Computer auf einer externen Festplatte (60€ 1TB, 83€ 2 TB). Es gibt kostenfreie bzw. preiswerte  Synchronisationstools, wie allwaysync, die nach einer gewissen Konfiguration nach dem Anstecken der externen Festplatte selbsttĂ€tig sichern. Danach die Festplatte unbedingt wieder trennen! Oder Sie benutzen ein Backupprogramm wie z.B. Cobian.
  • Geben Sie niemanden und nirgends Ihre Anmeldedaten der Hochschule! Wir werden Sie NIEMALS nach Ihrem Kennwort fragen. 
  • Klicken Sie  NIEMALS einen Link in einer Email, der zu einer Webseite fĂŒhrt, die Anmeldedaten verlangt! Tippen Sie stattdessen die URL des Servers selbst ein und gehen die Ihnen bekannten Wege um etwas zu öffnen (z.B. Webmail a.k.a. Outlook Web Access)
  • Zweifelhafte Webseiten mit viel Werbung meiden und Emails mit schlechtem Deutsch generell löschen!
  • Immer erst Nachdenken, bevor Sie irgendetwas am Computer machen. Im Zweifel rufen Sie lieber unsere Hotline (03334) 657 272 an.

Eine weitere Schutzmaßnahme wĂ€re das generelle Deaktivieren von Scripts "Active Scripting" in Emails und im Internet Explorer. Da dadurch eine sinnvolle Arbeit im Internet kaum mehr möglich ist, wĂŒrden wir das bei IE nicht unbedingt empfehlen, weil das Eintragen nötiger Ausnahmen doch sehr aufwĂ€ndig ist. Ansonsten geht das so:


  • · Internet Explorer starten.
  • · Klicken Sie in der Adresszeile auf das Symbol extras
  • · Internetoptionen und dann Register Sicherheit.
  • · Button Stufe anpassen

  • · Scrollen Sie zum Abschnitt Scripting.
  • · PrĂŒfen Sie ob Active Scripting deaktiviert

(FĂŒr den Firefox-Browser ist allerdings die Erweiterung NoScript zu empfehlen: Infos vom Hersteller hier )

Aktivierung von "Active Scripting" fĂŒr Webmail (Outlook Web Access) und Emma+ im Internet Explorer

  1. öffnen Sie im Internet Explorer die Scriptaktive Webseite

  2. Klicken Sie auf das Zahnrad rechts oben fĂŒr Einstellungen

  3. Reiter „Sicherheit“ → klick auf „VertauenswĂŒrdige Sites“ und danach „Sites“

  4. die aktuelle URL wird zum HinzufĂŒgen angeboten → „HinzufĂŒgen“ klicken

ausnahmeScript