Achtung Brain.exe beim Mailverkehr starten

[günni]

Moin,
das Lukaskrankenhaus in Neuß wurde von Ransomware erwischt. Das war Gestern im EVK Düsseldorf Grund für eine Schriftliche Warnung an alle Stationen.
Also Vorsicht bei allen Links und Dateianhängen in Euren Mails.

Auszug aus der Mail vom CERT-NRW:

Bei einer erfolgreichen Infektion werden die Laufwerke des PCs und der eingebundene Netzlaufwerke verschlüsselt. Die Verschlüsselung ist nicht rückgängig zu machen. Regelmäßige Datensicherungen helfen den Datenverlust zu begrenzen.



Aktuelle Virenscanner können diese Schadsoftware unter Umständen noch nicht entdecken und Sie somit nicht schützen. Prüfen Sie daher bitte genau, ob eine empfangene E-Mail mit Anlage von einem vertrauenswürdigen Absender stammt und fragen Sie im Zweifelsfall beim Absender nach. Hinterfragen Sie insbesondere Anlagen, dessen Dateitypen Ihnen unbekannt erscheinen. Generell sollten Sie auf keinen Fall Nachrichten von unbekannten Absendern öffnen, soweit dies Ihre Dienstgeschäfte zulassen.

Siehe Heise.de

Express.de

WDR

[Datterich]

Regelmäßige Datensicherungen helfen den Datenverlust zu begrenzen. ... Prüfen Sie daher bitte genau, ob eine empfangene E-Mail mit Anlage von einem vertrauenswürdigen Absender stammt und fragen Sie im Zweifelsfall beim Absender nach. Hinterfragen Sie insbesondere Anlagen, dessen Dateitypen Ihnen unbekannt erscheinen. Generell sollten Sie auf keinen Fall Nachrichten von unbekannten Absendern öffnen, soweit dies Ihre Dienstgeschäfte zulassen.

Ja - und? Das gilt doch schon seit über einem Jahrzehnt, war immer schon richtig und wird auch in Zukunft noch wesentlich richtiger sein. Schweinehunde als Mailversender wird es immer geben und DAUs als Empfänger und Sofortöffner und Schnellklicker wird es auch immer geben. Wobei das Anklicken / Öffnen von unbekannten Anlagen bei empfangenen Mails noch wesentlich bescheuerter und gefährlicher ist. Die Dummen werden niemals aussterben, und das hier beschriebene Problem ebenfalls nicht, leider.

Freundliche Grüße an alle Virenscanner
Datterich

[günni]

Moin,
ja, Datensicherung wird gerne vernachlässigt. In meiner Verwandtschaft habe ich mal verdächtige Geräusche einer Festplatte vernommen und eine sofortige Datensicherung empfohlen. Nach einer Woche kam man an und fragte mich nach Datenrettung. Natürlich hatte man meine Empfehlung zur sofortigen Sicherung auf die lange Bank geschoben. Das war es mit den Daten. Ich konnte nicht mehr helfen, das hätte ein professionelles Labor übernehmen müssen und das ist nicht billig.

[Datterich]

Wobei der oben von Dir beschriebene GAU so einfach durch "manchmal" Datensicherung auch nicht zuverlässig vermeidbar sein soll. Ich habe gelesen, dass der clever entwickelte Verschlüsselungs-Computervirus nach Aktivierung erst einmal eine bestimmte Zeit (mehrere Tage) nichts macht und still abwartet, um erst dann zu verschlüsseln. Das bedeutet, dass zumindest die letzten aktuellen Datensicherungen bereits mit der Schadsoftware verseucht sind, und es somit eigentlich immer mehr darauf ankommt, derartige Probleme durch überlegtes Handeln und Brain.exe grundsätzlich zu vermeiden.

Ich würde ja gerne mal wissen, wie extrem hoch die Dunkelziffer an gewerblich befallenen Anlagen ist, da ist die von günni erwähnte Klinik nur die Spitze eines Eisberges.

Freundliche Grüße an alle Datensicherer
Datterich

[günni]

Moin,

Ich habe gelesen, dass der clever entwickelte Verschlüsselungs-Computervirus nach Aktivierung erst einmal eine bestimmte Zeit (mehrere Tage) nichts macht und still abwartet, um erst dann zu verschlüsseln.

dass bei Schadcode z. B. ein Zeittrigger eingebaut sein kann, ist nichts Neues. Das gab es schon 1991.
Siehe Michelangolo-Virus
Datenverschlüsselung durch einen Virus gab es schon zu DOS-Zeiten (1994). Siehe Onehalf

PS: der erste "Virus" wurde 1983 von Frederick B. Cohen geschrieben.

[Bernd W.]

...
Ich würde ja gerne mal wissen, wie extrem hoch die Dunkelziffer an gewerblich befallenen Anlagen ist, da ist die von günni erwähnte Klinik nur die Spitze eines Eisberges.

Welche Behörde. Firma spricht da schon gerne drüber.
In Summe muss man feststellen, das DAUS sehr erfinderisch sind die Admins aus zu tricksen, aber wir schlafen nicht
Vielfach ist es aber einfach Dummheit, Gutgläubigkeit und Naivität.
Manchmal werden sogar Tickets beim User Help Desk geöffnet weil man Mail Anhänge nicht öffnen kann. Wobei man beim Betreff und der Mail schon erkennen kann, das da was nicht stimmt.

Gruß,
Bernd

[günni]

Moin,
eigentlich sollten Admins die ComputerBild lesen. So sind sie schon im Vorfeld auf die neuesten Ideen der User vorbereitet.

Im Ernst: Alle Wechsellaufwerke sowie USB sperren. Im Mailbereich mit Black- und Whitelist arbeiten wobei ausführbare und verschlüsselte, sowie mit Passwort versehene Dateien grundsätzlich blockiert werden. Und und und

[Feuer-wer]

Wenn es so einfach wäre... mein Brötchengeber hatte lange Zeit für den VPN-Zugang noch eine alte Java-Version verpflichtend auf die Privatlaptops spielen wollen...eine Beschwerde meinerseits fruchtete erst, als ich mich mit sanfter Gewalt an den Datenschutzbeauftragten gewendet habe.

Solange Flash e.a. läuft und ein fremder Server, der natürlich auf der Whitelist steht, gehackt wird, hilft brain.exe leider auch nicht. PCs sind doch per definitionem (zumindest unter Windows) unsicher.

Der 20 Jahre alte Spruch "Wer einen Rechner ans Internet hängt, ist selber schuld" gilt heute und bestimmt die nächsten Jahre unverändert.

Skynet, bitte übernehmen sie die Kontrolle.

[writeln]

Das muss wohl so einer gewesen sein.
Wow! Man hat sich nicht einmal die Mühe gemacht, die exe zu zippen...

[Datterich]

Wozu denn die Mühe machen? Es werden auch so genügend Empfänger wieder drauf tippen - was will man mehr?


Unfreundliche Grüße an alle Halunken und Schweinehunde
Datterich

[writeln]

...sollen wir für´s MFM noch eine Anmeldung.exe programmieren?

[Datterich]

.... ungezippt? Und jeder zehnte Anklicker bekommt gratis eine extra Currywurst aus dem 3D-Drucker?


Nö - lieber nicht, das Problem ist mir zu ernst
Datterich

[günni]

Moin,
ja, solche Mails heißen bei mir Doppel-L-Mail. (lachen dann löschen).

Wenn ich am Bitverbieger sitze und anfange zu lachen, fragt meine Frau meisten:"Na, hat es wieder mal einer versucht?"

Mitunter möchten Kollegen den Anhang haben, er wäre "dienstlich erforderlich". Natürlich verweigere ich die Weitergabe der Mail mit Hinweis auf Schadcode.

Was ich den Schadcodeprogrammieren wünsche... dagegen ist Lepra ein harmloser Schnupfen.

[Bernd 123]

Moin,

brain.exe => tolles Programm

da lass' ich meine Mails immer durchlaufen.

Bernd

[writeln]

Hm, ich bevorzuge da "Deepthought"...

[günni]

Moin,
hast Du dann auch ein Handtuch dabei?

[writeln]

Klar, das wickele ich immer um dem Bildschirm, bevor ich E-Mails abrufe. So denken die bösen Viren, sie wären noch auf dem Postweg und nicht auf meinem Rechner...

[H0-Holger]

Die meisten E-Mails mit Viren werden bei mir schon vor dem Eingang abgeblockt, weil sie nicht ausreichend frankiert sind.

[Bernd 123]

Moin,

kann hier vielleicht jemand helfen ?

Bernd

[Bernd W.]

Hallo,

zur Zeit sollte man auch bei Krankenhäusern wohl zuerst fragen wie es um die IT Sicherheit aussieht
Nicht das im OP auf einmal die Bildschirme schwarz werden.

Ein Computervirus hat die IT des Lukaskrankenhauses in Neuss infiziert. Patientendaten sollen dank Backup in Sicherheit sein. Zwei weitere Kliniken sollen auch befallen sein.
Ein als Anhang einer E-Mail verschickter Virus hat sich als hartnäckig resistenter IT-Schädling im Neusser Lukaskrankenhaus eingeschlichen. Das Krankenhaus ist derzeit nur eingeschränkt funktionsfähig, weil viele Systeme heruntergefahren wurden. Der Schädling verschlüsselt alle erreichbaren Daten und ist eine Ransomware wie TeslaCrypt 2.0. Der Schaden soll sich in Grenzen halten, da das Krankenhaus über ein zeitnahes Backup verfügt, wie der WDR berichtet.

heise online

Nicht nur in Deutschland kämpfen Krankenhäuser immer wieder gegen Verschlüsselungstrojaner. In Los Angeles ist eine Klinik seit mehr als einer Woche lahmgelegt. Die Programmierer fordern angeblich mehr als 3 Millionen US-Dollar Lösegeld.
Nicht nur mehrere deutsche Krankenhäuser leiden derzeit unter Verschlüsselungstrojanern, sondern auch das Hollywood Presbyterian Medical Center in Los Angeles.

heise online

Naja mit Schaden in Grenzen halten... Die Dasi sichert ja auch die verschlüsselten Dateien
Aber leider muss man erst schmerzhaft in den Chef Etagen spüren, das gute IT auch was kostet und nicht auf dem Grabbeltisch zu bekommen ist. Was ich da so in den letzten Jahren zu sehen bekommen habe, wie es bei einigen aufgrund des Sparzwangs aussieht, tun mir die Admins leid, die das ausbaden dürfen.

Gruß,
Bernd