Schlagwort: erpresser

Windows: Veraltetes Netzwerkprotokoll deaktivieren
Dass auf vielen Windows Computern immer noch veraltete Netzwerkprotokolle ihren Dienst versehen, bewies vor einem halben Jahr (im Mai 2017) die Erpresser-Software WannaCry sehr eindrucksvoll. Er infizierte Windows-Rechner, die einen bestimmten Sicherheitspatch noch nicht erhalten hatten. Als Hintertür nutzte WannaCry das veraltete Netzwerkprotokoll SMB 1.o, dass immer noch auf vielen Rechnern vorhanden ist.
Dieses Protokoll, dass für die Übertragung von Dateien verantwortlich ist, lässt sich mit ein paar Mausklicks schnell deaktivieren. Das ist – mal abgesehen von Windows XP – kein Problem, denn bereits seit Windows Vista nutzt das Betriebssystem eine neuere Version.
Zum Abschalten startest du die Systemsteuerung und navigierst zu Programme | Programme und Funktionen. Anschließend klickst du im linken Bereich auf die Option Windows-Funktionen aktivieren oder deaktivieren, die sich dann in einem neuen Dialogfenster öffnet.
Hier werden alle auf dem Computer verfügbaren Features aufgelistet. Suche den Eintrag SMB 1.0/CIFS File Sharing Support, entferne das Häkchen aus der Checkbox und bestätige die Änderung mit dem Button OK.
Damit ist dieses Netzwerkprotokoll abgeschaltet und kann keinen Schaden mehr anrichten.
Hinweis
Wenn du bei den Windows-Funktionen den Eintrag SMB 1.0/CIFS File Sharing Support nicht findest, dann ist das Protokoll auf deinem PC nicht mehr aktiv.
Schutz vor den Kryptotrojanern Petya und Bad Rabbit
Krypto-Trojaner verschlüsseln Dateien und ganze Festplatten. Man erhält dann mit der Lösegeldforderung einen Link mit Zahlungsanweisungen der meist ins Darkweb führt. Wegen dieser Lösegeldforderungen bezeichnet man diese Trojaner auch als Ransom-Ware. Bereits im Juli 2017 haben wir darüber berichtet, wie Petya 2 daran gehindert werden kann, eine alte Sicherheitslücke zu benutzen. Es gibt aber auch noch eine andere Möglichkeit, die man auch gegen den zur Zeit grassierenden Bad Rabbit einsetzen kann.
Auf keinen Fall Lösegeld zahlen
Für Computer die von einem Krypto-Trojaner befallen sind, gibt es kaum eine Möglichkeit die Daten wieder zu entschlüsseln. Auch nach Zahlung des Lösegelds ist nicht garantiert, dass du wieder Zugriff auf deinen Rechner bekommst. Vielmehr ist damit zu rechnen, dass einmal befallene Computer wiederholt Opfer der Ransom-Ware werden.
Gratis-Schutz
Um sich vor Petya, NotPetya, SortaPetya und Bad Rabbit zu schützen, kann man den eigenen Rechner als C&C-Server (Comand and Control-Server) tarnen.
Bei Bad Rabbit besteht sogar eine kleine Chance nach der Infizierung noch Gegenmaßnahmen einzuleiten. Verschiedene Quellen berichten über eine Zeitspanne von zirka 15 Minuten. Da muss man blitzschnell handeln.
Damit der Computer sich möglichst schnell als C&C-Server tarnen kann, lädst du dir auf der Seite von Github die Batchdatei Stop BadRabbit herunter. Diese ZIP-Datei ist kostenlos. Entpacke sie und starte die stop_badrabbit.bat per Rechtsklick mit Administratorrechten.
Dadurch werden insgesamt fünf Dateien erstellt. Zwei für Bad Rabbit und drei um die Petya´s zu blockieren.
Für Bad Rabbit werden cscc.dat sowie infpub.dat angelegt und für Petya die Dateien perfc.dll, perfc.dat und perfc.
Installierte Dateien wieder entfernen
Der einzige Nachteil der Batchdatei ist das Fehlen einer Löschfunktion, die diese Einträge bei Bedarf ebenso einfach wieder entfernen kann. Möchtest du später einmal die fünf Dateien löschen, dann muss du das manuell über den Windows Explorer erledigen. Du findest sie im Verzeichnis von C:\Windows.
CryptoLocker ist wieder da. Diesmal erpresst er Geld für die Freischaltung von Spielen.
Der Erpresser-Trojaner CryptoLocker ist seit ein paar Wochen wieder verstärkt aktiv. Diesmal erpresst die neue Variante des CryptoLocker Geld von Spielern. Er sperrt auf dem Rechner befindliche Games und fordert einen Betrag der in Bitcoin zu zahlen ist. Erst danach sollen die Spiele wieder freigegeben werden. Ob das aber wirklich geschieht, ist auch diesmal nicht sicher. Sicher ist nur, dass Online-Games ebenso betroffen sind wie Single-Player-Spiele. Aber es gibt auch schnelle Hilfe für die befallenen Computer.
Die Dienste FireEye und Fox IT bieten die Entschlüsselung von CryptoLocker befallenen Dateien kostenlos an.
Du gibst auf der Webseite www.decryptcryptolocker.com deine E-Mail-Adresse ein und lädst die befallene Datei über den Button Choose File zu dem Onlinedienst hoch.
Danach erhälst du einen Freischalt-Code, sowie einen Link zum Recovery Programm, mit denen du dann die befallenen Spiele-Dateien säubern kannst.
Wie auch in der Vergangenheit, so ist auch in diesem Fall eine Sicherheitslücke im Flashplayer für die Verbreitung des CryptoLocker-Trojaners verantwortlich. Daher ist es immens wichtig, den Flashplayer immer auf dem aktuellsten Stand zu halten.
Schutz gegen gefälschte Antivirenprogramme wie „Windows Expert Console“ alias „Cleaner.exe“
Nach einer längeren Ruhephase treten jetzt wieder häufiger Lösegeld-Trojaner als gefälschte Antivirenprogramme auf. Die Verbreitung dieser Erpressertools ist sogar aggressiver als in der Vergangenheit. Ein gutes Beispiel ist die „Windows Expert Console“ beziehungsweise „Cleaner.exe“. Mit dem „Panda Cloud Cleaner“ können Sie diese Erpresser wieder loswerden. Es gibt sogar für komplett blockierte Computer eine über USB-Sticks bootfähige Version.
Verschiedene Verbreitungswege
Die Schadsoftware wird über verschiedene Kanäle verbreitet. Zum einen sind es infizierte Webseiten, die Sicherheitslücken Ihres PC`s ausnutzen, zum Anderen verbreitet sich der Schädling über infizierte Anhänge von E-Mails oder durch Links auf infizierte Webseiten.
So funktioniert die Erpressung
Gerät man auf eine infizierte Webseite, oder hat man den entsprechenden E-Mail-Anhang geöffnet, bleibt einem keine Zeit mehr um Gegenmaßnahmen zu ergreifen. Die Installation ist nach wenigen Sekunden erfolgt und der Rechner startet neu. Natürlich hat er dann mehrere Schadprogramme gefunden und bietet deren Löschung an. Eine Rückkehr zum Desktop oder anderen Programmen ist dann nicht mehr möglich. Klicken Sie dann auf „Alles löschen“ werden Sie aufgefordert eine Lizenz-Gebühr in Höhe von 99 Dollar zu zahlen.
„Panda Cloud Cleaner“ kostenlos herunterladen
Auf der Webseite www.pandasecurity.com/germany/homeusers/support/tools.htm können Sie das Desinfektionstool herunterladen. Können Sie noch auf Ihren Computer zugreifen, dann klicken Sie auf den Button „Download“ des „Panda Cloud Cleaner“. Ist kein PC-Zugriff mehr möglich, dann laden Sie die bootfähige Version „Panda Cloud Cleaner – USB scan“ herunter.
Das Programm startet nach der Installation von selbst, der Scan aber erst mit einem Mausklick auf die Schaltfläche „Accept and Scan“.
Als erstes aktualisiert sich das Tool und startet dann die Analyse.
Nach dem Scan-Vorgang werden die Ergebnisse in einer Zusammenfassung angezeigt. Klicken Sie auf den rechten Pfeil um die entsprechenden Details einzusehen. Mit der Schaltfläche „Clean“ werden alle schädlichen Einträge endgültig entfernt. Normalerweise ist anschließend ein Computerneustart erforderlich.
Gleichwertige Alternativen zum „Panda Cloud Cleaner“
Wer noch nach Alternativen zum „Panda Cloud Cleaner“ sucht, der kann zum Tool „Anti Malware Free“ von Malwarebytes greifen. Auch das Tool „Hitman Pro“ von Botfrei.de ist empfehlenswert.
Mit “Crypto Prevent” schützen Sie sich vor dem Erpresservirus “Cryptolocker”
Egal welcher Erpresser-Virus, die Vorgehensweise ist immer gleich: Man öffnet eine unverdächtige Datei, der Virus installiert sich unbemerkt und gibt anschließend Ihre Daten erst dann frei, wenn Sie den geforderten Betrag an die Gangster überwiesen haben. Auch nach Zahlung des Lösegelds ist es aber leider nicht sicher, ob Sie Ihre Daten wieder zurück erhalten. Der Anbieter „FoolishIT“ verspricht mit seinem Programm „CryptoPrevent“ wirksamen Schutz gegen den fiesen Erpresser „Cryptolocker“.
Erpresst Lösegeld und gibt die Daten doch nicht frei
Fies ist er deshalb, weil „Cryptolocker“ sich nicht nur auf lokalen Festplatten, wie der Systemfestplatte, sondern auch in allen angeschlossenen USB-Speichermedien einnistet. Das und die 2048 Bit AES-Verschlüsselung unterscheidet ihn im Wesentlichen von anderen Erpresser-Viren und macht ihn so bösartig.
Erster Schutz: USB-Backup-Festplatten vom PC trennen
Generell gilt es, regelmäßige Backups der wichtigsten Daten anzulegen. Dies reicht im Fall von „Cryptolocker“ nicht aus, da er bekannterweise auch externe Speichermedien infiziert. Daher sollten Backups auf externen Festplatten erfolgen, die anschließend vom Computer wieder getrennt werden können.
Zweite Schutzmaßnahme: Vorbeugen mit „CryptoPrevent“
Um das kostenlose Schutzprogramm „CryptoPrevent“ herunterzuladen, rufen Sie die Webseite „http://www.foolishit.com/vb6-projects/cryptoprevent/cryptoprevent-auto-update/“ auf und klicken auf die blaue Schaltfläche „Download CryptoPrevent Installer“. Folgen Sie dann den Download- und Installationsanweisungen.
Lassen Sie sich nicht von dem angezeigten Preis (19,95 USD) irritieren. Während der Installation beantworten Sie die beide Meldungen der Premium Version mit „Nein“.
Beim Start von „CryptoPrevent“ erstellt das Tool mehrere Gruppenrichtlinien, um beispielsweise „%appdata%“ (= Anwendungsverzeichnis) vor dem Zugriff von „Cryptolocker“ zu schützen. Bestätigen Sie das Dialogfenster mit dem Button „Apply“ und starten Sie Ihren Computer neu.
Damit ist Ihr System komplett geschützt.
Einen Nachteil hat „CryptoPrevent“ aber doch: Hat sich der Schädling bereits auf Ihrem Computer eingenistet, kann „CryptoPrevent“ ihn nicht entfernen.
Kleiner Lichtblick bei erfolgter Infizierung
Sollten Sie den Trojaner bereits auf Ihrem PC haben, dann lassen Sie sich auf keinen Fall zu einer Lösegeld-Zahlung nötigen. Mit dem „Sophos Virus Removal Tool“ können Sie den Trojaner entfernen. Damit sind Ihre Daten zwar immer noch mit der sehr starken 2048 Bit AES-Verschlüsselung für Sie versperrt, die mit ein wenig Glück mit einer Brute-Force-Attacke von „Panda Ransomware Decrypt“ geknackt werden kann.
Beide Programme erhalten Sie kostenlos im Web, zum Beispiel bei Chip.de.