Schlagwort: ransom

Windows 10: Eingabeaufforderung mit Systemrechten vor dem Login erstellen
Der Anmelde-Bildschirm bei Windows 10 enthält in der rechten unteren Ecke Symbole mit zum Ausschalten, Anzeige des Netzwerkes und die Schaltfläche für die erleichterte Bedienung. Letztere kann man durch eine Eingabeaufforderung ersetzen, die mit Systemrechten ausgestattet ist. So kann man beispielsweise Viren viel besser entfernen, die das Login oder die Administratorrechte deaktivieren.
Der Austausch der erleichterten Bedienung durch die Eingabeaufforderung wird über den Registrierungseditor vorgenommen und kann jederzeit wieder rückgängig gemacht werden.
Eingriff in die Registry erforderlich
Die Registry startest du im Dialogfenster Ausführen, das du mit der Tastenkombination [Windows][R] öffnest und hier den Befehl regedit eingibst. Dann navigierst du im Registrierungseditor zu folgendem Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options
Im Schlüssel Image File Execution Options erstellst du per Rechtsklick und Neu | Schlüssel einen Unterschlüssel mit dem Namen utilman.exe (= erleichterte Bedienung). In utilman.exe klickst du wieder mit der rechten Maustaste in den Anzeigebereich und erstellst mit Neu | Zeichenfolge einen Eintrag namens Debugger.
Öffne mit einem Doppelklick die Zeichenfolge Debugger und tippe dann im Feld Wert den Befehl cmd.exe ein. Bestätige mit OK und führe einen Computer-Neustart durch.
Debugger tauscht beide Tools aus
Wenn du jetzt im Login-Bildschirm auf das Symbol erleichterte Bedienung klickst, dann erscheint an dessen Stelle nun die Eingabeaufforderung.
Testweise kannst du mal den Befehl whoami eingeben und mit [Enter] bestätigen. Das Ergebnis nt-autorität\system zeigt dir an, dass die Eingabeaufforderung Systemrechte besitzt.
Solltest du später an dieser Stelle die Funktionen der erleichterten Bedienung wieder benötigen, dann rufst du in der Registry den oben genannten Pfad auf und löschst einfach den Unterschlüssel utilman.exe. Nach einer Neuanmeldung ist der alte Zustand dann wieder hergestellt.
Gemeinsame Existenz möglich
Möchtest du auf die erleichterte Bedienung nicht ganz verzichten, aber auch die Eingabaufforderung nutzen, dann lässt sich eine einzelne Funktion der erleichterten Bedienung für diesen Zweck „opfern“. Bei Computern ohne Touchscreen, kann man hierbei am ehesten auf die Bildschirmtastatur verzichten. Ohne „Opfer“ geht es leider nicht.
Wenn du bereits den Unterschlüssel utilman.exe erstellt hast, dann lösche ihn zuerst.
Öffne nach obigem Vorbild den Registrierungseditor, navigiere zu dem Schlüssel Image File Execution Options, erstelle den Unterschlüssel osk.exe, und lege darin die Zeichenfolge Debugger (wie oben beschrieben) an.
Nach dem Rechner-Neustart klickst du auf das Icon der erleichterten Bedienung und wählst im Kontextmenü die Option Bildschirmtastatur aus, um die Eingabeaufforderung zu starten.
Schadsoftware wie Petya 2 das Starten vonPsExec verweigern
PsExec ist ein kleines Microsoft-Tool, das anderen Programmen Systemrechte verschaffen kann. Dies machen sich auch die Programmierer von Schadsoftware zu Nutze, auch wenn PsExec bereits seit zirka 15 Jahren existiert. Eigentlich wird PsExec von Administratoren verwendet um auf Computern in einem Netzwerk Remote-Programme zu starten. Auf den heimischen Computern dürfte dieses Tool wohl nicht so oft zum Einsatz kommen. Durch einen kleinen Registry-Eingriff kannst du verhindern, dass PsExec auf deinem Computer gestartet wird.
Öffne das Fenster Ausführen, indem du die Tastenkombination [Windows][R] drückst, und starte den Registrierungseditor mit dem Befehl regedit.
Navigiere zu folgendem Registry-Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Die nächsten Schritte sind davon abhängig, ob du ein 32-Bit- oder 64-Bit-Betriebssystem hast.
Windows 64-Bit
Im Registry-Ordner Image File Execution Options legst du über Bearbeiten | Neu | Schlüssel einen Unterschlüssel mit Namen psexec64.exe an.
Dann öffnest du diesen neuen Schlüssel per Doppelklick und legst, ebenfalls mit Bearbeiten | Neu | Zeichenfolge, einen weiteren Eintrag namens Debugger an.
Öffne den Eintrag Debugger, tippe in das Feld Wert eine beliebige Startdatei ein (z. B. notepad.exe) und bestätige die Eingabe mit dem Button OK.
Nach diesem Vorbild wiederholst du diese Eingaben im Verzeichnis Image File Execution Options mit dem Schlüssel psexec.exe.
Windows 32-Bit
Nutzer eines Windows-32-Bit-Betriebssystems müssen lediglich den Registry-Schlüssel psexec.exe und die Zeichenfolge Debugger erzeugen, da die 64-Bit-Version auf diesem System nicht ausgeführt werden kann.
Ab sofort wird der Versuch die PsExec zu starten, lediglich das im Debugger festgelegte Programm starten. Das gilt auch für den Fall, wenn Malware eine eigene PsExec-Version mitbringt und auf deinem Rechner installieren will.
Solltest du später einmal die PsExec benötigen, dann lösche einfach diese Registry-Schlüssel wieder.
Einfach aber erfolgreich
Diese Art des Angriffs ist zugegebenermaßen recht einfach. Wie effektiv ein Angriff mit einem 15 Jahre alten Tool sein kann, beweist der Trojaner Petya 2 (NotPetya) gerade recht eindrucksvoll.

Schlagwort: ransom

Windows 10: Eingabeaufforderung mit Systemrechten vor dem Login erstellen

Eingriff in die Registry erforderlich

Debugger tauscht beide Tools aus

Gemeinsame Existenz möglich

Schadsoftware wie Petya 2 das Starten vonPsExec verweigern

Windows 64-Bit

Windows 32-Bit

Einfach aber erfolgreich