Kategorien
Hardware & Software Software Windows 10 Windows 7 Windows 8 Windows 8.1 Windows Vista Windows XP

Schutz vor den Kryptotrojanern Petya und Bad Rabbit

Krypto-Trojaner verschlüsseln Dateien und ganze Festplatten. Man erhält dann mit der Lösegeldforderung einen Link mit Zahlungsanweisungen der meist ins Darkweb führt. Wegen dieser Lösegeldforderungen bezeichnet man diese Trojaner auch als Ransom-Ware. Bereits im Juli 2017 haben wir darüber berichtet, wie Petya 2 daran gehindert werden kann, eine alte Sicherheitslücke zu benutzen. Es gibt aber auch noch eine andere Möglichkeit, die man auch gegen den zur Zeit grassierenden Bad Rabbit einsetzen kann.

Auf keinen Fall Lösegeld zahlen

Für Computer die von einem Krypto-Trojaner befallen sind, gibt es kaum eine Möglichkeit die Daten wieder zu entschlüsseln. Auch nach Zahlung des Lösegelds ist nicht garantiert, dass du wieder Zugriff auf deinen Rechner bekommst. Vielmehr ist damit zu rechnen, dass einmal befallene Computer wiederholt Opfer der Ransom-Ware werden.

Gratis-Schutz

Um sich vor Petya, NotPetya, SortaPetya und Bad Rabbit zu schützen, kann man den eigenen Rechner als C&C-Server (Comand and Control-Server) tarnen.

Bei Bad Rabbit besteht sogar eine kleine Chance nach der Infizierung noch Gegenmaßnahmen einzuleiten. Verschiedene Quellen berichten über eine Zeitspanne von zirka 15 Minuten. Da muss man blitzschnell handeln.

Damit der Computer sich möglichst schnell als C&C-Server tarnen kann, lädst du dir auf der Seite von Github die Batchdatei Stop BadRabbit herunter. Diese ZIP-Datei ist kostenlos. Entpacke sie und starte die stop_badrabbit.bat per Rechtsklick mit Administratorrechten.

Dadurch werden insgesamt fünf Dateien erstellt. Zwei für Bad Rabbit und drei um die Petya´s zu blockieren.

Für Bad Rabbit werden cscc.dat sowie infpub.dat angelegt und für Petya die Dateien perfc.dll, perfc.dat und perfc.

Installierte Dateien wieder entfernen

Der einzige Nachteil der Batchdatei ist das Fehlen einer Löschfunktion, die diese Einträge bei Bedarf ebenso einfach wieder entfernen kann. Möchtest du später einmal die fünf Dateien löschen, dann muss du das manuell über den Windows Explorer erledigen. Du findest sie im Verzeichnis von C:\Windows.

Kategorien
Hardware & Software

Internet-Security für Alle. Von Kaspersky. Kostenlos.

Kaspersky Lab gehört zu den beliebtesten Anbietern von Sicherheitssoftware. Mehr als 400 Millionen Benutzer und über 270.000 Firmen sprechen eine deutliche Sprache. Ab sofort bietet Kaspersky aber auch eine kostenlose Grundversion an.

Gratis-Sicherheit für Alle

Mit dem Programm Kaspersky Free erhält man einen Schutz gegen gefährliche Downloads, infizierte Webseiten und Spyware.

Sie schützt zusätzlich auch gegen Phishing-Versuche, indem sie die E-Mails scannt und die Phishing-Mails automatisch blockt.

Der Hersteller Kaspersky Lab verspricht auf seiner Webseite, dass die Sicherheits-Software nicht zu Lasten der Computer-Performance geht und man ohne Leistungseinbußen mit dem PC arbeiten kann.

Kaspersky Free kannst du hier kostenlos herunterladen.

Noch mehr Sicherheit

Für 39, 95 Euro (Ein-Jahres-Lizenz) erhält man mit der Kaspersky Internet Security weitere Features wie sicheren Zahlungsverkehr, Kinderschutz, technischen Support und einige mehr.

Kategorien
Hardware & Software Mac OS X

FruitFly/FruitFly 2: Die bislang unentdeckte Sicherheitslücke bei Apple

Auch Apple ist mittlerweile „Dank“ der gestiegenen Verkaufszahlen ein lohnendes Ziel für Hacker. Anfang des Jahres 2017 hat Patrick Wardle, ein Ex-NSA-Hacker und Security-Experte der Firma Synack, auf MAC-Rechnern eine Spionage-Software gefunden, die seit mindestens fünf Jahren unentdeckt blieb.

Jahrelang galten die Computer mit OSX-Betriebssystem als außerordentlich sicher. Vielleicht ist das auch der Grund dafür, dass man nicht sorgfältig genug nach Hintertüren suchte.

Was kann der Schädling?

Der von Apple als FruitFly getaufte Schädling wurde bisher von den üblichen Anti-Viren-Programmen nicht erkannt und späht den befallenen Rechner komplett aus. Er fertigt Sceenshots an, protokolliert Tastatureingaben, überwacht eingebaute oder angeschlossene Webcams. Auch eine Fernsteuerung des infizierten Computers ist möglich.

Des weiteren wird der Angreifer informiert, wenn Tastatur oder die Maus des Rechners betätigt werden.

Die einzig beruhigende Tatsache ist, dass FruitFly nur wenige hundert MACs befallen hat, die sich zu mehr als zwei Dritteln in den USA und Kanada befinden. Auch die geringe Qualität der Programmierung ist offenbar nicht auf staatliche Hacker zurück zu führen und greift keine lohnenden Ziele, wie Unternehmen oder staatliche Organisationen an.

Vielmehr scheint FruitFly mehr darauf ausgerichtet zu sein, einzelne Rechner und deren Besitzer auszuspähen, aber nicht massenhaft Daten sammeln zu wollen.

Gegenmaßnahmen

Wer sicher gehen will, dass auf dem eigenen MAC sich keine Fruchtfliegen tummeln, sollte ihn durch den kostenlosen Virenscanner von Malwarebytes prüfen lassen. Das Antiviren-Tool erkennt den Schädling als OSX.Backdoor.Quimitchin. Aber auch Apple selber wird wohl bald die Malware-Definitionen erneuern. Ausführliche Informationen kann man auch auf der Malwarebytes-Webseite und im Internet-Blog von Motherboard nachlesen.

Kategorien
Android Handy & Telefon

Neue Version des Banking-Trojaners „Marcher“ greift Android-Geräte an.

Wie bereits Anfang des Jahres 2017, warnt jetzt erneut das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer neuen Version des Banking-Trojaners Marcher. Er liest vom infizierten Gerät die PIN-Nummern, sowie die SMS mit TAN-Nummern aus und leitet sie an die Cyber-Gangster weiter, die dann das Konto plündern können.

Zudem soll Marcher auch den Start von Banking-Apps erkennen und eine eigene Oberfläche starten können, die vom Original kaum zu unterscheiden ist. So kann er dann auch die Informationen weiterer Eingaben auslesen.

Die Tarnung

Marcher tarnt sich beispielsweise als Adobe-Flashplayer-Update. Wenn du eine solche Aufforderung bekommst, darfst du keinesfalls zustimmen.

Er kommt zwar nicht über den Google Play Store auf dein Gerät, wohl aber über Spiele und Apps mit „Erwachseneninhalten“. Dabei werden oft Fakes von Originalspielen verwendet. Wie Anfang des Jahres mit der Fälschung von Super Mario Run.

Abwehrmöglichkeiten

Im Falle einer Infektion, aber auch schon bei einem Verdacht, sollte man keine sensiblen Transaktionen mehr mit dem Handy oder Tablet durchführen.

Das BSI rät, einen Virenscanner für Android zu benutzen. Zusätzlich kann das Gerät auf die Werkseinstellungen zurückgesetzt werden. Bei weiterbestehenden Zweifeln ist eine Neuinstallation des Android-Betriebssystems empfehlenswert.

Vor dem Zurücksetzen oder der Neuinstallation solltest du natürlich deine persönlichen Daten einem Backup unterziehen und auf dem bereinigten Gerät anschließend alle Zugangsdaten und Passwörter ändern.

Das BSI rät auch, die Bank zu informieren, damit diese ebenfalls ihre Sicherheitsmaßnahmen treffen kann.

Antiviren-Software

Leider empfiehlt das Bundesamt keinen speziellen Virenscanner oder Hersteller von Antiviren-Software. Manche Portale, wie zum Beispiel Chip.de, empfehlen Kaspersky Security Cloud für PCs und Smartphones.

Diese Antiviren-Software bietet Schutz vor Viren, Trojanern, Malware und Phishing-Versuchen. Weiter Tools sind beispielsweise ein VPN-Client, ein Passwort-Manager und das Safe-Money-Modul, das den Online-Zahlungsverkehr absichert.

Die Kaspersky Security Cloud kostet pro Jahr knapp 70 Euro und schützt dafür mehrere Geräte. Das ist auf jeden Fall günstiger als ein leergeräumtes Bankkonto.

Kategorien
Hardware & Software Multimedia Software

Multimedia-Player über Untertitel angreifbar

Ende Mai 2017 fand die IT-Sicherheitsfirma Checkpoint heraus, dass bei beliebten Multimedia-Playern eine recht große Sicherheitslücke existiert, die lange Zeit unbeachtet blieb. Zu den angreifbaren Playern gehören der VLC, Popcorn-Time, Kodi (XBMC) und Stremio. Sie vereint die Angreifbarkeit über die Untertiteldateien. Insgesamt sollen ungefähr 200 Millionen Nutzer betroffen sein.

Das Gemeine an dieser Art von Angriff ist, dass die Media Player meist so konfiguriert sind, dass sie die infizierten Untertitel-Dateien automatisch aus vertrauten Verzeichnissen beziehen. Der Angreifer führt dann den im Untertiteltext versteckten Schadcode aus und übernimmt dann deinen Computer.

Die in der Vergangenheit unterlassene Bereinigung der Untertiteldateien ist nun nachgeholt worden und die Hersteller der Multimedia-Player von VLC, Popcorn-Time, Kodi und Stremio bieten entsprechende Updates an.

Kategorien
Hardware & Software Software Windows 10 Windows 7 Windows 8 Windows 8.1 Windows Vista Windows XP

Im Windows-Autostart Viren und Trojaner aufstöbern

Im Autostart-Bereich des Windows Betriebssystems befinden sich System-Prozesse und Einträge von installierten Programmen, die beim Hochfahren automatisch starten sollen und/oder müssen. Leider trägt sich dort, meist unbemerkt, auch Schadsoftware ein, die nicht immer sofort erkannt wird. Um diese zu identifizieren und zu entfernen, ist ein Scan des Windows-Autostart erforderlich, dass vom Tool HijackThis mit ein paar Mausklicks zuverlässig durchgeführt wird.

Das kostenlose Tool HijackThis ist im Web kostenlos erhältlich (z. B. bei Softonic oder Sourceforge) und nach dem Download problemlos auch von USB-Sticks ausführbar. Eine Installation ist nicht erforderlich.

Nachdem HijackThis heruntergeladen wurde, startest du es mit einem Doppelklick auf die Startdatei. Im Programmfenster klickst du auf die Schaltfläche Do a system scan and save a logfile um den Scanvorgang zu starten.

Nach Abschluss der Analyse öffnet sich das Logfile in einem Texteditor. Markiere den Inhalt dieser Datei und kopiere ihn in den Zwischenspeicher.

Rufe in deinem Webbrowser die Seite www.hijackthis.de auf und füge den Inhalt dieser Logdatei mit [Strg][V] in das Feld Automatische Logfileauswertung ein. Der Button Auswerten zeigt anschließend an, welche Einträge repariert, beziehungsweise gelöscht werden sollten.

Notiere dir die fehlerhaften oder schädlichen Elemente und setze im Tool HijackThis das Häkchen vor die gleichnamigen Einträge.  Abschließend klickst du auf Fix checked und führst dann einen Computer-Neustart durch, damit die Änderungen aktiviert werden können.

HijackThis erkennt nicht nur Viren und Trojaner. Er entfernt auch lästige Adware, Spyware und nicht mehr benötigte Tools, die den PC ausbremsen.

Kategorien
Hardware & Software Windows 10 Windows 7 Windows 8 Windows 8.1 Windows Vista Windows XP

Schadsoftware wie Petya 2 das Starten vonPsExec verweigern

PsExec ist ein kleines Microsoft-Tool, das anderen Programmen Systemrechte verschaffen kann. Dies machen sich auch die Programmierer von Schadsoftware zu Nutze, auch wenn PsExec bereits seit zirka 15 Jahren existiert. Eigentlich wird PsExec von Administratoren verwendet um auf Computern in einem Netzwerk Remote-Programme zu starten. Auf den heimischen Computern dürfte dieses Tool wohl nicht so oft zum Einsatz kommen. Durch einen kleinen Registry-Eingriff kannst du verhindern, dass PsExec auf deinem Computer gestartet wird.

Öffne das Fenster Ausführen, indem du die Tastenkombination [Windows][R] drückst, und starte den Registrierungseditor mit dem Befehl regedit.

Navigiere zu folgendem Registry-Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Die nächsten Schritte sind davon abhängig, ob du ein 32-Bit- oder 64-Bit-Betriebssystem hast.

Windows 64-Bit

Im Registry-Ordner Image File Execution Options legst du über Bearbeiten | Neu | Schlüssel einen Unterschlüssel mit Namen psexec64.exe an.

Dann öffnest du diesen neuen Schlüssel per Doppelklick und legst, ebenfalls mit Bearbeiten | Neu | Zeichenfolge, einen weiteren Eintrag namens Debugger an.

Öffne den Eintrag Debugger, tippe in das Feld Wert eine beliebige Startdatei ein (z. B. notepad.exe) und bestätige die Eingabe mit dem Button OK.

Nach diesem Vorbild wiederholst du diese Eingaben im Verzeichnis Image File Execution Options mit dem Schlüssel psexec.exe.

Windows 32-Bit

Nutzer eines Windows-32-Bit-Betriebssystems müssen lediglich den Registry-Schlüssel psexec.exe und die Zeichenfolge Debugger erzeugen, da die 64-Bit-Version auf diesem System nicht ausgeführt werden kann.

Ab sofort wird der Versuch die PsExec zu starten, lediglich das im Debugger festgelegte Programm starten. Das gilt auch für den Fall, wenn Malware eine eigene PsExec-Version mitbringt und auf deinem Rechner installieren will.

Solltest du später einmal die PsExec benötigen, dann lösche einfach diese Registry-Schlüssel wieder.

Einfach aber erfolgreich

Diese Art des Angriffs ist zugegebenermaßen recht einfach. Wie effektiv ein Angriff mit einem 15 Jahre alten Tool sein kann, beweist der Trojaner Petya 2 (NotPetya) gerade recht eindrucksvoll.

Kategorien
Hardware & Software Software Windows 10 Windows 7 Windows 8 Windows 8.1 Windows Vista Windows XP

Windows: Mit Bordmitteln Schadsoftware finden und entfernen

Das Windows Betriebssystem enthält ein integriertes Tool zum Aufspüren und Entfernen von Viren und Trojanern. Es arbeitet recht zuverlässig, kann manuell gestartet werden und ist daher gut geeignet zwischendurch mal einen Systemscan oder auch nur eine einzelne Datei auf Schädlinge zu untersuchen.

Das versteckte Tool mit dem Namen Malicious Software Removal Tool (MRT), zu Deutsch: Windows-Tool zum Entfernen bösartiger Software, wird über das Fenster Ausführen gestartet. Drücke dazu die Tastenkombination [Windows][R], tippe den Befehl mrt ein, und bestätige die Eingabe mit dem Button OK.

Auf der ersten Seite der Dialogbox des Tools MRT lässt sich über einen Link die Liste von bösartiger Software anzeigen, die durch den Scan erkannt und entfernt wird. Über die Schaltfläche Weiter gelangst du zur Auswahl der verschiedenen Überprüfungsarten.

Die Schnellüberprüfung dauert nur wenige Minuten und untersucht ausgewählte Bereiche des Betriebssystems. Die vollständige Überprüfung scannt das gesamte System und kann mehrere Stunden dauern. Bei der benutzerdefinierten Überprüfung wird über die Schnellprüfung hinaus noch weitere, von dir ausgewählte Verzeichnisse, nach Malware untersucht.

Das Windows-Tool zum Entfernen bösartiger Software ersetzt keinen permanenten Virenschutz, da in der Regel nur einmal monatlich ein automatischer Systemscan erfolgt. Nämlich dann, wenn die Windows Updates veröffentlicht werden. Es ist lediglich eine zusätzliche Sicherheitseinrichtung, die man schnell mal zwischendurch laufen lässt.

Die mobile Version verlassen