1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Ransomware: Die verschlüsselte Stadt…

Das Hauptproblem ist einfach, dass es kein Virus ist.

  1. Thema

Neues Thema Ansicht wechseln


  1. Das Hauptproblem ist einfach, dass es kein Virus ist.

    Autor: thecrew 04.03.16 - 09:50

    Die meiste Ransomware ist ja leider kein "Virus". Daher wird diese auch nicht als solcher erkannt.

    Es ist schlichtweg ein Programm was vom Nutzer ausgeführt wird und dann scripte abarbeitet.

    So kann ich z.b. ein einfaches Script unter Windows schreiben mit einem simplen
    del *.jpg /s /q >NUL

    Das würde einfach Stumpf alle Jpg Datein von der Festplatte löschen ohne Rückfrage und Ausgabe. Genau solche scripts habe ich damals mal als eigenständiger "Robin Hood" in irgendwelchen KIPO IRC Chats hochgeladen. Haben jedenfalls immer gewirkt. ;-)

    Das ganze packe ich dann hübsch in eine com oder exe Datei und nenne diese. "Rechnungsdownloader". Was meint ihr wieviele Idioten das ausführen?

    Kein Virenprogramm würde das als Virus erkennen.

    Will ich nun nen "Cryptovirus" machen, so kann ich einfach nen Packer ala lha nehmen und alle Daten ohne Kompression verschlüsseln simple as that. Und alles läuft im Hintergrund als normales "Batch script". ;-)

    Das wäre jetzt die einfachste Variante, aber auch diese wäre effektiv!

  2. Re: Das Hauptproblem ist einfach, dass es kein Virus ist.

    Autor: DebugErr 04.03.16 - 09:51

  3. Re: Das Hauptproblem ist einfach, dass es kein Virus ist.

    Autor: Emulex 04.03.16 - 09:59

    Nervt da seit Win7 nicht die Benutzerkontensteuerung?
    Also mich nervt die ziemlich oft - hatte sie zeitweise auch abgeschaltet, aber dann doch wieder an...man weiß ja nie.

    Aber klar...auch da drückt der Honk einfach "passt scho".

  4. Re: Das Hauptproblem ist einfach, dass es kein Virus ist.

    Autor: Apollo13 04.03.16 - 10:03

    Außerdem brauchst Du ja in der Regel keine Admin-Rechte, um auf Daten auf den Netzlaufwerken zugreifen zu können. Und wenn Du sie verändern darfst, dann kannst Du sie auch verschlüsseln und die unverschlüsselten Originale einfach löschen.
    In vielen Fällen kommt sicherlich auch noch dazu, dass einfach auf zu viele (aka "alle") Daten zugegriffen werden darf, auch wenn die für die eigene Arbeit gar nicht relevant sind...

  5. Re: Das Hauptproblem ist einfach, dass es kein Virus ist.

    Autor: robinx999 04.03.16 - 10:27

    Bei Bestimmten Dingen sollte die Benutzerkontensteuerung einschreiten. z.B.: beim Löschen der Schattenkopien. Aber normales Löschen von Dateien ist ja Standard Aufgabe die der Nutzer ja auch machen darf. Ist ja auch eines der Hauptprobleme hier und Theoretisch könnte das praktisch jedes OS betreffen, da Nutzer halt Dateien auf die sie Schreibrecht haben und das sind neben den Lokalen Daten halt auch oft Netzwerkfreigaben. Somit ohne Besonderes Zutun verschlüsseln können.

  6. Re: Das Hauptproblem ist einfach, dass es kein Virus ist.

    Autor: der_wahre_hannes 04.03.16 - 10:41

    thecrew schrieb:
    --------------------------------------------------------------------------------
    > Das ganze packe ich dann hübsch in eine com oder exe Datei und nenne diese.
    > "Rechnungsdownloader". Was meint ihr wieviele Idioten das ausführen?

    Kannst ja auch einfach als *.jpg,js tarnen. Der 08/15-User hat eh Dateiendungen ausgeblendet.

  7. Re: Das Hauptproblem ist einfach, dass es kein Virus ist.

    Autor: Sharkuu 04.03.16 - 10:45

    das würde vorraussetzen das kein windows xp mehr im einsatz ist :D

  8. Re: Das Hauptproblem ist einfach, dass es kein Virus ist.

    Autor: Manga 04.03.16 - 11:03

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Bei Bestimmten Dingen sollte die Benutzerkontensteuerung einschreiten.
    > z.B.: beim Löschen der Schattenkopien. Aber normales Löschen von Dateien
    > ist ja Standard Aufgabe die der Nutzer ja auch machen darf. Ist ja auch
    > eines der Hauptprobleme hier und Theoretisch könnte das praktisch jedes OS
    > betreffen, da Nutzer halt Dateien auf die sie Schreibrecht haben und das
    > sind neben den Lokalen Daten halt auch oft Netzwerkfreigaben. Somit ohne
    > Besonderes Zutun verschlüsseln können.

    Dateien werden nicht gelöscht, sondern überschrieben... Gelöschten Dateien lassen sich wiederherstellen.

  9. Re: Das Hauptproblem ist einfach, dass es kein Virus ist.

    Autor: der_wahre_hannes 04.03.16 - 11:24

    Manga schrieb:
    --------------------------------------------------------------------------------
    > robinx999 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Bei Bestimmten Dingen sollte die Benutzerkontensteuerung einschreiten.
    > > z.B.: beim Löschen der Schattenkopien. Aber normales Löschen von Dateien
    > > ist ja Standard Aufgabe die der Nutzer ja auch machen darf. Ist ja auch
    > > eines der Hauptprobleme hier und Theoretisch könnte das praktisch jedes
    > OS
    > > betreffen, da Nutzer halt Dateien auf die sie Schreibrecht haben und das
    > > sind neben den Lokalen Daten halt auch oft Netzwerkfreigaben. Somit ohne
    > > Besonderes Zutun verschlüsseln können.
    >
    > Dateien werden nicht gelöscht, sondern überschrieben... Gelöschten Dateien
    > lassen sich wiederherstellen.

    Überschriebene auch, wenn die Volumeschattenkopie eingestellt ist.

  10. Re: Das Hauptproblem ist einfach, dass es kein Virus ist.

    Autor: robinx999 04.03.16 - 11:30

    Manga schrieb:
    --------------------------------------------------------------------------------
    > robinx999 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Bei Bestimmten Dingen sollte die Benutzerkontensteuerung einschreiten.
    > > z.B.: beim Löschen der Schattenkopien. Aber normales Löschen von Dateien
    > > ist ja Standard Aufgabe die der Nutzer ja auch machen darf. Ist ja auch
    > > eines der Hauptprobleme hier und Theoretisch könnte das praktisch jedes
    > OS
    > > betreffen, da Nutzer halt Dateien auf die sie Schreibrecht haben und das
    > > sind neben den Lokalen Daten halt auch oft Netzwerkfreigaben. Somit ohne
    > > Besonderes Zutun verschlüsseln können.
    >
    > Dateien werden nicht gelöscht, sondern überschrieben... Gelöschten Dateien
    > lassen sich wiederherstellen.

    Dürfte auf die genaue Umsetzung ankommen und ist teilweise wohl auch von Trojaner zu Trojaner unterschiedlich. Wobei natürlich auch immer wieder die Frage ist ob beim Überschreiben immer wieder auf die Selbe Position der Festplatte geschrieben wird (dürfte auch vom Dateisystem abhängen). Aber das Problem ist selbst wenn von jeder Datei erst eine Verschlüsselte Kopie erstellt wird und dann das Original gelöscht wird, so hat man so viele neue Schreibvorgänge das ein späteres Wiederherstellen oft fehlschlagen wird.

    Wobei so ein Trojaner ja auch die Festplatte nach dem Verschlüsseln noch mit Datenmüll auffüllen kann um so Reste der Dateien zu zerstören.

    Ist aber halt auch eine Frage in weit man Schattenkopien / Snapshots oder ähnliches auf einem Datei Server hier nicht auch helfen würden, diese sollte der Nutzer der nur auf die Freigabe zugreifen kann eigentlich nicht abschalten können.

  11. Re: Das Hauptproblem ist einfach, dass es kein Virus ist.

    Autor: Trockenobst 04.03.16 - 15:50

    Emulex schrieb:
    --------------------------------------------------------------------------------
    > Aber klar...auch da drückt der Honk einfach "passt scho".

    Mein sonst gerne mal supernerviger Kaspersky ist in diesem Falle proaktiv Hilfreich.

    Der "Quarantäne-iert" grundsätzlich alle .exe/.cmd Files im %tmp% und sonstigen Plätzen wo der UAC auch ungerne was laufen lassen möchte.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Dr. Fritz Faulhaber GmbH & Co. KG, Schönaich
  2. AKDB Anstalt für kommunale Datenverarbeitung in Bayern, Regensburg
  3. Protagen Protein Services GmbH, Heilbronn, Dortmund
  4. Melitta Business Service Center GmbH & Co. KG, Minden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 32,99€
  2. 4,25€
  3. 59,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de