VORSICHT vor Krypto-Trojanern …

Aus (leider) aktuellem Anlass gebe ich hiermit prophylaktisch eine außerordentlich wichtige Warnung vor einer neuartigen Schadsoftware und daraus abgeleitete Handlungs-Empfehlungen heraus: Was war geschehen ? Bei einem Kunden wurde eine als Bewerbung getarnte ZIP-Datei geöffnet, in dessen Folge völlig unerwartet sämtliche WORD- und EXCEL-Dateien sowohl in deren Bezeichnung als auch in deren Inhalte über ein unbekanntes Verschlüssellungs-Verfahren gänzlich entstellt worden sind. Diese „Entstellungen“ sind nunmehr „verschlüsselte“ Datei-Bezeichnungen und Inhalte …

Bereits seit einiger Zeit sind diese noch neuartigen Angriffe auf WINDOWS-Systeme (unter anderem auf MS-OFFICE-Dateien) bekannt, deren Zweck darin besteht, betroffene PC-Nutzer zur Zahlung von „Lösegeldern“ gegen die (vermeintliche) Herausgabe von Entschlüsselungs-Programmen zu nötigen – diese neuartige Kriminalitäts-Form hat sich zu einem einträglichen „Wirtschaftszweig“ entwickelt. Mehr dazu u.a. hier:

https://de.wikipedia.org/wiki/Ransomware

Die Wiederherstellung (Entschlüsselung) der angegriffenen bzw. betroffenen Dateien – insbesondere von unter MS-OFFICE erzeugten Stamm- und Arbeitsdaten (z.B. WORD- und EXCEL-Dokumente) – auch über die vorgeblich „geeigneten“ Entschlüsselungs-Programme ist nicht wirklich so sicher bzw. zuverlässig, wie es zumeist behauptet wird, zuweilen dann auch außerordentlich aufwändig …

Wie kann man sich davor schützen ? Aus meiner langjährigen Erfahrung in der EDV-Betreuung (seit 1986) sollte dem Grundsatz gefolgt werden, dass (1) sämtliche Stamm- und Arbeitsdaten zunächst erst einmal aus dem Blickfeld potenzieller Angreifer gerückt werden sollten und dass (2) weiterhin die PC’s je nach Betriebssystem mit wirklich zuverlässigen Antiviren-Programmen ausgestattet werden müssen:

Zu (1):
Leider ist es gerade unter WINDOWS so, dass sowohl das Betriebssystem und die installierten Programme als auch alle Stamm- und Arbeitsdaten auf der gleichen Festplatte, genauer gesagt auf der gleichen Partition (zumeist C:\) abgespeichert sind. Das macht den Angreifern das Aufspüren und Beschädigen für sie „geeigneter“ Daten sehr leicht. Daher sollte die Festplatte grundsätzlich in mindestens zwei Partitionen C:\ und D:\ aufgeteilt werden, und zwar die erste Partition für das Betriebssystem sowie die installierten Programme und die zweite Partition für alle Stamm- sowie Arbeitsdaten …

Das einschlägige WINDOWS-Verzeichnis „Dokumente und Einstellungen“ mit den Unterverzeichnissen „Benutzer“ bzw. „User“ wird damit hinfällig, denn die Stamm- und Arbeitsdaten befinden sich dann auf der Partition D:\. Bei Systembeschädigungen werden diese Daten herausgehalten und das Betriebssystem kann problemlos repariert oder neu installiert werden. Außerdem vereinfacht sich eine komplette Datensicherung, wenn man alles, was sich auf D:\ befindet, auf ein geeignetes Sicherungsmedium zieht …

zu (2):
Tatsächlich sind bei weitem nicht alle Antiviren-Programme derart leistungsfähig und zuverlässig, wie es in den einschlägigen Computer-Zeitschriften oftmals behauptet wird. Man kann hier sogar vermuten, dass gewisse Zeitschriften genau das veröffentlichen, was einige Software-Hersteller so gerne hören möchten, um ihre Geschäfte auszubauen – der ADAC-Skandal vor einigen Jahren hat gezeigt, wie’s z.B. laufen kann. Nach meinen langjährigen beruflichen Erfahrungen also Hände weg von kostenlosen oder billigen Antiviren-Programmen, wie AVAST, AVIRA, MCAFEE oder NORMAN und NORTON bzw. SYMANTEC ! Ferner sind auch BITDEFENDER, GDATA, KASPERSKY, NOD32 und PANDA nicht immer sehr zuverlässig. ABER: Eine absolute Sicherheit gibt’s ohnehin nicht, da die Hersteller von Schad-Software den Herstellern von Antiviren-Programmen immer eine kleine Nasenlänge voraus sind – das liegt einfach in der Natur der Sache …

Wir selber, die wir zwischenzeitlich auch schon andere Antiviren-Software genutzt oder bei diversen Kunden erlebt haben, empfehlen vorzugsweise Programme von F-SECURE, derzeit insbesondere das „F-SECURE PC-Protection Plus“, zu beziehen hier:

https://www.percomp.de/pages/produkte/anti-virus/f-secure-fuer-einzelne-geraete/mit-gold-support.php

zu allgemeinen Verhaltensweisen:
Um’s einfach zu machen, nur zwei altbekannte Hinweise:

  • grundsätzlich regelmäßige Datensicherungen !!!
  • grundsätzlich niemals unbekannte Dateien bzw. Dateianhänge von unbekannten oder vermutlich dubiosen Absendern öffnen, und schon gar nicht direkt aus eMail-Programmen heraus !!!

weitere eigene Überlegungen:
Wenn die o.g. Grund-Voraussetzungen erfüllt sind, bieten sich folgende weitere Überlegungen an, um sich dem Blickfeld potenzieller Angreifer noch mehr zu entziehen:

  • muss ich unbedingt unter WINDOWS oder MAC-OS arbeiten oder geht es auch unter LINUX (z.B. UBUNTU) ? Dieses Betriebssystem ist relativ resistent gegen bösartige Angriffe …
  • muss ich unbedingt mit MS-OFFICE arbeiten oder komme ich auch mit dem kostenlosen und leistungsfähigen LIBREOFFICE zurecht ?
  • muss ich unbedingt den ADOBE-Reader benutzen oder kann ich (auch für das Ausfüllen von Formularen) den FOXIT-Reader nutzen ?
  • muss ich weiterhin weithin bekannte Rechnungs-, Buchhaltungs- und Banking-Programme nutzen oder gibt es leistungsfähige, jedoch weniger bekannte Alternativen ?

weiterführende sachdienliche Informationen und Hinweise:

https://www.terrabit.de/locky-was-sie-jetzt-tun-sollten-um-den-krypto-trojaner-zu-zaehmen/

Update 23.05.2017:
Und nun habe ich eine solche Trojaner-verseuchte eMail auch selber erhalten, die von meinem System jedoch automatisch als suspekt aussortiert worden ist:

PDF-Ausdruck einer Bewerbungs-Mail mit angehängtem Krypto-Trojaner

Im Übrigen hatte ich nirgendwo irgend eine Stellenausschreibung veröffentlicht – alleine dieser Umstand hätte mich schon stutzig werden lassen …