18
GermanWiper
Liebe Administratoren,
ich frage mich, inwiefern es doch möglich wäre Daten zu retten nachdem die neue Ransomware "GermanWiper" alle Dateien mit Nullen überschrieben hat.
Oder wäre es denkbar, dass GermanWiper dies nur bewerkstelligen kann, wenn GermanWiper innerhalb eines administrativen Accounts agiert, ergo man einen Account benutzen sollte der keine Admin-Rechte inne hält um so den Schaden auf ein niedrigstes Level zu halten.
Ich konnte GermanWiper noch nicht in Aktion sehen, hat da schon wer Erfahrungen oder den Quellcode gelesen? Wäre interessant ob man den via externem Gerät unscharf zu stellen, wenn man den Quellcode kennt und wüsste wo man ansetzen kann um ihn unschädlich zu machen.
Interessant wäre auch zu wissen, ob man innerhalb von Mail-Programmen Filter einrichten kann, der automatisch bekannte Absender erkennt und gleich abwehrt ehe unbedarfte User den Anhang downloaden/ öffnen, es wurde ja bekannt, dass GermanWiper auf gleichen Kanälen verteilt wie die übrigen Vertreter der Ransomware-Familie.
Einen schönen Mittwoch
ich frage mich, inwiefern es doch möglich wäre Daten zu retten nachdem die neue Ransomware "GermanWiper" alle Dateien mit Nullen überschrieben hat.
Oder wäre es denkbar, dass GermanWiper dies nur bewerkstelligen kann, wenn GermanWiper innerhalb eines administrativen Accounts agiert, ergo man einen Account benutzen sollte der keine Admin-Rechte inne hält um so den Schaden auf ein niedrigstes Level zu halten.
Ich konnte GermanWiper noch nicht in Aktion sehen, hat da schon wer Erfahrungen oder den Quellcode gelesen? Wäre interessant ob man den via externem Gerät unscharf zu stellen, wenn man den Quellcode kennt und wüsste wo man ansetzen kann um ihn unschädlich zu machen.
Interessant wäre auch zu wissen, ob man innerhalb von Mail-Programmen Filter einrichten kann, der automatisch bekannte Absender erkennt und gleich abwehrt ehe unbedarfte User den Anhang downloaden/ öffnen, es wurde ja bekannt, dass GermanWiper auf gleichen Kanälen verteilt wie die übrigen Vertreter der Ransomware-Familie.
Einen schönen Mittwoch
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 491516
Url: https://administrator.de/contentid/491516
Printed on: April 23, 2024 at 20:04 o'clock
18 Comments
Latest comment
Moin,
Dazu alle Dateitypen die problematisch (eigentlich alle) sperren.
Zitat von @Garrosh:
ich frage mich, inwiefern es doch möglich wäre Daten zu retten nachdem die neue Ransomware "GermanWiper" alle Dateien mit Nullen überschrieben hat.
Nein, Backup einspielen und infizierte PCs neu installierenich frage mich, inwiefern es doch möglich wäre Daten zu retten nachdem die neue Ransomware "GermanWiper" alle Dateien mit Nullen überschrieben hat.
Oder wäre es denkbar, dass GermanWiper dies nur bewerkstelligen kann, wenn GermanWiper innerhalb eines administrativen Accounts agiert, ergo man einen Account benutzen sollte der keine Admin-Rechte inne hält um so den Schaden auf ein niedrigstes Level zu halten.
Je mehr Rechte umso größer der Schaden bzw. die Ausbreitung.Ich konnte GermanWiper noch nicht in Aktion sehen, hat da schon wer Erfahrungen oder den Quellcode gelesen?
NöWäre interessant ob man den via externem Gerät unscharf zu stellen, wenn man den Quellcode kennt und wüsste wo man ansetzen kann um ihn unschädlich zu machen.
Das ist das was die AV-Hersteller den ganzen Tag, mit mäßigem Erfolg, machen.Interessant wäre auch zu wissen, ob man innerhalb von Mail-Programmen Filter einrichten kann, der automatisch bekannte Absender erkennt und gleich abwehrt ehe unbedarfte User den Anhang downloaden/ öffnen, es wurde ja bekannt, dass GermanWiper auf gleichen Kanälen verteilt wie die übrigen Vertreter der Ransomware-Familie.
Das macht ein Antispam- und Antivirus-Gateway für Mails.Dazu alle Dateitypen die problematisch (eigentlich alle) sperren.
Nein, Backup einspielen und infizierte PCs neu installieren
Und wenn X keine hat, nie angelegt hat?
Je mehr Rechte umso größer der Schaden bzw. die Ausbreitung.
Wenn Account gar keine Rechte hat, irgendetwas zu installieren, dann wären doch (für mein Verständnis) auch Viren nicht in der Lage sich zu installieren, oder nehmen die die Brechstange?
Das ist das was die AV-Hersteller den ganzen Tag, mit mäßigem Erfolg, machen.
Was ja bedeutet, dass die AV-Hersteller dasselbe Engine benutzen und nicht wissen wie sie ihr Produkt verfeinern können? Gibts überhaupt KI-Lösungen?
Das macht ein Antispam- und Antivirus-Gateway für Mails.
Dazu alle Dateitypen die problematisch (eigentlich alle) sperren.
Wohl aber nicht immer zuverlässig.
Und wenn X keine hat, nie angelegt hat?
Je mehr Rechte umso größer der Schaden bzw. die Ausbreitung.
Wenn Account gar keine Rechte hat, irgendetwas zu installieren, dann wären doch (für mein Verständnis) auch Viren nicht in der Lage sich zu installieren, oder nehmen die die Brechstange?
Das ist das was die AV-Hersteller den ganzen Tag, mit mäßigem Erfolg, machen.
Was ja bedeutet, dass die AV-Hersteller dasselbe Engine benutzen und nicht wissen wie sie ihr Produkt verfeinern können? Gibts überhaupt KI-Lösungen?
Das macht ein Antispam- und Antivirus-Gateway für Mails.
Dazu alle Dateitypen die problematisch (eigentlich alle) sperren.
Wohl aber nicht immer zuverlässig.
Hi
Dann waren die Daten nicht Wichtig bzw Lebt sehr Risikobewust und hat nun Verloren.
Es ist halt ein Katz und Maus Spiel.
Und auch etwas Wissen gehört dazu um sich zu Schützen da zb ein Mailanhang Tabelle.xls.exe doch Auffallen sollte das diese keine Office Datei ist und nicht geöffnet werden sollte aber dennoch etliche diese Öffnen und dann am Flennen sind.....
Die Leute Verbessern ihr Produkt halt auch so das es immer weniger Auffällt und mehr Leute erwischt....
Es wurde auch damals in den Medien groß Informiert und eigentlich sollte jeder seine Daten Schützen bzw ein Regelmäßiges Backup machen.
Klar kann evtl noch was gefunden werden über ein Rettungsprogramm aber meist sind es nur Bruchstücke die einen nicht Helfen.
Zitat von @Garrosh:
Nein, Backup einspielen und infizierte PCs neu installieren
Und wenn X keine hat, nie angelegt hat?
Nein, Backup einspielen und infizierte PCs neu installieren
Und wenn X keine hat, nie angelegt hat?
Dann waren die Daten nicht Wichtig bzw Lebt sehr Risikobewust und hat nun Verloren.
Je mehr Rechte umso größer der Schaden bzw. die Ausbreitung.
Wenn Account gar keine Rechte hat, irgendetwas zu installieren, dann wären doch (für mein Verständnis) auch Viren nicht in der Lage sich zu installieren, oder nehmen die die Brechstange?
Es gibt aber immer wieder Lücken vom System die einige ausnutzen um ihre Schadsoftware Installiert zu bekommen und den Maximalen Schaden anrichten können.Wenn Account gar keine Rechte hat, irgendetwas zu installieren, dann wären doch (für mein Verständnis) auch Viren nicht in der Lage sich zu installieren, oder nehmen die die Brechstange?
Das ist das was die AV-Hersteller den ganzen Tag, mit mäßigem Erfolg, machen.
Was ja bedeutet, dass die AV-Hersteller dasselbe Engine benutzen und nicht wissen wie sie ihr Produkt verfeinern können? Gibts überhaupt KI-Lösungen?
Das macht ein Antispam- und Antivirus-Gateway für Mails.
Dazu alle Dateitypen die problematisch (eigentlich alle) sperren.
Wohl aber nicht immer zuverlässig.
Was ja bedeutet, dass die AV-Hersteller dasselbe Engine benutzen und nicht wissen wie sie ihr Produkt verfeinern können? Gibts überhaupt KI-Lösungen?
Das macht ein Antispam- und Antivirus-Gateway für Mails.
Dazu alle Dateitypen die problematisch (eigentlich alle) sperren.
Wohl aber nicht immer zuverlässig.
Es ist halt ein Katz und Maus Spiel.
Und auch etwas Wissen gehört dazu um sich zu Schützen da zb ein Mailanhang Tabelle.xls.exe doch Auffallen sollte das diese keine Office Datei ist und nicht geöffnet werden sollte aber dennoch etliche diese Öffnen und dann am Flennen sind.....
Die Leute Verbessern ihr Produkt halt auch so das es immer weniger Auffällt und mehr Leute erwischt....
Es wurde auch damals in den Medien groß Informiert und eigentlich sollte jeder seine Daten Schützen bzw ein Regelmäßiges Backup machen.
Klar kann evtl noch was gefunden werden über ein Rettungsprogramm aber meist sind es nur Bruchstücke die einen nicht Helfen.
Opfer sind ja mal wieder nur Winblows Knechte !
Mac und Linux User können sich bei dem Thema ja entspannt zurücklehnen und milde lächeln...
Mac und Linux User können sich bei dem Thema ja entspannt zurücklehnen und milde lächeln...
1
Zitat von @aqui:
Opfer sind ja mal wieder nur Winblows Knechte !
Mac und Linux User können sich bei dem Thema ja entspannt zurücklehnen und milde lächeln...
Opfer sind ja mal wieder nur Winblows Knechte !
Mac und Linux User können sich bei dem Thema ja entspannt zurücklehnen und milde lächeln...
Ich hoffe das war Sarkasmus...
Moin,
Um ein Executable auszuführen braucht's keine adminstrativen Rechte. Die holt sich der Trojaner dann notfalls mit Exploits ... Und zum wipen der persönlichen Bildersammlung braucht er auch keine Admin-Rechte, da der Anwender ja eh Schreibrechte darauf hat i.d.R.
Also: Keine Brechstange nötig.
lg,
Slainte
Wenn Account gar keine Rechte hat, irgendetwas zu installieren, dann wären doch (für mein Verständnis) auch Viren nicht in der Lage sich zu installieren, oder nehmen die die Brechstange?
Um ein Executable auszuführen braucht's keine adminstrativen Rechte. Die holt sich der Trojaner dann notfalls mit Exploits ... Und zum wipen der persönlichen Bildersammlung braucht er auch keine Admin-Rechte, da der Anwender ja eh Schreibrechte darauf hat i.d.R.
Also: Keine Brechstange nötig.
lg,
Slainte
1
Zitat von @Garrosh:
Liebe Administratoren,
ich frage mich, inwiefern es doch möglich wäre Daten zu retten nachdem die neue Ransomware "GermanWiper" alle Dateien mit Nullen überschrieben hat.
Liebe Administratoren,
ich frage mich, inwiefern es doch möglich wäre Daten zu retten nachdem die neue Ransomware "GermanWiper" alle Dateien mit Nullen überschrieben hat.
Ja, Aus dem Backup. restaurieren.
Oder wäre es denkbar, dass GermanWiper dies nur bewerkstelligen kann, wenn GermanWiper innerhalb eines administrativen Accounts agiert, ergo man einen Account benutzen sollte der keine Admin-Rechte inne hält um so den Schaden auf ein niedrigstes Level zu halten.
Es gibt genügend lokale exploits, die eine privilege escalation erlauben und damit der Angreifer alles mit der Kiste machen kann, was er will. Ob das der Wiper nutzt oder nicht, kann ich Dir allerdings nicht sagen.
Ich konnte GermanWiper noch nicht in Aktion sehen, hat da schon wer Erfahrungen oder den Quellcode gelesen?
Sei froh. das Ding ist leider nicht open source, sonst wäre es ja zu einfach.
Wäre interessant ob man den via externem Gerät unscharf zu stellen, wenn man den Quellcode kennt und wüsste wo man ansetzen kann um ihn unschädlich zu machen.
Du kannst eine debugger anwerfen und den Code analysieren, wenn es Dir spaß macht. Quellcode ist zwar hlfreich aber Du weißt nciht, ob der auch zu dem Code paßt, den Du untergeschoben bekommst.
Interessant wäre auch zu wissen, ob man innerhalb von Mail-Programmen Filter einrichten kann, der automatisch bekannte Absender erkennt und gleich abwehrt ehe unbedarfte User den Anhang downloaden/ öffnen, es wurde ja bekannt, dass GermanWiper auf gleichen Kanälen verteilt wie die übrigen Vertreter der Ransomware-Familie.
Natürlich kann man das. Allerdings wechseln die Schadprogramme die "Absender" öfter wie die Damen aus dem Rotlichbezirk ihre Liebhaber.
Einen schönen Mittwoch
Nee, heute ist Freitag. Schönen Freitach noch.
lks
Zitat von @Garrosh:
Wenn Account gar keine Rechte hat, irgendetwas zu installieren, dann wären doch (für mein Verständnis) auch Viren nicht in der Lage sich zu installieren, oder nehmen die die Brechstange?
Wenn Account gar keine Rechte hat, irgendetwas zu installieren, dann wären doch (für mein Verständnis) auch Viren nicht in der Lage sich zu installieren, oder nehmen die die Brechstange?
Die müssen nichts installieren. Inzwischen läuft vieles davon einfach nur im RAM ohne installiert zu werden. Die müssen nur jemanden finden, der das Loslaufen des Scripts (meistens Powershell per http geladen) anstößt, z.B. über "Bewerbungen" und derRest passiert alleine. Und wie gesagt, gibt es genügend Methoden sich erhöhte Rechte zu hilen, wenn der Malware-programmierer Wert darauf legt.
lks
PS: Habe mal gerade ein "frisches" xls testweise bei virustotal hochgeladen. Da sind nur 12 von 59 Scannern der Meinung, daß das Ding nichts gutes tut.
Hallo,
deswegen war ja oben schon der sehr wichtige Hinweis, alle nicht zwingend nötigen Dateitypen als Mailanhang konsequent zu sperren!!
Gibt zwar ab und an etwas Unmut bei den Kollegen, aber nach gewisser Einlernphase funktioniert es immer besser.
Gruß
deswegen war ja oben schon der sehr wichtige Hinweis, alle nicht zwingend nötigen Dateitypen als Mailanhang konsequent zu sperren!!
Gibt zwar ab und an etwas Unmut bei den Kollegen, aber nach gewisser Einlernphase funktioniert es immer besser.
Gruß
Zitat von @VGem-e:
Hallo,
deswegen war ja oben schon der sehr wichtige Hinweis, alle nicht zwingend nötigen Dateitypen als Mailanhang konsequent zu sperren!!
Hallo,
deswegen war ja oben schon der sehr wichtige Hinweis, alle nicht zwingend nötigen Dateitypen als Mailanhang konsequent zu sperren!!
Das Zeug landet in meiner "Fliegenfalle".
Man muß ja ab und zu schauen, was da gerade "aktuell" ist.
lks
Zitat von @Garrosh:
Nein, Backup einspielen und infizierte PCs neu installieren
Und wenn X keine hat, nie angelegt hat?
Dann sind die Daten nicht so wichtig!!!Nein, Backup einspielen und infizierte PCs neu installieren
Und wenn X keine hat, nie angelegt hat?
Je mehr Rechte umso größer der Schaden bzw. die Ausbreitung.
Wenn Account gar keine Rechte hat, irgendetwas zu installieren, dann wären doch (für mein Verständnis) auch Viren nicht in der Lage sich zu installieren, oder nehmen die die Brechstange?
Gruss Penny.
@ Penny -
Hm, anhand Deiner Antwort habe ich das Gefühl Du kennst Dich in der Materie nicht aus.
Öhm - nur oberflächlich. Für zu Hause reichts - weil ich nichts wichtiges auf den Systemen speichere - immer auf externen Speichermedien und die sind getrennt vom Rechner.
An alle anderen - Ich bedanke mich für Eure Antworten und für Eure Zeit. Ja Macs und Linux (habe ich mir sagen lassen), sind auch nicht mehr so IMMUN wie damals (früher war halt alles wohl besser, wa?).
Zu meiner Unwissenheit, ich habe mich daran gewöhnt, alles was Blinkt und Geil machen soll - meistens Mist mit Schadware ist und schon deshalb keine Beachtung findet und gelöscht wird. Meiner Frau habe ich einen Linux-Rechner zusammen gestellt, damit sie nicht erst auf dumme Gedanken kommt, alles anzuklicken was bunt und Lärm macht, und in den Mails die Anhänge von Fischer öffnet - nur weil der Titel ein Schmuddelporn sein soll.
Hm, anhand Deiner Antwort habe ich das Gefühl Du kennst Dich in der Materie nicht aus.
Öhm - nur oberflächlich. Für zu Hause reichts - weil ich nichts wichtiges auf den Systemen speichere - immer auf externen Speichermedien und die sind getrennt vom Rechner.
An alle anderen - Ich bedanke mich für Eure Antworten und für Eure Zeit. Ja Macs und Linux (habe ich mir sagen lassen), sind auch nicht mehr so IMMUN wie damals (früher war halt alles wohl besser, wa?).
Zu meiner Unwissenheit, ich habe mich daran gewöhnt, alles was Blinkt und Geil machen soll - meistens Mist mit Schadware ist und schon deshalb keine Beachtung findet und gelöscht wird. Meiner Frau habe ich einen Linux-Rechner zusammen gestellt, damit sie nicht erst auf dumme Gedanken kommt, alles anzuklicken was bunt und Lärm macht, und in den Mails die Anhänge von Fischer öffnet - nur weil der Titel ein Schmuddelporn sein soll.
Mich würde nur interessieren, wie Leute dieser Sorte Spaß daran haben, die infizierten Rechner kaputt zu machen. Dafür Geld erpressen und behaupten man könne alles wieder ungeschehen machen?
Soweit ich informiert bin, war bislang bei jeder Ransomware eine Formatierung mit Neuinstallation fällig gewesen.
Soweit ich informiert bin, war bislang bei jeder Ransomware eine Formatierung mit Neuinstallation fällig gewesen.
Steig wie viele auf Mac oder Linux um, dann musst du dir um solchen Kasperkram keine Sorgen und Gedanken mehr machen und kannst nur noch milde lächeln über die gebeutelten Winblows Knechte im Sessel wenn das abends in der Tagesschau kommt ! 
1
Hab ja 2 MacBooks älteren Baujahrs mit EL Capitan. Aber weisste, manche Games laufen nur unter Windows (SCUM z.B.).
Only Mac macht irgendwo auch nicht soviel Spaß
Edit: Was meint ihr: Wenn ich nen Pi mit Pi-Hole vor den Router einbinde, der sollte doch fast jeden Mist ins Nirwana umlenken können oder nicht?
Only Mac macht irgendwo auch nicht soviel Spaß
Edit: Was meint ihr: Wenn ich nen Pi mit Pi-Hole vor den Router einbinde, der sollte doch fast jeden Mist ins Nirwana umlenken können oder nicht?
Zitat von @Garrosh:
Soweit ich informiert bin, war bislang bei jeder Ransomware eine Formatierung mit Neuinstallation fällig gewesen.
Soweit ich informiert bin, war bislang bei jeder Ransomware eine Formatierung mit Neuinstallation fällig gewesen.
Es gab Fälle, in denen die Lösegeldzahlung abgeblich geholfen hst.
lks
Na dann waren es vermehrt naive Menschen die aus Panik gezahlt haben, oder Senioren die nicht wussten was das alles zu bedeuten hatte. Aber ich unterstelle einem logisch denkenden Menschen, dass dieser erkennen kann - das solche Erpressungen gar nichts bewirken, außer dass der Autor der Ransomware gieriger wird.
Und wenn alles in BTC bezahlt werden soll, sollte man hellhörig werden.
Und wenn alles in BTC bezahlt werden soll, sollte man hellhörig werden.
Zitat von @Garrosh:
Na dann waren es vermehrt naive Menschen die aus Panik gezahlt haben, oder Senioren die nicht wussten was das alles zu bedeuten hatte. Aber ich unterstelle einem logisch denkenden Menschen, dass dieser erkennen kann - das solche Erpressungen gar nichts bewirken, außer dass der Autor der Ransomware gieriger wird.
Und wenn alles in BTC bezahlt werden soll, sollte man hellhörig werden.
Na dann waren es vermehrt naive Menschen die aus Panik gezahlt haben, oder Senioren die nicht wussten was das alles zu bedeuten hatte. Aber ich unterstelle einem logisch denkenden Menschen, dass dieser erkennen kann - das solche Erpressungen gar nichts bewirken, außer dass der Autor der Ransomware gieriger wird.
Und wenn alles in BTC bezahlt werden soll, sollte man hellhörig werden.
Wie ich schon sagte: Das Lösegeld wurde schon mehrfach entrichtet, und zwar von "vernünftig denkenden Menschen".
lks
