Ransomware: TeslaCrypt 4.0

[Frogman]

Man könnte sich freuen, wie nachhaltig hier an einem Stück Software gearbeitet wird - wenn es sich dabei nicht um einen erpresserischen Verschlüsselungstrojaner handeln würde. Aktuell werden im Feld die ersten Ergebnisse der Version 4.0 der TeslaCrypt-Software gesichtet. Zunehmend werden Fehler von Vorgängerversionen behoben (bspw. werden nun auch Dateien größer 4GB korrekt verschlüsselt) sowie Schwachstellen vermieden (die neue Version verwendet keine Namensendungen mehr, so dass nicht händisch oder automatisiert auf die Erzeugung von Dateien mit Endungen wie *.locky geprüft werden kann). Und besonders schlimm: die Version 4.0 wird gleich mit ihrem Erscheinen vorrangig über Drive-by-Downloads in die Welt verteilt und nicht über Email-Anhänge oder Ähnliches, d.h. es ist kein aktives Mitwirken eines Opfers vonnöten, der Besuch einer Webseite reicht - und dabei kann es sich auch um seriöse Webseiten handeln, die - wie jüngst gesehen - über nachgeladene Werbeinhalte als Malware-Schleuder fungieren!! Also - es gibt dagegen eigentlich nur drei Mittel: Backups, Backups und Backups!

 

[Iarn]

Wobei ich in diesem Zusammenhang auch für Linux als Betriebssystem auf dem PC werben möchte. Zwar gab es auch schon beizeiten Schadsoftware unter Linux aber in wesentlich geringerem Umfang und über andere Angriffswege.

 

[Frogman]

Ja, Linux ist bisher eher unauffälliger gewesen - aber das bitte jetzt nicht als Zeichen von Sicherheit interpretieren, denn die ist trügerisch! Bereits mit Linux.Encoder.1 gab's im November 2015 erste Gehversuche eines Cryptolockers, und wie schnell man voll im Visier steht, hat man aktuell bei OSX gesehen, auch immer gern als "sicheres" Betriebssystem angepriesen. Wenn man etwas aus den jüngsten Cryptotrojanern lernen kann, dann dass es deutlich in Richtung plattformübergreifender Schädlinge läuft... Von daher gilt auch unter Linux das eingangs empfohlene Mittel!

 

[Iarn]

Das schrieb ich mit "wesentlich geringerem Umgang". Wobei bei Linux auch die meisten Schädliche durch fehlerhafte Content Management Systeme oder Flash zurück zu führen sind. Wenn man auf beides verzichtet, ist man relativ sicher.

Und auch wenn ich hier mal wieder Jehova sage, auch ein Backup gewährt nicht 100% Schutz. Der steigt natürlich auch mit Verwendung von versionierten Backups etc. aber da solche Schädlinge nicht immer sofort auffallen, kann es durchaus sein, dass sich im Backup schon verschlüsselte Files sammeln bevor der Benutzer was mitbekommt.
Sicherheit gibt es aus meiner Sicht nur in einer Kombination aus folgenden Dingen:
ein sicheres und gut upgedatetes OS, restriktiven Rechte Management (gilt auch für Netzwerk Ports), Backups und eingeschaltetem Hirn

Mit einem davon kommt man meiner Meinung nach nicht weit

 

[jahlives]

@larn
das mit Linux kann auch ein Trugschluss sein. Ich weiss es zwar für Tesla jetzt nicht genau, aber es gibt solche Ransomware, die komplett in Javascript geschrieben ist. Da schützt dann auch Linux nicht mehr davor. Grundsätzlich könnte eine solche JS-Malware alles verschlüsseln, worauf dein User Schreibrechte hat. Das beinhaltet zwar keine Systemdateien, aber so zielmlich alle Userdaten. Eine solche Malware bräuchte auch nicht zwangsläufig eine Lücke in Flash & Co, sondern könnte direkt als Drive-By Download von deinem Browser ausgeführt werden.
Gerade der Weg über Javascript macht eine Malware sehr portabel, mit kleinen Anpassungen läuft die dann auf jedem System.

 

[Frogman]

...ein sicheres und gut upgedatetes OS, ...

Das mit Sicherheit (inkl. Malware-Scanner), doch - wie gerade auch bei Locky & Co. gesehen - kann das auch ein sehr stumpfes Schwert sein....

...restriktiven Rechte Management ...

...wie oft auch dieses, denn gerade die aktuelle Ransomware-Welle wird im User-Kontext ausgeführt.

 

[Iarn]

Die Programmiersprache ist bei Malware eigentlich nie das Problem, auch in C geschriebene Malware lässt sich auf Linux portiert.

Trotzdem hat Linux ein ganz anderes Rechtemanagement, weswegen es Malware schwerer als auf anderen Betriebssystemen hat. Es sei den es findet eine CMS Software, die zufällig als Root läuft oder ähnliches.

Und ich habe auch nicht behauptet, dass Linux eine Lösung für alles ist. Aber genauso (in meinen Augen noch stärker) ist es ein Trugschluss zu glauben "ich habe ja ein Backup, mir kann nichts passieren", insbesondere wenn es ein Backup ist.
Im Endeffekt gibt es ne Menge Faktoren, die eine Rolle spielen, aber hier im Forum und das regt mich seit Jahren schon auf, wird immer nur so getan als wären nur Backups wichtig. Backups sind schön und gut aber wenn sie 99.99% funktionieren sollen, dann ist es eine Menge Aufwand. Und 100% Lösungen gibt es nie.

 

[Iarn]

Das mit Sicherheit (inkl. Malware-Scanner), doch - wie gerade auch bei Locky & Co. gesehen - kann das auch ein sehr stumpfes Schwert sein.......wie oft auch dieses, denn gerade die aktuelle Ransomware-Welle wird im User-Kontext ausgeführt.

Aber gerade unter Linux kann man die Rechte im User Kontext relativ einfach und wirkungsvoll beschneiden. Sicherlich gibt es Fälle von Rechteeskalation, aber wenn was unter Linux schreibgeschützt ist, dann ist das schon mal ne ziemlich drastische Hürde.

 

[Frogman]

100% Sicherheit gibt es nie, da stimme ich Dir zu - und ebenso wenig hilft nur ein Backup (und deshalb schreibe ich schon immer hier, dass man redundante und diversitäre Backups anlegt!). Aber dass gerade Datensicherung in den aktuellen Fällen das A und O darstellt, wirst Du von allen Seiten hören - und die Erfahrung der Betroffenen bestätigt das.

 

[Iarn]

Ich wage, meine eigene Meinung zu haben: Datensicherung ist wichtig aber ein sicheres OS und eine sinnvolle Rechtevergabe sind mindestens genauso wichtig.
Soviel Backups kann ich nicht anlegen, dass ich mit einem ungepatchen Windows XP und allen Ports offen keine Probleme bekomme, um es mal überspitzt auszudrücken.
Und je nachdem in welchem Forum und in welchen RL Kreisen man unterwegs ist, hört man auch andere Töne. In einem Linuxforum würden wahrscheinlich viel mehr Leute das Thema Rechtevergabe unterstreichen als hier. Es ist einfach meine persönliche Wahrnehmung, dass es hier im Forum zu einer gewissen Backup Fixierung gekommen ist, die sich gruppendynamisch verstärkt. Und übrigens im internationalen Synology Forum nicht so ausgeprägt ist, weshalb ich es eher für ein sozialen Phänomen halte.

 

[jahlives]

In einem Linuxforum würden wahrscheinlich viel mehr Leute das Thema Rechtevergabe unterstreichen als hier.

und wie schützt dich eine restriktive Rechtevergabe davor, dass ein Prozess unter deinem User Dateien verändert wo dein User Schreibrechte drauf hat? Eventuell könnte hier Selinux resp Apparmor helfen. Aber das dann so korrekt einzurichten ist eine Wissenschaft für sich

 

[Iarn]

und wie schützt dich eine restriktive Rechtevergabe davor, dass ein Prozess unter deinem User Dateien verändert wo dein User Schreibrechte drauf hat?

Wieso braucht mein User Schreibrechte? Das ist doch gerade des Pudels Kern, was ich nicht mit Schreibrechten mounte, kann auch nicht mit meinen Userrechten verändert werden.
Und da herrscht z.B. in anderen Foren viel höhere Vorsicht als hier vor, dass ich nicht ein 20 TB Volumen mit Videofilmen read/write von meinem Mediencenter mounten sollte etc.

PS ein kleines Beispiel: mein Netzlaufwerk mit den Urlaubsphotos ist mit meinem Standard User read-only, weil ich da zu 99% nur lesend zugreife. Und wenn ich den doch pflege, dann schiebe ich die Daten halt mit Filezilla und anderen Rechten drauf.
Wer jetzt "keylogger" einwirft, dann gebe ich mich in dem Punkt geschlagen, aber dann ist mein Schädlingsproblem längst über den Userspace raus.

 

[Puppetmaster]

Ist jetzt aber schon ein bisschen sehr theoretisch.

Praktisch arbeite ich ja mit meinem Rechner. Logisch, dass ich dort die Dateien, die ich benötige (und die wichtig sind) auch im Schreibzugriff habe. Mit Leserechten komme ich da nicht weit.

Meine 20TB Videos kannst du ruhig verschlüsseln, die sind ja ersetzbar, aber operativ genutzte Dateien nicht.

 

[Frogman]

..., dass ich nicht ein 20 TB Volumen mit Videofilmen read/write von meinem Mediencenter mounten sollte etc.

Die Filme müssen irgendwann auch mal dahin geschrieben werden... Solche Argumente finde ich dann schon etwas wackelig. Und es geht ja auch um Arbeitsrechner, auf dem man Daten bearbeitet, sprich auch speichert, ob nun lokal oder auf einem NAS - und das sind im Regelfall deutlich wichtigere Daten als Filme auf 'nem Mediencenter.

 

[Iarn]

Logisch, dass ich dort die Dateien, die ich benötige (und die wichtig sind) auch im Schreibzugriff habe. Mit Leserechten komme ich da nicht weit.

Meine 20TB Videos kannst du ruhig verschlüsseln, die sind ja ersetzbar, aber operativ genutzte Dateien nicht.

Sicher gibt es Daten, die muss ich lesend bearbeiten. Es ging mir nur mal ein Beispiel, um zu unterstreichen, dass sich die wenigsten Leute Gedanken um die Notwendigkeit von Rechtevergaben kümmern und prinzipiell immer als root / Adminsitrator arbeiten und alles schreibend mounten.
Und auch ohne Schadsoftware hilft mir eine restriktive Rechtevergabe auch vor der größten Fehlerquelle, mir selbst. Die meisten Daten die ich verloren habe oder auch nur Stunden danach gesucht, habe ich entweder selber gelöscht oder mit einer zu lange gehaltenen Maustaste irgendwo hin verschoben, wo ich sie nicht gefunden habe.
Und die 20 TB Daten: natürlich kann man die zum Teil ersetzen, aber die meisten Leute werden da ein versioniertes Backup zu recht scheuen.

 

[jahlives]

@larn
das stimme ich dir absolut zu in Bezug auf möglichst nur Leserechte für die User
Nur dann kommen wir zum Punkt wo man Sicherheit gegen Komfort abwägen muss. Aus Sicherheitssicht wären nur Leserechte für den User ideal. Nur ist das überhaupt nicht mehr komfortabel.
Jedesmal die Berechtigungen zu ändern resp die Freigaben rw einzubinden, wenn man was ändern muss? Das ist für eine Firma mit mehreren Usern kaum mehr zu machen bzw erfordert mount Rechte für jeden User, der was ändern können muss. Zudem wenn mein User das Recht hat eine Dateiberechtigung auf rw zu setzen, dann hat es auch eine Malware, welche in meinem Userkontext läuft!

 

[Iarn]

Die Filme müssen irgendwann auch mal dahin geschrieben werden... Solche Argumente finde ich dann schon etwas wackelig. .

Meine persönliche Lösung ist da FTP. Erstens weil es den Workflow des Hochladens für mich am besten trifft mit Warteschlagen die ich ggf umpriorisieren kann und zwei Spalten. Zum anderen weil ich per FTP recht flexibel mit Userwechsel bin.

Und es geht ja auch um Arbeitsrechner, auf dem man Daten bearbeitet, sprich auch speichert, ob nun lokal oder auf einem NAS - und das sind im Regelfall deutlich wichtigere Daten als Filme auf 'nem Mediencenter

.
Prinzipiell gibt es mir um jegliche Daten. Persönlich sind mir meine Urlaubsphotos die allerwichtigsten Daten, da bei mir als Angestellten eh nur Schulungsunterlagen zu Hause auf der NAS landen, der Rest bleibt selbstverständlich in der Firma.
Und ja meine wichtigen Daten habe ich mehrfach aber auch nicht als "einfaches" Backup sondern z.B. in ner kleinen Owncloud.
Wie gesagt, ich sage ja nichts gegen Backups aber ich sage, dass es ein stimmiges Gesamtkonzept sein muss und dazu gehört auch die Unterscheidung was brauche ich wofür.

 

[Puppetmaster]

Also das ist mir immer noch zu theoretisch.
Ich kann mit nur Leserechten in 90% der Fälle nichts anfangen (operativ).

Soll ich dann jetzt auch den User daran hindern, selbst Dateien zu erstellen? Oder wie stellst du dir das vor, dass dort nur Leserechte existieren sollen!?

Die 20TB Videodaten halte ich natürlich nicht in einem versionierten Backup vor, und ich behaupte auch mal, es sind keine 20TB eigener (und damit unersetzlicher) Videoaufnahmen, sondern kommerzielle Videos. Wo generiert ein Virus da also einen Schaden?

Egal. Ich glaube, ich steige aus der Diskussion jetzt auch wieder aus.

Eins noch. Ich merkte dies auch letzte oder vorletzte Woche noch einmal an: meine Urlaubsbilder speichere ich auch auf DVD's. Die sind dann letztlich immer nur lesend verfügbar. Und da mache ich mir auch wenig Sorgen bei Sturz, Wasser, EMP, ...

 

[Frogman]

..., dass es ein stimmiges Gesamtkonzept sein muss und dazu gehört auch die Unterscheidung was brauche ich wofür.

Also das unterstreiche ich doppelt... was ich eingangs mit der Betonung von Backups allerdings auch nicht in Abrede stellen wollte.

 

[Iarn]

@jahlives:
In vielen größeren Firmen haben auf wichtige Folder eh nur Konfigurationsmanager Zugriff und Änderungen laufen schon aus QS Gründen über Änderungsanträge.

Und was den privaten Einsatz angeht:
ich habe bei mir in der Regel genau einen Folder r/w gemountet und der wird auch versioniert gesichtert. Die anderen werden vom Betriebssystem automatisch lesend gemountet und wenn ich die schreibend brauche dann hänge ich die bei Bedarf ein und gebe dafür halt mein Passwort von Hand ein. Aber als Linuxer bist du es eh gewohnt, oft was erst nach Passwort Eingabe zu tun.