Böse Mails – sehr böse Mails

Seit einiger Zeit sind diese sehr bösen Mails mit Rechnungen von Endesa im Umlauf. Bitte, bitte diese Mails gleich in den Papierkorb legen und keinesfalls auf den orangenen Button klicken!

Warum? -> Ransomware!!Ransomware

Früher gab es Viren und Trojaner, auch Phishing Mails und Rootkits waren eine zeitlang hipp, aber die Virenscanner von heute sind durch die Bank weg durch gut gerüstet. Sie finden zwar nicht alle Viren, aber in der Regel sollte nicht allzuviel passieren.
Ransomware ist das neue Böse, fies und aktuell nicht durch Virenscanner vermeidbar.

Was ist aber Ransomware und was kann man dagegen tun?

Einfach dargestellt ist Ransomware ein kleines, einfaches Script/ Programm, dass man sich beim Klick auf einen Button in einer Mail herunterlädt und welches dann automatisch im Hintergrund aktiv ist. Und jetzt kommt das wirklich fiese daran: Je nach Art fängt dieses Script an, alle Dokumente (Word, PDF, etc.), alle Bilder und alles weitere, zu verschlüsseln. Das Ganze passiert im Hintergrund, ohne dass man es bemerkt. Es werden nicht nur Dokumente auf dem eigenen Rechner verschlüsselt, sondern auch die Dokumente auf angebundenen Laufwerken eines Servers. Upps!! Alles weg… alles nicht mehr zugreifbar…

In jedem Ordner, in dem es verschlüsselte Dokumente gibt, sind jetzt 2 neue Dokumente hinzugekommen: eines mit der Endung .txt und eines mit der Endung .html. Diese beiden Dokumente sind sozusagen das Erpresserschreiben: „Wenn Sie Ihre Dokumente entschlüsselt haben wollen, zahlen Sie 500 € bis zum xx.yy.2016“, danach kostet es 1000 € und noch längere Wartezeiten werden dann Schritt für Schritt noch teurer. Zu zahlen bitte per Bitcoin.

Jetzt sitzt man in der Falle, zahlen oder nicht zahlen, das ist hier die Frage. Für viele dieser Crypto Programme gibt es inzwischen Gegenmaßnahmen um die Verschlüsselung wieder auszuhebeln, aber es kommen neue dazu die aktuell nicht entschlüsselbar sind und somit sitzen die Erpresser am längeren Hebel.
Argumente wie ‚Das ist aber illegal‘ oder ‚das dürfen die doch nicht‘ sind zwar richtig, aber ändern nichts. Man kann zu Polizei gehen, Anzeige gegen Unbekannt aufsetzen und hoffen, dass die Polizei irgendwann mal jemanden ausfindig macht (irgendwo in der Mongolei, in Russland oder sonstwo auf der Welt). Aber die Daten bleiben verschlüsselt, nicht zugreifbar, einfach nur weg.

Was tun?

Hierbei gibt es mehrere Möglichkeiten:

  • Vorsicht bei solchen Mails, achte auf Absender und Links mit dubiosem Ziel -> mehr weiter unten
  • MAC User sind davon aktuell nicht betroffen, da eine Grundfunktion der Macs, die Sandbox, das unterbindet. Somit ist es für die bösen Jungs langweilig, da man nicht soviel abgreifen kann. Ein Mac User kann also auf den Link klicken und es passiert nix :-)
  • Bei Windows Usern gibt es seit Windows 7 (teilweise auch schon früher) eine Funktion mit Namen VSS (Volumen Schatten Kopie). Diese ist leider fehleranfällig und nicht immer aktiviert, deshalb liebe Windows User, bitte vergewissert euch, ob das VSS aktiv und auch funktional ist. In der Systemsteuerung -> System -> Computerschutz findet man die Option. Bitte aktivieren und gut 20% vom Speicherplatz dafür zur Verfügung stellen.
    Testen kann man das an einem beliebigen Dokument Ordner, rechte Maustaste drauf und die Option ‚vorherige Version‘ sollte sichtbar sein.
    Jetzt kann man z.B. einen Tag zurückspringen und hat somit Zugriff auf seine Dokumente. Puh, Glück gehabt. Aber nur wenn das auch aktiviert ist und funktioniert!!!
  • Man macht regelmäßig Backups von seinem Rechner und dem Server, ähnlich der TimeMachine auf Mac Systemen sollten hier die Windows Systeme täglich gesichert werden, inkl. Remotesicherung
  • Daten zusätzlich in einem Cloudsystem sichern, wie z.B. Dropbox, OwnCloud, etc
  • Spamfilter auf dem Server und am Arbeitsplatz optimal einrichten und lehren.
  • Für einige Verschlüsselungs-Ransomware Probleme gibt es zwischenzeitlich Gegenmaßnehmen, www.nomoreransom.org, aber leider noch keine für die Ransomware der endesa Mail – crypt0l0cker
  • Advanced malware Protection von Cisco einrichten auf Serverbasis oder an den Endpunkten, mehr dazu bei www.cisco.com
  • Schlußendlich, wenn nichts geholfen hat, bleibt nur die Bezahlung via BitCoins und da kommt das nächste Problem. Wie zahlt man mit BitCoins? Die bösen Jungs und Mädels haben in der txt/html Datei eine komplette Anleitung reingepackt wie man bezahlt etc. Aber dieser Schritt erst zu guter Letzt und wenn gar nichts mehr hilft.
  • Wichtig ist hier auch zu erwähnen: Nicht nur das die Daten verschlüsselt sind, die Ransomware ist auch weiterhin auf dem System und solange sie da ist, wird immer wieder von neuem verschlüsselt. Bevor es also an das Entschlüsseln, Daten wiederherstellen geht, muss man schleunigst die Ransomware entfernen. Dazu bieten alle großen Virenscanner Firmen ein passendes Tool an.Es gibt hier noch viel mehr zu sagen, weitere zusätzliche Schutzmechanismen die man bei Outlook, bei den verschiedenen Windowssystem einrichten kann um auch bei versehentlichem Aktivieren des Buttons noch auf der sicheren Seite zu sein, aber fürs Erste ging es darum zu sensibilisieren um einen gewissen Respekt vor Ransomware zu bekommen.

    Don’t click on Buttons in E-Mails, if you don’t trust the sender

Endesa Rechnung

Logo sauber eingebunden, der Text und die Aufmachung könnten dem Original entsprechen, aber auf keinen Fall der Absender. Solche Mails können auch von Movistar, Vodafone, Paypal, verschiedenen Banken etc kommen. Also immer Vorsicht.

endesa1

Endesa Mail

Endesa hat zum Glück sehr schnell erkannt, dass hier illegale Machenschaften ihre Kosten getätigt werden und eine Info Mail an alle Kunden verschickt, mit dem Hinweis zur Vorsicht bei Mails die von Endesa kommen – Für viele Kunden kam der Hinweis leider zu spät.

Böse Mails – vermeiden von falschen Aktionen

Böse Mails wird es weiterhin geben, aktuell sind vor allem die Ransomware Mails und auch immer noch die Phishing Mails sehr beliebt. Also Vorsicht und hier ein paar Hinweise wie man böse Mails erkennt (leider funktioniert das nicht immer, aber oft):
wenn du mit der Maus über den Absender fährst und kurz wartest wird die Absender Mailadresse angezeigt. Ist diese vertrauenswürdig? Passt das nach dem @ zum tatsächlichem Absender? @paypal.com ist gut, aber @paypal.kr.com ist weniger gut.

endesa2

Links in der Mail, die darauf hinweisen, dass man z.B. sein Passwort ändern sollte etc, sollten mit der gleichen Vorgehensweise geprüft werden. Maus drüberfahren kurz warten und dann die Adresse anschauen. www.linkedin.com/… ok, aber bit.ly/cxzt nicht ok.
Wenn es eine böse Mail ist, dann bitte nicht in den Papierkorb werfen, sondern zuvor als Spam markieren, damit solche Mails dann zukünftig ausgefiltert werden.

No More Ransom – www.nomoreransom.org

Seit ein paar Tagen gibt es eine Website, die sich den Opfern von Ransomware widmet und helfen will. Für einige ältere Verschlüsselungs Ransomwares gibt es hier Entswchlüsselungstools. Die Seite verweist auch auf eine zentrale Stelle um z.B. bei Europol eine Anzeige zu schalten und  vermittelt einiges an Background Wissen.

Leider gibt es aktuell noch kein Gegenmittel gegen die Ransomware der endesa Mail – crypt0l0cker ist ein neuer, besonders gemeiner  und trickreicher Verschlüsselungsalgorythmus.

nomoreransom

Und zu guter Letzt noch ein kleiner Hinweis:

Kein Anbieter oder kommerzielles Unternehmen wird eine Rechnung oder ein Dokument als zip oder doc/docx Datei schicken. Es sind immer pdf Dateien. Also wenn mal ein Anhang als zip/doc/docx dran hängt, zuerst mal schauen von wem genau die Mail eigentlich kommt.

Böse Mails – sehr böse Mails