Cryptolocker

[reox]

Hi!
Akut ist ja mal wieder viel bezüglich cryptolocker zu hören, auch dass die NAS und externe Geräte befallen ist ja nix neues. Ich wunder mich nur, was die eigentlich alles können.
Zum Beispiel sei folgende Netzwerkstruktur gegeben: Linux Router, Linux NAS, Linux Media PC, Linux Workstations sowie eine Windows Kiste. Ich mach mir da dann nur um das Windows Gerät Sorgen... Angenommen dort tritt so ein Befall auf. Welchen Maximalen Schaden richten die an? Mein aktueller Kenntnisstand ist, dass sie nur aktuell gemountete Netzlaufwerke befallen können und solche die öffentlich zugänglich sind. Nun gäbe es ja ne Menge Exploits um sich auch auf den Linux Kisten Zugang zu verschaffen. Also man nehme mal nur den aktuellen glibc bug ( http://heise.de/-3107621 ): Theoretisch könnte ja einer mittels ARP Spoofing die DNS Anfragen beantworten und potentiell root rechte erlangen... Und das ist ja sicher nicht die einzige Möglichkeit.
Derzeit gehen die Entwickler da wohl den Weg des geringsten Widerstandes und machen sich halt über Windows Kisten her. Nur da ja viele NAS auf Linux laufen (zB Synology http://heise.de/-3113554 ) ist es mM vermutlich nur eine Frage der Zeit bis die gleich noch ein Exploit Kit für Linux Rechner mitnehmen...
Wer weiß da mehr?

[MSfree]

Welchen Maximalen Schaden richten die an?

Sie verschlüsseln alle Dateien, auf die man mit den aktuellen Benuttzerrechten Zugriff hat.

Mein aktueller Kenntnisstand ist, dass sie nur aktuell gemountete Netzlaufwerke befallen können und solche die öffentlich zugänglich sind.

Richtig, wenn dein Windows mit deinem NAS verbunden ist, können sie auch dort Dateien verschlüsseln.

Nur da ja viele NAS auf Linux laufen ...

Das perfide ist, daß der Cryptolocker gar nicht daran interessiert ist, das Betriebssystem als solches zu übernehmen. Der will nur Dateien verschlüsseln. Dein MeinGanzWichtigesDokument.docx ist halt nach dem Befall nicht mehr entzifferbar, egal, ob das nun auf c: oder auf \\NAS\Data liegt.

[reox]

Das perfide ist, daß der Cryptolocker gar nicht daran interessiert ist, das Betriebssystem als solches zu übernehmen. Der will nur Dateien verschlüsseln. Dein MeinGanzWichtigesDokument.docx ist halt nach dem Befall nicht mehr entzifferbar, egal, ob das nun auf c: oder auf \\NAS\Data liegt.

Ja, nur wenn ich dann ein Backup am NAS liegen hab, ist das Geschätfsmodell ja kaputt. Daher würde ich halt vermuten, dass es naheliegend ist auch alle Rechner zu befallen und zu verschlüsseln.

[uname]

Ich denke Locky kann man mit der glibc-Lücke nicht vergleichen. Trotz der glibc-Lücke habe ich nachträglich kein schlechtes Gefühl bei Linux. Bei Windows hätte ich aber mittlerweile Angst auf irgendwas draufzuklicken. Bei Linux kann ich auf ausführbare Scripte (z.B. E-Mail-Anhänge) klicken wie ich will. Erst wenn ich aktiv die Berechtigung auf Ausführen setze passiert was. Ist bei Openbox so, mag bei Gnome mittlerweile anders sein.

Zu deinem NAS-Problem. Du solltest dir ernsthaft überleben ob es richtig ist einem Windows-System überhaupt Schreibrechte auf das NAS zu geben. Und wenn doch ist eigentlich nur folgende Frage wichtig: Wie alt ist das letzte, für das Windows-System unerreichbare Backup? Beantworte uns diese Frage und du kannst den Schaden leicht berechnen, der in der Zeitdifferenz zu heute liegt. Denn genau diese Daten sind weg.

[reox]

Zu deinem NAS-Problem. Du solltest dir ernsthaft überleben ob es richtig ist einem Windows-System überhaupt Schreibrechte auf das NAS zu geben. Und wenn doch ist eigentlich nur folgende Frage wichtig: Wie alt ist das letzte, für das Windows-System unerreichbare Backup? Beantworte uns diese Frage und du kannst den Schaden leicht berechnen, der in der Zeitdifferenz zu heute liegt. Denn genau diese Daten sind weg.

*g* da bin ich schon einen Schritt voraus Der Windows PC hat auf dem System gar nix verloren...

Anderes Thema: Der Locky löscht ja die Schattenkopien, damit auch ja nix unverschlüsseltes herumliegt. Auf einem potentiell gefährdeten NAS könnte man ja zusätzlich noch LVM Snapshots anlegen, die sollte er ja net überschreiben können.

[MSfree]

Ja, nur wenn ich dann ein Backup am NAS liegen hab, ist das Geschätfsmodell ja kaputt.

Wenn das Backup von deinem Windowsrechner aus erreichbar ist und Schreibberechtigung hat, ist auch das im Eimer.

Daher würde ich halt vermuten, dass es naheliegend ist auch alle Rechner zu befallen und zu verschlüsseln.

Ich kann dir nicht sagen, ob die Cryptolocker irgendwelche Verbreitungsmechanismen nutzen, um andere Windowsmaschinen zu befallen, es ist aber sehr naheliegend.

Wer aber glaubt, ein Backup auf dem NAS sei sicher, weil dort kein Windows läuft und das NAS einigermassen immun gegen Windowsviren ist, der irrt. Die Dateien auf dem NAS werden vom infizierten Rechner einfach über das Netz eingelesen, verschlüsselt und anschließend über das Netz wieder geschrieben.

[reox]

Wer aber glaubt, ein Backup auf dem NAS sei sicher, weil dort kein Windows läuft und das NAS einigermassen immun gegen Windowsviren ist, der irrt. Die Dateien auf dem NAS werden vom infizierten Rechner einfach über das Netz eingelesen, verschlüsselt und anschließend über das Netz wieder geschrieben.

Na jetzt drehen wir uns ja im Kreis. Die eingehende Frage war ja ob die Cryptolocker mittlerweile in der Lage sind, ein (Linux) NAS zu übernehmen. Das jedes Betriebssystem unsicher ist, sollte klar sein. Die Frage ist immer nur die Größe des Gefahrenpotentials und die Architektur des Systems (also wie proaktiv dort Sicherheit gehandhabt wird).
Ich kann mein Backup unter Windows auch mit WinSCP per SSH aufs NAS schieben oder 100 andere varianten verwenden bei denen die aktuellen Cryptolocker die Daten nicht verschlüsseln (da nicht als Netzlaufwerk gemounted).

[MSfree]

Die eingehende Frage war ja ob die Cryptolocker mittlerweile in der Lage sind, ein (Linux) NAS zu übernehmen.

Das sehe ich nicht so. Die Frage war, welcher maximale Schaden angerichtet werden könnte.

Ich kann mein Backup unter Windows auch mit WinSCP per SSH aufs NAS schieben oder 100 andere varianten verwenden bei denen die aktuellen Cryptolocker die Daten nicht verschlüsseln (da nicht als Netzlaufwerk gemounted).

Das wäre eine mögliche Antwort auf die Frage, wie man verhindert kann, daß Backups zerstört werden.

[reox]

Die eingehende Frage war ja ob die Cryptolocker mittlerweile in der Lage sind, ein (Linux) NAS zu übernehmen.

Das sehe ich nicht so. Die Frage war, welcher maximale Schaden angerichtet werden könnte.

[...] ist es mM vermutlich nur eine Frage der Zeit bis die gleich noch ein Exploit Kit für Linux Rechner mitnehmen...
Wer weiß da mehr?

Der maximale Schaden ist klar: Das Teil nuked nicht nur die Daten sondern die Hardware gleich mit (mittels "BadBios" schön persistent). Und zwar überall wo es kann...

[TRex]

Der maximale Schaden ist klar: Das Teil nuked nicht nur die Daten sondern die Hardware gleich mit (mittels "BadBios" schön persistent). Und zwar überall wo es kann...

Das wäre aber nicht profitabel.

[tec]

... Der Locky löscht ja die Schattenkopien, damit auch ja nix unverschlüsseltes herumliegt...

ohne es mangels eines windows-systems probieren zu können:

Code: Alles auswählen

vssadmin delete shadows

.. soll laut einem kommentar bei heise wohl admin-rechte benötigen..

[NAB]

Die eingehende Frage war ja ob die Cryptolocker mittlerweile in der Lage sind, ein (Linux) NAS zu übernehmen.

Du, das kann dir heutzutage keiner mehr beantworten. Die Dinger sind modern geworden, halten Kontakt zu ihrem Kontrollserver und laden bei Bedarf neue Module nach, um neue Aufgaben bewältigen zu können. Du kannst nicht mehr pauschal sagen, ob ein Virus Fähigkeit X nicht hat - das kann sich mit dem nächsten Update schon ändern.

Speziell zu Locky hab ich auch widersprüchliches gehört ... zum einen soll er nur stumpf-primitiv alles verschlüsselt haben, was in der Reichweite des aktuellen Users ist, zum anderen soll er z.B. beim Fraunhofer Institut ganze Server befallen und lahmgelegt haben.

[spiralnebelverdreher]

Speziell zu Locky hab ich auch widersprüchliches gehört ... zum einen soll er nur stumpf-primitiv alles verschlüsselt haben, was in der Reichweite des aktuellen Users ist, zum anderen soll er z.B. beim Fraunhofer Institut ganze Server befallen und lahmgelegt haben.

Das muss ja kein Widerspruch sein. Wenn Locky mit entsprechend weitreichenden Admin-Rechten auf dem Server schalten und walten konnte, dann ist seine Reichweite groß. Ist natürlich die spannende Frage: Hatte er in diesem Fall die Fähigkeit, Rechte zu eskalieren oder hat er nur die Rechte ausgenutzt, die ihm ein unvorsichtiger Admin eingeräumt hat?

[NAB]

Das muss ja kein Widerspruch sein. Wenn Locky mit entsprechend weitreichenden Admin-Rechten auf dem Server schalten und walten konnte, dann ist seine Reichweite groß. Ist natürlich die spannende Frage: Hatte er in diesem Fall die Fähigkeit, Rechte zu eskalieren oder hat er nur die Rechte ausgenutzt, die ihm ein unvorsichtiger Admin eingeräumt hat?

Dazu muss man wissen, dass Locky nach gängiger Berichterstattung keine Verbreitungsfunktion zu haben scheint. Der wird per Mail verschickt und jeder Anwender muss ihn selber starten. Es müsste also ein Admin auf dem Server den Virus empfangen und per MS Office gestartet haben (mit Adminrechten). Okay, das ist durchaus möglich. Oder Locky kann halt doch eine Verbreitungsfunktion nachladen, wenn die Umgebung vielversprechend aussieht.

[Lord_Carlos]

It scrambles any files in any directory on any mounted drive that it can access, including removable drives that are plugged in at the time, or network shares that are accessible, including servers and other people’s computers, whether they are running Windows, OS X or Linux.

If you are logged in as a domain administrator and you get hit by ransomware, you could do very widespread damage indeed.

hø hø hø.
Man muss aber auch die unbekannte email oeffnen, den Anhang oeffnen mit MS Word und dann aktiv die Macros aktivieren.

Da hier nach dem Maximalen schaden gefragt wurde: 360 EUR (bei locky) Dann hat man alle seine Daten wieder.

[uname]

360 EUR (bei locky) Dann hat man alle seine Daten wieder.

Darauf würde ich mich nicht verlassen.

[reox]

360 EUR (bei locky) Dann hat man alle seine Daten wieder.

Darauf würde ich mich nicht verlassen.

Also die haben immerhin nen "Kundendienst" mit Hotline Hab die Screenshots grad nicht da aber die Seiten sind ziemlich nett gemacht. Du kannst sogar eine Datei hochladen und bekommst sie entschlüsselt wieder - als proof, dass sie wirklich den Schlüssel haben. Man muss halt schnell sein. Meist isses da so, dass es in den ersten 24h nur einen 0.5 Bitcoin kostet und dann gleich 10 oder so. Aber das ist verschieden.

Übrigens der hier scheint sich jetzt auf Linux zu spezialsieren, aber nur per PHP. Scheint wohl immer noch einfacher zu sein als glibc auszunutzen... http://heise.de/-3116470

[Lord_Carlos]

360 EUR (bei locky) Dann hat man alle seine Daten wieder.

Darauf würde ich mich nicht verlassen.

Die verdienen sonnst kein Geld.
Wenn jemand von den crypto Erpressern nach der Gelduebergabe den Schluessel nicht rausreuckt wird die ganze "Industrie" geschaedigt und das wird von den anderen Teilnehmen nicht gerne gesehen. Die bekaempfen sich dann gegenseitig

[spiralnebelverdreher]

360 EUR (bei locky) Dann hat man alle seine Daten wieder.

Darauf würde ich mich nicht verlassen.

Welche Alternative hat jemand, der kein (aktuelles) Backup hat?
Die Daten erstmal verloren geben. Die verschlüsselten Daten aufbewahren, in der Hoffnung dass die Cryptolocker-Schreiber geschlampt haben und irgendwann eine Entschlüsselungsmethode bekannt (oder geleaked) wird? Oder hoffen, dass die Strafverfolgungsbehörden eine Spur haben, die Erpresser dingfest machen und die Schlüssel dann für umme oder kleines Geld verteilen?
Ich meine, irgendwo gelesen zu haben, dass das amerikanische FBI zur Zahlung geraten hat, wenn man seine Daten gerne in endlicher Zeit zurück hätte.

[MSfree]

Ich meine, irgendwo gelesen zu haben, dass das amerikanische FBI zur Zahlung geraten hat, wenn man seine Daten gerne in endlicher Zeit zurück hätte.

Das FBI ist auch daran interessiert, die Bitcoins zu verfolgen, mit denen sich die Erpresser bezahlen lassen. Je mehr zahlen, desto größer ist die Wahrscheinlichkeit, auch mal ein paar Bitcoins verfolgen zu können.

[spiralnebelverdreher]

Mich fragen manchmal Leute, ob und wie sie ihre Festplatte verschlüsseln sollen. Ich erschrecke sie dann immer mit der Aussage "Verschlüsseln ist nur für ganz Mutige, da Verschlüsseln fast wie dauerhaftes Löschen ist - es gibt nur einen einzigen schmalen Weg zurück zu den unverschlüsselten Daten. Wenn man den nicht gehen kann, sind die Daten extrem zuverlässig weg." Cryptolocker ist da ein sehr schönes Beispiel - der Rückweg zu den entschlüsselten Daten ist nicht nur schmal, sondern auch noch teuer.

[MSfree]

Cryptolocker ist da ein sehr schönes Beispiel - der Rückweg zu den entschlüsselten Daten ist nicht nur schmal, sondern auch noch teuer.

Naja, ein kleiner Unterschied besteht dann aber doch. Wer selbst verschlüsselt, hat hoffentlich das Passwort zur Entschlüsselung vor dem Vergessen geschützt gelagert. Dumm nur, wenn irgenwo im verschlüsselten Datenstrom ein Bit umkippt, dann ergeben die Daten nach dem defekten Bit nur noch unsinnigen Blödsinn, während ein einzelnes defektes Bit in einem unverschlüsselten Textdokument nur in einem Schreibfehler resultiert oder ein defektes Pixel eines Digitalfotos erzeugt. Wer die Daten auf seinem Notebook schützt, in dem er verschlüsselt, sollte ein unverschlüsseltes Backup haben.

Cryptolocker ist aber eine unfreiwillige Verschlüsselung. Ach, warte, nicht ganz, denn man muß schon freiwillig auf die sogenannte Rechnung eines sächsischen Wurstlieferanten klicken oder seit neuestem ein Fax einer Leipziger Imobilienfirma abholen.

[spiralnebelverdreher]

Wer die Daten auf seinem Notebook schützt, in dem er verschlüsselt, sollte ein unverschlüsseltes Backup haben.

Kommt meines Erachtens auf das Gefährdungspotenzial der unverschlüsselten Daten an: Wichtige Geschäftsgeheimnisse würde ich (als unverschlüsseltes Backup) nur in einer sehr sicheren Umgebung (Banktresor bspw) aufbewahren.
Was gerade bei solchen Daten für Verschlüsselung aller Datenträger spricht ist eben der Aspekt, dass Verschlüsseln fast wie Löschen ist: Datenträgerentsorgung ist ganz easy (alle keys löschen - fertig) oder auch bei Hardwaredefekten (kaputter Festplattencontroller) kann nur ein schwaches Passwort in Kombination mit einem geübten Datenretter eine Gefahr darstellen.

[DeletedUserReAsG]

Dumm nur, wenn irgenwo im verschlüsselten Datenstrom ein Bit umkippt, dann ergeben die Daten nach dem defekten Bit nur noch unsinnigen Blödsinn […]

Hängt ein bisschen von der verwendeten Verschlüsselung ab. Zum Beispiel plain-AES (via aespipe) hat dann einige kaputte Bytes an der betreffenden Stelle, und etwas Datenmüll am Ende – nix, was man nicht retten könnte. Gleiche Aktion bei der gleichen Datei, nur mit ›gpg -c‹ verschlüsselt (also lt. Manpage auch nur AES) bringt hingegen lustige Ergebnisse zustande.

Wie auch immer: ich verschlüssele meine Backups – richtig wichtige Daten sind sowieso mehrfach vorhanden, bei Arbeitsdaten habe ich dann im schlimmsten Fall nur Zugriff auf die vorletzte Sicherung, wenn die Letzte tatsächlich unlesbar sein sollte.

[catdog2]

Übrigens der hier scheint sich jetzt auf Linux zu spezialsieren, aber nur per PHP. Scheint wohl immer noch einfacher zu sein als glibc auszunutzen... http://heise.de/-3116470

Das gute *hust* Wordpress halt und der andere PHP müll.