Halloween Updates
Zuerst veröffentlichte Adobe ein Notfall Sicherheitsupdate (das aber bei Google Chrome schon etwa eine Woche vorher integriert war). Neben einem neuen Office Insider build 7521.1000 gab es ein zweites kumulatives Update für Oktober. Windows 1511 ist damit auf Version .351. Allen Lesern in katholischen Bundesländern wünsche ich ein schreckfreies Halloween und einen ruhigen Allerheiligen. Zuletzt bekam der Faststone Image Viewer eine runde Version 6.0. Mehr Details zu Versionsupdates finden Sie unter der Apps Kachel oder Sie abonnieren den RSS-Feed dazu. (Post ID:1039)

Fake-Angebote auf Amazon
seit einigen Wochen häufen sich Angebote, die auf der Plattform von seriösen Anbietern gelistet sind. Dabei werden meist vorhandene Artikel des Anbieters zu weniger als der Hälfte des Straßenpreises beworben (und auch bei zahlreichen Suchportalen an erster Stelle angezeigt). Im Artikeltext steht nun, dass der Interessent eine E-Mail an Adresse X schreiben soll und nicht über sein Amazon Account bestellen. Danach bekommt man eine Rechnung, die aussieht, als komme sie von Amazon - ist sie natürlich nicht. Hat man das Geld erst überwiesen, bekommt man keine Ware. Da die Artikel bei namhaften, gelisteten Amazon Verkäufern auftauchen, ist das jeweilige Amazon-Verkaufskonto gehackt worden. Empfehlung: Weil Einige von Ihnen die Amazon Verkaufsplattform für den Betrieb nutzen: Bitte ändern Sie Ihre Kennwörter regelmäßig (1x pro Monat) und stellen sicher, dass es sich um ein eindeutiges, komplexes Kennwort handelt. Haben Sie ein Amazon Konto als Käufer, gilt das Gleiche, denn auch Ihre Daten können missbraucht werden. Vermeiden Sie, am Amazon Bezahlweg vorbei, Käufe zu tätigen. Vekäufer auf Amazon dürfen keine Zahlungen per E-Mail abwickeln. (Post ID:1035)

Wie sieht ein Locky Downloader aus
Derzeit ist neben einer angehängten Word-Datei eine E-Mail vom scanner@meinefirma.de (meinefirma.de entspricht der Firmendomain), der Betreff lautet z.B. mailadressedesmitarbeiters-3409450345890@meinefirma.de. Im Anhang der E-Mail befindet sich eine ZIP-Datei, die wiederum eine .JA-Datei enthält. Wer diese Datei anklickt, ist selbst schuld, denn er hat nun Locky heruntergeladen und ausgeführt und alle Dateien (auch auf Netzlaufwerken mit Schreibzugriff) sind verschlüsselt. Als aktuelle Variante wird dabei meist Teslacrypt 4.0 benutzt, das nun auch versteckte Netzwerkfreigaben sucht (und findet) und auch Dateien und Container >4GB verschlüsseln kann. Da der Private Schlüssel 4096 Bit lang ist, ist eine Entschlüsselung unmöglich. Da Scanner nur PDF-Dateien verschicken und auch nur, wenn der Mitarbeiter vorher etwas gescannt hat, dürfte an sich niemand solche Anhänge öffnen und ausführen. Es wird aber trotzdem geklickt. Auf der administrativen Seite würde es jetzt helfen, wenn man Downloads in der Firewall blockt. Ist die Downloadadresse aber (wie in diesem Beispiel) eine HTTPS Webseite, hilft nur eine Next Generation Firewall, die auch SSL-Verschlüsselten Inhalt analysiert und blocken kann. Dort werden dann nur echte PDF-Dateien durchgelassen, alle anderen Downloads werden geblockt. Bitte sensibilisieren Sie Ihre Mitarbeiter, keine vermeintlichen Scanner-Anhänge zu öffnen, auch dann, wenn die Absendeadresse vertraut erscheint. Austausch von Dokumenten mit Externen Personen sollten NUR im PDF-Format erfolgen. Bei Office Dokumenten (Word, Excel) besteht ein Risiko, dass diese Makroviren enthalten. (Letzte Revision: 22.03.2016 18:14:35) (Post ID:1007)

EU Cookie-Richtlinie
Wer fühlt sich nicht genervt durch fast alle Webseiten, die ein in der EU vorgeschriebenes "Cookie Accept Banner" einblenden. Schön dass Webseiten darüber informieren, dass Sie Cookies zur Informationsverarbeitung nutzen. Wer das aber ohnehin weiß (also ziemlich alle, die mit IT zu tun haben), gibt es zum Glück für die Browser Google Chrome und Mozilla Firefox eine Erweiterung, die diese Popups fast in allen Fällen von vornherein entfernt. "I dont care about cookies" heisst sie und ist kostenlos. Neben "uBlock origin" und der MVPS Hosts Tabelle ist das Surfen im Internet (und dank zuletzt genannter auch die Microsoft Apps) weitgehend werbefrei und ohne nervige Popup-Meldungen. (Post ID:997)

Software Sicherheitsnachrichten
Flash-Player Sicherheitsupdate 20 build 207 schließt bereits ausgenutzte Sicherheitslücken. Für den Internet-Explorer ab Version 10, Microsoft edge und Google Chrome for Business wird das Plugin im Hintergrund automatisch aktualisiert. Eine neue Paint.net Version 4.0.8 ist ebenfalls erschienen, bringt Geschwindigkeits-Optimierungen und Bugfixes und sollte wie folgt paketiert werden: paintdotnet-install.exe /createMsi DESKTOPSHORTCUT=0 Als Resultat gibt es 2 MSI-Dateien. Ich verwende davon nur die 64-Bit-Variante und führe sie dann mit den gewohnten MSI Silent Parametern /qb- aus. (Letzte Revision: 31.12.2015 10:24:45) (Post ID:984)

Verschlüsselungs-Trojaner
Ramsomware nennt man die zurzeit häufig auftretenden Verschlüsselungs-Trojaner. Einmal infiziert verschlüsselt sie alle Daten, die sie finden kann, mit einem hochsicheren Schlüssel. Auf den infizierten Rechnern wird dann eine Meldung angezeigt, dass man gegen Zahlung von Bitcoins (meist ca. 500 €) eine Software erhalte, mit denen man die Daten entschlüsseln kann. Die angebotene Zahlungsmethode stellt sicher, dass das Geld nicht nachverfolgbar ist. Ob es eine Gegenleistung in Form einer funktionierenden Software (die keine Schadstoffe enthält) gibt, ist fraglich. Die Experten vom BSI raten, auf diese Lösegeldforderungen nicht einzugehen! Wie finden viele Infektionen statt? * Ein Mitarbeiter erhält eine E-Mail, die einen Internet Link enthält. Klickt der Mitarbeiter auf den Link, wird die Verschlüsselungssoftware installiert und verschlüsselt alle Dokumente im Zugriff. Zusätzlich können die Schadprogramme in einem E-Mail-Anhang versteckt sein oder auf einer Webseite zum Download angeboten werden. Wie können Sie sich speziell gegen Ransomware schützen? * Mitarbeiter sensibilisieren (Nicht auf Anhänge und Links in Mails klicken, keine Internet-Downloads von Programmen) * Blockieren von Downloads unerwünschter Dateiendungen auf Ihrer w.safe Firewall einrichten (Dateien werden anhand der Endung im Namen blockiert, Dateiinhalte können nicht analysiert werden) * Exchange Richtlinie einrichten, die unerwünschte Dateiendungen blockiert (schützt vor E-Mails mit Anhängen) * Anzeige von E-Mails in Outlook als "NUR-TEXT". (HTML-E-Mails können bereits schädliche Javascripts enthalten) * Anschaffung einer Next Generation Firewall mit Inhalts- und Anhang-Blockierung: Hierbei kann man konfigurieren, dass Anhänge und das Ausführen von Links in E-Mails und Internet-Downloads blockiert werden. * Windows Enterprise mieten. Mit Software-Assurance und Windows Enterprise kann die Applocker…

Meine erste Paypal Scam E-Mail
Das Deutsch in diesen Mails wird zwar immer besser, daher hat der Antispamfilter die Mail auch durchgelassen, aber endlich habe ich auch mal eine solche Mail bekommen. Zeit, die Mail mal in meiner Sandbox-Umgebung unter die Lupe zu nehmen: Trotz verbessertem Deutsch und Umlauten im Formulartext enthält die Mail Fehler. Und auch wenn Sie in perfektem Deutsch und mein Name richtig geschrieben worden wäre und ich ein PayPal Kont hätte - warum in aller Welt sollte ich überhaupt auf einen Link in einer E-Mail klicken??? Zumal dieser Link auch noch auf eine bit.ly Adresse lautet. Nene! Früher haben die Scammer sich wenigstens noch Mühe gegeben und eine Fake-URL gemietet, die zumindest so ähnlich klang wie diejenige des vorgetäuschten Absenders. Ein Blick in die E-Mail-Kopfzeilen zeigt dann als X-Mailer schon mal: Smart_Send_3_1_6. Hier wird nicht mal der Mailer verscheiert. Man rechnet fest damit, dass der User alles anklickt, was ihm unter die Maus kommt! Und es funktioniert! (aber nicht bei mir). Vor etwa 20 Jahren gab es schon mal das manuelle Virus: Sie abe soeben aine albanische Virus empfangge. Da wir in Albanie tecnologisch noc nict so wait fortgeschritte sind, handele sic um MANUELLE Virus. Bitte lösche Sie alle Dataie auf Ihre Festplatte selber, jezte Sie neme bitte grosse Ammer unde schlage Sie gräftig auf Giste wo ist Festplatte drinn unde leiten Sie diese mail weiter an alle Persone, die sie kenne. Ist voll krass und vunczioniert. Viele Dank fur Susammenarbeit! Gruss fo Freier Virusendwiggler Dragan Generelle Empfehlung:Nie Nie Nie und…

Halloween
Süßes oder Saures heisst es am Samstag wieder zu Halloween. Wir wünschen Ihnen viel Spaß bei Ihrer Halloween Party. Evangelische Mitbürger feiern stattdessen den Reformationstag :P . Am Montag danach (2. November) gibt es Süßigkeiten von Microsoft in Form eines großen Feature Updates für Windows 10. Zunächst über Windows Update übertragen wird es von der Version auf Basis von build 10575 auch wieder ISOs zum Neuinstallieren geben. Diese ISOs enthalten dann wieder alle Updates bis einschließlich Oktober Patchday. Erstmals kann man nun ein Win10 frisch installieren und bei der Installation einen bereits aktivierten Windows 7 oder 8 oder 8.1 Schlüssel desselben Geräts eingeben. Damit sind frische Installationen ohne den Workaround möglich. (Post ID:971)

Patchday von Microsoft und Adobe
schliesst Sicherheitslücken in allen Windows Versionen (build cumulative 150930) und Office 2010-2016. Die Office 2016 Updates kommen allerdings nicht aus Microsoft Update, sondern werden vom Office direkt heruntergestreamt. Build ist nun 16.0.6001.10033. Adobe Flash Plugin 19....207 schliesst allerdings nicht alle bekannten Lücken, so dass hoffentlich bald ein Update nachgelegt wird. Viele Seiten kommen heute schon ohne Flash aus. Daher ist zu prüfen, Flash im Internet Explorer 11 unter Addons und im Chrome unter Plugins zu deaktivieren. (Post ID:966)