Wie sieht ein Locky Downloader aus
Derzeit ist neben einer angehängten Word-Datei eine E-Mail vom scanner@meinefirma.de (meinefirma.de entspricht der Firmendomain), der Betreff lautet z.B. mailadressedesmitarbeiters-3409450345890@meinefirma.de. Im Anhang der E-Mail befindet sich eine ZIP-Datei, die wiederum eine .JA-Datei enthält. Wer diese Datei anklickt, ist selbst schuld, denn er hat nun Locky heruntergeladen und ausgeführt und alle Dateien (auch auf Netzlaufwerken mit Schreibzugriff) sind verschlüsselt. Als aktuelle Variante wird dabei meist Teslacrypt 4.0 benutzt, das nun auch versteckte Netzwerkfreigaben sucht (und findet) und auch Dateien und Container >4GB verschlüsseln kann. Da der Private Schlüssel 4096 Bit lang ist, ist eine Entschlüsselung unmöglich. Da Scanner nur PDF-Dateien verschicken und auch nur, wenn der Mitarbeiter vorher etwas gescannt hat, dürfte an sich niemand solche Anhänge öffnen und ausführen. Es wird aber trotzdem geklickt. Auf der administrativen Seite würde es jetzt helfen, wenn man Downloads in der Firewall blockt. Ist die Downloadadresse aber (wie in diesem Beispiel) eine HTTPS Webseite, hilft nur eine Next Generation Firewall, die auch SSL-Verschlüsselten Inhalt analysiert und blocken kann. Dort werden dann nur echte PDF-Dateien durchgelassen, alle anderen Downloads werden geblockt. Bitte sensibilisieren Sie Ihre Mitarbeiter, keine vermeintlichen Scanner-Anhänge zu öffnen, auch dann, wenn die Absendeadresse vertraut erscheint. Austausch von Dokumenten mit Externen Personen sollten NUR im PDF-Format erfolgen. Bei Office Dokumenten (Word, Excel) besteht ein Risiko, dass diese Makroviren enthalten. (Letzte Revision: 22.03.2016 18:14:35) (Post ID:1007)
erstes Bild
Kategoriebild
Adobe Redistribution komplizierter
Seit 16. Januar 2016 muss man eine Adobe-ID (funktioniert nur mit einer zur Firma gehörigen Domain E-Mail-Adresse) anlegen und einmal pro Jahr die Erlaubnis zum Einsatz vom Adobe Reader und von Flash in Unternehmensnetzwerken einholen. Bitte beachten Sie: Ihre bisherige Redistributionslizenz verfällt oder ist bereits verfallen. Wenn Sie weiterhin den Adobe Reader oder Flash in Firmenumgebungen einsetzen möchten, müssen Sie die oben genannten Schritte einmal alle 12 Monate wiederholen. Dazu ist jeweils das komplette Erlaubnisformular unter Nutzung der neu angelegten Adobe ID zu wiederholen. Fazit bzw. meine Konsequenz: Ich habe Adobe Produkte komplett von allen Rechnern verbannt und nutze ausschließlich Open Source Produkte (MUPDF - oder das Google Chrome PDF Plugin und SumatraPDF). Das Geschäftsgebaren und der administrative Aufwand, den Adobe verlangt, sowie die Ungewissheit, was in den USA mit meinen Daten geschieht, sind recht fragwürdig und decken sich nicht mit deutschem Datenschutzrecht! (Post ID:992)
erstes Bild
Kategoriebild
Office 2016 build 6366.2056
behebt unter Anderem den Fehler, dass bei #Outlook unter Nur-Text-Anzeige zugefügte E-Mail-Anhänge nicht in der Mail sichtbar waren. Nunmehr erscheinen sie wieder. Bei Windows behebt der Insider build 11099.1000 die fehlende Statusanzeige beim Kopieren von Dateien und ist die erste stabile Vorschau auf das im April 2016 erscheinende große Upgrade von #Win10 (Redstone), das nun vermutlich erst im Juli 2016 erscheint. Neben den Fehlerkorrekturen erhalten alle Produkte das monatliche, kumulative Update (dies gilt auch für die Release-Versionen und nicht nur für die Vorschauen) (Post ID:989)
erstes Bild
Kategoriebild
Verschlüsselungs-Trojaner
Ramsomware nennt man die zurzeit häufig auftretenden Verschlüsselungs-Trojaner. Einmal infiziert verschlüsselt sie alle Daten, die sie finden kann, mit einem hochsicheren Schlüssel. Auf den infizierten Rechnern wird dann eine Meldung angezeigt, dass man gegen Zahlung von Bitcoins (meist ca. 500 €) eine Software erhalte, mit denen man die Daten entschlüsseln kann. Die angebotene Zahlungsmethode stellt sicher, dass das Geld nicht nachverfolgbar ist. Ob es eine Gegenleistung in Form einer funktionierenden Software (die keine Schadstoffe enthält) gibt, ist fraglich. Die Experten vom BSI raten, auf diese Lösegeldforderungen nicht einzugehen! Wie finden viele Infektionen statt? * Ein Mitarbeiter erhält eine E-Mail, die einen Internet Link enthält. Klickt der Mitarbeiter auf den Link, wird die Verschlüsselungssoftware installiert und verschlüsselt alle Dokumente im Zugriff. Zusätzlich können die Schadprogramme in einem E-Mail-Anhang versteckt sein oder auf einer Webseite zum Download angeboten werden. Wie können Sie sich speziell gegen Ransomware schützen? * Mitarbeiter sensibilisieren (Nicht auf Anhänge und Links in Mails klicken, keine Internet-Downloads von Programmen) * Blockieren von Downloads unerwünschter Dateiendungen auf Ihrer w.safe Firewall einrichten (Dateien werden anhand der Endung im Namen blockiert, Dateiinhalte können nicht analysiert werden) * Exchange Richtlinie einrichten, die unerwünschte Dateiendungen blockiert (schützt vor E-Mails mit Anhängen) * Anzeige von E-Mails in Outlook als "NUR-TEXT". (HTML-E-Mails können bereits schädliche Javascripts enthalten) * Anschaffung einer Next Generation Firewall mit Inhalts- und Anhang-Blockierung: Hierbei kann man konfigurieren, dass Anhänge und das Ausführen von Links in E-Mails und Internet-Downloads blockiert werden. * Windows Enterprise mieten. Mit Software-Assurance und Windows Enterprise kann die Applocker…
erstes Bild
Kategoriebild
Meine erste Paypal Scam E-Mail
Das Deutsch in diesen Mails wird zwar immer besser, daher hat der Antispamfilter die Mail auch durchgelassen, aber endlich habe ich auch mal eine solche Mail bekommen. Zeit, die Mail mal in meiner Sandbox-Umgebung unter die Lupe zu nehmen: Trotz verbessertem Deutsch und Umlauten im Formulartext enthält die Mail Fehler. Und auch wenn Sie in perfektem Deutsch und mein Name richtig geschrieben worden wäre und ich ein PayPal Kont hätte - warum in aller Welt sollte ich überhaupt auf einen Link in einer E-Mail klicken??? Zumal dieser Link auch noch auf eine bit.ly Adresse lautet. Nene! Früher haben die Scammer sich wenigstens noch Mühe gegeben und eine Fake-URL gemietet, die zumindest so ähnlich klang wie diejenige des vorgetäuschten Absenders. Ein Blick in die E-Mail-Kopfzeilen zeigt dann als X-Mailer schon mal: Smart_Send_3_1_6. Hier wird nicht mal der Mailer verscheiert. Man rechnet fest damit, dass der User alles anklickt, was ihm unter die Maus kommt! Und es funktioniert! (aber nicht bei mir). Vor etwa 20 Jahren gab es schon mal das manuelle Virus: Sie abe soeben aine albanische Virus empfangge. Da wir in Albanie tecnologisch noc nict so wait fortgeschritte sind, handele sic um MANUELLE Virus. Bitte lösche Sie alle Dataie auf Ihre Festplatte selber, jezte Sie neme bitte grosse Ammer unde schlage Sie gräftig auf Giste wo ist Festplatte drinn unde leiten Sie diese mail weiter an alle Persone, die sie kenne. Ist voll krass und vunczioniert. Viele Dank fur Susammenarbeit! Gruss fo Freier Virusendwiggler Dragan Generelle Empfehlung:Nie Nie Nie und…
erstes Bild
Kategoriebild
Der neue Adobe Reader heißt nun Adobe Acrobat Reader DC
Er hat aktuell Version 15.007.20033. Hier wieder die Anleitung, um daraus einen Adobe Acrobat Reader Lite zu machen und im Netzwerk zu verteilen: Adobe Acrobat Reader DC Lite selbst erstellen und einsetzen. Hier eine kurze Anleitung, wie es funktioniert: Zunächst muss man die Redistributionsvereinbarung (kostenlos) auf der Adobe Website abschließen (Formular ausfüllen, dann abschicken, die Bestätigung kommt per E-Mail) * Download des Customization Wizard DC (CIW Tool) https://www.adobe.com/support/downloads/detail.jsp?ftpID=5892 * Download des Installers vom DC in DE(utsch) vom FTP-Server von Adobe ftp://ftp.adobe.com/pub/adobe/reader/win/AcrobatDC/[versionsnummer]/ * MSI-Datei herunterladen. Steht keine MSI-Datei zum Download oder haben Sie die EXE-Datei heruntergeladen? - Installation beginnen bis zur ersten Willkommensseite. Die benötigte MSI-Installation und das Patchfile .msp liegen nun unter: %programdata%/Adobe/Setup/{uid....} - Dateien nach c:/temp/ar kopieren, Setup abbrechen, administrative Installation durchführen nach c:/temp/ar2: * msiexec /A acroread.msi ausführen * Liegt im Installationsverzeichnis eine .MSP-Datei mit Patches, diese mit msiexec /A acroread.msi /P arxxxxxx.msp integrieren * Dann erstellt man CIW-Tool eine MST-Datei, die EULA aus, den ganzen Werbekram im Infomenü weg und ein paar mehr Einstellungen enthält. * Mit InstED free die MSI öffnen, die MST drauf anwenden (Apply MST) - nicht benötigte Components entfernen: AIR, Plugins3D, Tracker, Desktopicon, CFM und ARM, Multimedia, MPP, AAPPS - danach den Eintrag unter "ServiceInstall" in den MSI-Tables löschen - "CreateUserChoiceKeyOnWin8AndAbove" suchen und beide Zeilen entfernen * Die neue MSI unter anderem Namen zB ar2.msi im Insted speichern. * Nun die acroread.msi löschen und die ar2.msi in acroread.msi umbenennen. Für eine Silent Installation lautet der Aufruf: msiexec /I acroread.msi /norestart /qb- (Post ID:930)
erstes Bild
Kategoriebild
Virenschutz und Systemsicherheit Windows
Um die vorgeschriebenen Mindestanforderungen für ein sicheres System zu bekommen, sollten Sie die folgenden Punkte befolgen: * Benutzeranmeldekonto: Arbeiten Sie NICHT als lokaler Administrator, sondern NUR mit Benutzerrechten. Entscheidend sind hier die Rechte auf dem PC (lokale Rechte) * Verwenden Sie sichere Kennwörter zur Anmeldung * Installieren Sie einen Virenschutz, der so häufig wie möglich aktualisiert wird (Virussignaturen) * Aktivieren Sie den Dienst "Automatische Updates", um Microsoft-Patches zu erhalten * Verwenden Sie einen aktuellen Internet Explorer (z.B. Version 11) oder Googole Chrome für Business und deinstallieren Adobe Flash (Beide genannten Browser haben Flash integriert). * Befolgen Sie die organisatorischen Anweisungen unten im Text und reagieren nicht auf HOAXES Vorsorgemaßnahmen und Organisatorisches Mail und Internet: * Öffnen Sie keine E-Mail-Anhänge, die Sie nicht angefordert haben. Bei unverlangt erhaltenen Anhängen den Absender kontaktieren und fragen, ob dieser eine Datei mit der Dateigröße x und dem Namen y als Anhang verschickt hat. * Meiden Sie fragwürdige Seiten, klicken NICHT auf irgendwelche BANNER * Reagieren Sie nicht auf Mails, die persönliche Informationen, von Ihnen haben möchten (PINs, Passwörter, Geburtsdatum, TANs, Zugangsdaten allgemein). * Banking: Kontrollieren Sie, ob sie eine gesicherte Verbindung zum Bankserver haben (grünes Schloß in der Adressleiste). Durch Doppelklick auf das Schloß wird angezeigt, von wem das Zertifikat ausgestellt wurde und für wen. Wenn eben möglich, verwenden Sie zum Banking NUR HBCI mit einer Chipkarte! * Vermeiden Sie das Weiterleiten von Virenscherzen und Ketten-Emails (sog. Hoaxes). Mehr Info zum Thema weiter unten Anwendungen: * Verwenden Sie eine aktuelle Microsoft Office Version oder…
erstes Bild
Kategoriebild
Mercedes Comand Online (NTG 4.5)
Multimedia, Internet, Schnittstellen, Medien - Dieser Artikel fasst meine Eindrücke zum neuen Comand Online NTG 4.5 und Multimediakomponenten zusammen: Neu: Das Comand Online hat nun serienmäßig einen SD-Karten Steckplatz statt PCMCIA und ausserdem einen USB-Anschluss im Mittelarmlehnenfach. Nimmt man das Multimedia-Interface dazu, hat man also USB + die Option Ipod, 3mm Klinke und per Zusatzkabel Videosignale ins Comand online einzuspeisen und Playmisten zu verwalten. [Update Feb 2012]: Das Modelljahr 2012 bringt auch ein paar versteckte Veränderungen. Akustische Schliessrückmeldung (Serie): * Früher war das so: Fahrzeug hupt 1x beim Öffnen, 3x beim Schließen: das macht zu viel Krach und ist beinahe peinlich. * NEU seit 2012: KEIN SIGNAL beim Öffnen und 1x kurzer Ton beim Schließen. Viel dezenter und nun endlich nützlich, da man nicht mehr auf 3x Blinker achten muss, um sicher zu sein, dass Mensch mit schlechten Absichten (Dieb mit Funk-JAMmer) die Funkkommunikation zwecks Zugriff auf das Auto unbemerkt stört. Verkehrszeichenerkennung (SA): Die Tempolimits mit erkannten Zusatzschildern werden nun auch auf der Karte im Comand angezeigt (unten links) und nicht nur im KI kurz eingeblendet. Comand Online: * Google Panoramio war schon vorher da, aber aktuell (Softwareversion, die mit dem Kartenstand 2011/12 V5.0 kommt): zusätzlich Google Street View. Wo verfügbar, kann man mit dem Comand Controller durch die Straßen laufen und sich ansehen, wie es da aussieht, wo man hin will... * Version 5.0 enthält auch mehr 3D-Objekte im Stadtmodell als Version 4.0 (2011) Media Interface * Das Media Interface benötigt man NUR noch für iPod und MP3-Player. Das…
erstes Bild
Kategoriebild
Elektronischer Rechnungsversand Digitale Signatur
Update Juli 2011: Mit dem StÄndG von Juli 2011 wird die Regelung europaweit vereinheitlicht. Dennoch (im entsprechenden Gesetzestext nachzulesen) bleibt die Pflicht, die Unversehrtheit der Rechnung über den Archivzeitraum von bis zu 10 Jahren weiterhin zu gewährleisten. Lediglich das Verfahren "Digitale Signatur" kann (sofern man ein gleichwertiges Verfahren findet - das es bis jetzt nicht gibt) ersetzt werden. Gesetzesgrundlage: Das Digitale Signaturgesetz (DigSigG) ist seit dem 01.07.2004 wirksam. Gleichwohl ist die Karenzzeit der Finanzbehörden mit diesem Termin verstrichen. 14 Abs. 3 UStG regelt die Anforderungen mit dem StÄndG 2003. Demnach sind nur noch Papierrechnungen vorsteuerabzugsberechtigt. Alle auf elektronischem Wege erstellten Rechnungen (per Computerfax an ein Computerfax, per Computerfax an ein herkömmliches Faxgert, per E-Mail) mit einer qualifizierten elektronischen Signatur zu versehen, die dem Rechnungsempfänger bzw. Wirtschaftsprüfer ermöglicht, Unversehrtheit des Rechnungsdokuments, Herkunft und Gültigkeit der digitalen Signatur zu überprüfen. Zusätzlich muss es sich bei der Signatur um eine sog. "qualifizierte elektronische Signatur mit Anbieter-Akkreditierung" handeln. Dabei ist es unerheblich, ob die Rechnung per E-Mail oder per Datenträger (CD) dem Rechnungsempfänger übermittelt wird. Bei der Fax-Übermittlung ist eine Rechnung ohne digitale Signatur nur zulässig, wenn nachgewiesen werden kann, das die Rechnung von einem Standard-Papierfax versende UND empfangen wurde. Auerdem müssen Rechnungsersteller und Rechnungsempfänger das Dokument in Papierform aufbewahren. Was tun? Entweder Rechnungen per Post verschicken, sie in ein Papierfaxgerät stecken und sich versichern lassen, dass der Empfänger KEIN Computerfax besitzt. Oder einen Chipkartenleser der Klasse 3 (z.B. von Reiner SCT) kaufen und bei der T-Systems eine Digitale Signaturchipkarte mit Anbieterakkreditierung mieten. Auf…
erstes Bild
Kategoriebild
Internet-Fake Webseiten
Warum man so einfach an eine Fake-Domain für kriminelle Websites kommt: Verschiedene Free-Hosting-Anbieter (z.B. hostinate.com), allesamt registriert bei PUBLICDOMAINREGISTRY.COM erlauben ohne weitere Prüfung das Anlegen einer Domain nebst e-Mail. Das Ganze kostet dann auch nciht einmal etwas. PDR ist daher vermutlich der Lieblingsregistrar der Nigeria Connection, weil auch dort keinerlei Plausibilitätsprüfungen durchgeführt werden. So kann jeder mit frei erfundenen Orten, Postleitzahlen, Telefonnummern und Namen eine Domain registrieren lassen und die wird dann auch noch aktiviert und nutzbar. Wer möchte, kann damit wunderbar seine Spuren verschleiern. Warum baut die Registry nicht einfache Plausibilitätsprüfungen oder gar eine Identitätsprüfung in Ihre APIs und Webformulare ein, bevor sie eine Domain adressiert? Im Übrigen fällt auf, dass man bei outlook.com ohne weitere Prüfung auch eine Fake E-Mail-Adresse anlegen kann, die auch sofort funktioniert. Alles Sachen, die beim Stand der aktuellen Technik nicht sein müssten. So kann ich mich erinnern, dass web.de schon vor Jahren eine Postident Authentifikation verlangt hat, um eine Mailadresse zu bekommen. BTW: Inzwischen habe ich per Fax schon wieder den gleichen Verstorbenen mit diesmal knapp 9 Millionen Euro Erbe in Aussicht. Diesmal ist nicht Dumie Benerd der Registrierende der Domain sondern Anita Booma. Unglaublich dass da immer noch Leute drauf reinfallen auf solche Stories. Zumal der jeweilige Fake Jurist mit meist deutschem Namen, der aber der Grammatik nicht mächtig ist, inzwischen 45% für sich beansprucht. Wer ist da ernsthaft so blöd und überweist rund 3.900 € Gebühren im Voraus auf ein Western Union Nummernkonto?? :X (Post ID:880)
erstes Bild
Kategoriebild
Adobe Reader 11 Lite selbst erstellen und einsetzen.
Hier eine kurze Anleitung, wie es funktioniert: * Zunächst muss man die Redistributionsvereinbarung (kostenlos) auf der Adobe Website abschließen (Formular ausfüllen, dann abschicken, die Bestätigung kommt per E-Mail): https://www.adobe.com/de/products/reader/distribution.html * Download des Customization Wizard XI (CIW Tool) https://www.adobe.com/support/downloads/detail.jsp?ftpID=5515 * Download des EXE Installers 11.0.x DE(utsch) vom FTP-Server von Adobe ftp://ftp.adobe.com/pub/adobe/reader/win/11.x/[versionsnummer]/ * Installation beginnen bis zur ersten Willkommensseite. Die benötigte MSI-Installation und das Patchfile .msp liegen nun unter: %programdata%/Adobe/Setup/{uid....} * Dateien nach c:/temp/ar kopieren, Setup abbrechen, administrative Installation durchführen nach c:/temp/ar2: msiexec /A acroread.msi * Liegt im Installationsverzeichnis eine .MSP-Datei, diese mit msiexec /A acroread.msi /P arxxxxxx.msp integrieren * Dann erstelle man CIW-Tool eine MST-Datei, die EULA aus, den ganzen Werbekram im Infomenü weg und ein paar mehr Einstellungen enthält. * Mit InstED free die MSI öffnen, die MST drauf anwenden (Apply MST) - nicht benötigte Components entfernen und den Produktnamen auf Adobe Reader X ändern (an 3 Stellen steht noch Adobe Reader X (10.x.x) Deutsch, nach Adobe Reader X suchen) - danach den Eintrag unter "ServiceInstall" in den MSI-Tables löschen - "CreateUserChoiceKeyOnWin8AndAbove" suchen und beide Zeilen entfernen * Die neue MSI unter anderem Namen zB ar2.msi im Insted speichern. * Nun die acroread.msi löschen und die ar2.msi in acroread.msi umbenennen. Für eine Silent Installation lautet der Aufruf: msiexec /I acroread.msi /norestart /qb * Zusätzlich muss nach erfolgter Installation der folgende Schlüssel aus der Registrierung entfernt werden (Rundll Fehlermeldung, hier für 64 Bit Maschinen): [-HKEY_LOCAL_MACHINE/SOFTWARE/Wow6432Node/Microsoft/Active Setup/Installed Components/{A6EADE66-0000-0000-484E-7E8A45000000}] (edit: 21.09.2014 12:39:13) (Post ID:708)
erstes Bild
Kategoriebild
E-Mail-Signaturen die Zweite
Nach dem ersten Artikel, der sich mit Disclaimern und Rechtshinweisen am Ende von E-Mails beschäftigte, geht es heute um die Werbebotschaften der Hersteller, die in Mobilen E-Mail Clients der Smartphones, aber auch beim eingebauten Windows 8.1 Mailclient (Email,Kontakte, Kalender Apps) und bei Whatsapp nach dem Einrichten eines Mailkontos voreingestellt sind: * sent from my iphone using t-mobile network, sent from my blackberry, sent from my samsung galaxy S4, ...is using whatsapp Meistens ist es recht einfach, unter den Einstellungen der Mailkonten auf "Signaturen" zu klicken und diese Werbe-Meldungen entweder zu entfernen oder durch einen kurzen Text zu ersetzen: * "Mit freundlichen Grüßen, Mein Name, Firma" Möchte man dem Empfänger seine Wertschätzung mitteilen, dass man (sogar) von unterwegs aus seine Mails antwortet, geht das meiner Meinung nach am Besten mit dem Zusatz: "unterwegs". Handelt es sich um eine E-Mail im Sinne einer Geschäftskommunikation (also nicht nur um kurze Statusmeldungen), ist es ratsam, zumindest die die Pflichtangaben in die Signatur zu setzen. Das geht aber auch kurz und bündig in wenigen Zeilen. Die E-Mail-Pflichtangaben kann z.B. bei den IHKn nachlesen. Häufiger erreichen mich in letzter Zeit auch Signaturen der folgenden Art: * "gesendet von meinen Smartphone, entschuldigen Sie daher die Kürze der Nachricht und die vielen Tippfehler". Kann man denn auf einem Smartphone keine Tippfehler beseitigen und ist die E-Mail-Länge auf dem Smartphone begrenzt? * Offensichtlich nicht: Ein kompletter 3-Seiten Disclaimer incl. "Rettet den Wald" Appell und Androhung von Strafmaßnahmen beim unbefugten Lesen. Aus meiner Sicht wird hier eine 2-Zeilen E-Mail auf…
erstes Bild
Kategoriebild