Skip to main content

Alpha Ransomware verschlüsselt Daten und erpresst iTunes Gutscheine

Wenn Sie dieses Bild als Hintergrundbild Ihres Desktops sehen, haben Sie vermutlich ein Problem…

crypt

Wie bleepingcomputer berichtet, ist derzeit ein weiterer Verschlüsselungstrojaner unterwegs. Dieser verschlüsselt Ihre Daten mit einer AES-256 Verschlüsselung, entschuldigt sich artig und erpresst nebenbei noch 400 US-Dollar in Form von iTunes Guthaben.

Dieser Trojaner weist zwei Besonderheiten auf:

  • Einerseits sind iTunes Guthabenkarten gut nachzuverfolgen. Von daher können wir darauf hoffen, dass der Urheber schnell identiziert ist.
  • Darüberhnaus besitzt er aber gute Manieren und entschuldigt sich zunächst für sein tun direkt beim Benutzer. In einer Textdatei, die die Anleitung zur Freischaltung der Daten enthält, heißt es:

We’d like to apologize for the inconveniences, however, your computer has been locked. In order to unlock it, you have to complete the following steps…

Wir empfehlen Ihnen, nicht zu bezahlen. Bleepingcomputer stellt ein kostenloses Tool zur Entschlüsselung bereit.

Damit es gar nicht so weit kommt, empfehlen wir einen zuverlässigen Spam- und Virenschutz – wie z.B. unser Produkt spambarrier.de

SSL/TLS in der SMTP-Kommunikation erzwingen (Forced TLS / SSL)

Obwohl der Begriff „Forced TLS“ weitestgehend unspezifiziert ist, handelt es sich dabei grob gesagt um folgende Anforderung:

Jeder SMTP-Verkehr (eingehend und ausgehend) muss zwingend über SSL/TLS verschlüsselt werden – ansonsten ist er abzulehnen.

Da wir dies natürlich nicht von allen Kommunikationspartnern erzwingen können, soll es eine Domain-Beschränkung geben.

Zur Umsetzung müssen zwei Routing/Acceptance Regeln angelegt werden.

Regel 1: Alle eingehenden Verbindungen, die von der Domain domain.tld kommen, sollen abgelehnt werden, wenn keine sichere Verbindung hergestellt werden kann:

1. Wechseln Sie im Webadmin auf -> Security & Filtering -> Acceptance & Routing -> Advance Settings.
2. Klicken Sie auf „+Add Acceptance / Routing Rule“.
3. Geben Sie in das Feld „Rule name“ ein Namen ein, wie z.B. mydomain_force_ssl_in
4. Setzen Sie den Haken bei „Enable this acceptance/ routing rule“.
5. Im Bereich der Bedingungen (Conditions) wählen Sie:
– Delivery -> Domain -> und fügen  hinzu:
Sender domain – Is – und geben Sie die betroffene Domain ein. In unserem Fall mydomain.tld
– Wählen Sie Connections -> Is SSL -> fügen Sie diese Bedingung hinzu und haken die Checkbox nicht an.
6. Im Bereich Conditions wählen Sie bitte “ALL of the condition below“ im Bereich „For incoming messages that match“.
7. Im Bereich “Actions” wählen Sie SMTP -> Action -> und fügen eine neue Aktion hinzu und wählen Reject aus.
8. Speichern Sie die Regel mit dem Button „Save Configuration“ im unteren Bereich.

In

Regel 2: Für ausgehende Verbindungen erzwingen wir, dass das Relaying nur über SSL erfolgen darf:

1. Wechseln Sie im Webadmin auf -> Security & Filtering -> Acceptance & Routing -> Advance Settings.
2. Klicken Sie auf „+Add Acceptance / Routing Rule“.
3. Geben Sie in das Feld „Rule name“ ein Namen ein, wie z.B. mydomain_force_ssl_out
4. Setzen Sie den Haken bei „Enable this acceptance/ routing rule“.
5. Im Bereich der Bedingungen (Conditions) wählen Sie:
– Delivery -> Relaying mail -> Fügen Sie diese Bedingung hinzu
– Recipient -> domain -> Fügen Sie diese Bedingung hinzu und wählen Sie:
Recipient domain – Is – und geben Sie die betroffene Domain ein. In unserem Fall mydomain.tld.
6. Im Bereich Conditions wählen Sie bitte “ALL of the condition below“ im Bereich „For incoming messages that match“.
7. Im Bereich der Aktionen (Actions) wählen Sie:
– Relay -> Host -> Und geben Sie dort den Ziel-Server (MX) der Domain an und wählen Sie als Port den SMTP-SSL Port 465.
– Wählen Sie Relay -> SSL Encryption und setzen Sie den Haken bei SSL.
8. Speichern Sie die Regel mit dem Button „Save Configuration“ im unteren Bereich.

Out

Wichtiger Hinweis:

Testen Sie diese Regel sorgfältig. Eine falsche Konfiguration oder Umsetzung kann den Mailverkehr erheblich beeinträchtigen.

 

 

SSLv2 – Down Lücke bedroht (Mail-) Server – jetzt deaktivieren

Die Sicherheitsprobleme mit SSL und TLS scheinen endlos zu sein… Nach Poodle, Ghost und wie sie alle heißen, steht nun „Drown“ vor der Türe.

Hierbei werden bekannte Schwächen in SSLv2 verwendet, um die Verschlüsselung moderner Verfahren wie TLS 1.2 zu knacken. Damit kann auch auch aufgezeichneter Datenverkehr nachträglich entschlüsselt werden.

Weitere technische Hintergründe gibt es z.B. bei heise .

Aktuelle Auswertungen zeigen, dass erschreckend viele Server noch SSLv2 aktiviert haben. Über folgende Website kann getestet werden, ob der eigene Server betroffen ist:

https://test.drownattack.com/

Als Lösungsweg bleibt nur, SSLv2 komplett zu deaktivieren. Das Entfernen von Ciphers alleine hilft nicht. Das SSLv2 sehr alt ist, sollte das kein Problem sein.

Wenn man gerade dabei ist, könnte man sich auch gleich die weiteren SSL-Einstellungen und das Rating prüfen – um auf ein A-Level zu kommen.

In AXIGEN muss hierzu einfach der entsprechende Haken entfernt werden:

 

 

 

 

SSL

Erpressungs-Malware: Locky – Wie gut sind Sie (und Ihr Mailserver) geschützt?

Bei Locky handelt es sich um einen sehr gemeinen Schädling, der gerade vor allem per E-Mail verbreitet wird.

Er verbreitet sich zunächst auf dem System, ohne aktiv zu werden – also relativ unauffällig. Zu einem Zeitpunkt wird er auf einmal aktiv und verschlüsselt alles, worauf der Zugriff hat. Also auch USB-Festplatten, Netzlaufwerke und Cloud-Speicher.

Hierbei werden so ziemlich alle Dateitypen verschlüsselt – die Verschlüsselung gilt aktuell als unknackbar.

Wer seine Dateien wiederhaben will, muss zahlen. Hierzu erscheint ein Erpresserschreiben auf dem Bildschirm (inzwischen auch in Deutsch) mit den entsprechenden Hinweisen zur „Geldübergabe“.

Locky wird in Form von Word-Dateien verbreitet, die per E-Mail versendet werden. Es handelt sich hierbei oft um Fake-Rechungen, die sich angeblich im Anhang befinden. Aber auch Script-Dateien werden aktuell versendet.

Die Virenscanner hinken aktuell immer einen kleinen Schritt hinterher. Genau genommen handelt es sich dabei um Makro-Viren, wie sie in ähnlicher Form schon seit Jahren verbreitet werden.

Wir empfehlen Ihnen folgende Schritte zur eigenen Absicherung:

  • Erstellen Sie ein Backup auf einen Datenträger, der nicht dauerhaft am System angeschlossen ist. Wie z.B. eine USB-Festplatte, die direkt nach dem Backup wieder vom System entfernt wird.
  • Setzen Sie einen aktuellen Virenscanner ein.
  • Öffnen Sie niemals E-Mails mit verdächtigen Anhängen oder von Absendern, die sie nicht kennen. Halten Sie ggf. Rücksprache mit dem angeblichen Absender, ob die Mail von ihm stammt.
  • Konfigurieren Sie ihr Office so, dass keine unsicheren Makros ausgeführt werden.
  • Halten Sie Ihr System über Sicherheitsupdates aktuell.
  • Konfigurieren Sie Ihren Mailserver so, dass Mails direkt beim Empfang geprüft werden und virenverseuchte Mails direkt abgelehnt werden (reject).

Um auf Nummer sicher zu gehen, gehen einige Unternehmen aktuell dazu über, z.B. doc Anhänge vollständig  zu blocken (z.B. über MimeDefang). Eine drastische, aber effektive Maßnahme.

Wenn der Kopierer zweimal klingelt (oder zumindest mailt)

… dann heißt das nichts Gutes.

Wie heise berichtet, werden gerade Mails versendet, die vortäuschen sollen, sie stammen von einem lokalen Kopierer. Der Absender dieser Mails lautet dann oft drucker@<ihredomain.tld>. Im Anhang befindet sich ein Word-Dokument (mit den guten alten Makroviren). Da diese Adressen in der Praxis vermutlich auf häufig existieren, wir die Erfolgsquote für diesen Trojaner relativ gut sein. Wer so eine Mail erhält, sollte sie im Zweifel einfach löschen und nicht öffnen.

Mir persönlich sind die Mails (vermutlich dank guter Filterung) noch nicht begegnet.

Neuer Dienst: Cloud AntiVirus und AntiSpam – spambarrier.de

Pünktlich zum Jahreswechsel 2015 / 2016 wurde unser neuer Dienst spambarrier.de fertiggestellt.

Über 10 Jahre Erfahrung im Bereich Mailserver flossen in dieses Projekt ein, um einen zuverlässigen und komfortablen Service gegen Viren und Spam für Sie bereitzustelllen.

Das kurze Einführungsvideo zeigt Ihnen mehr:

Wir freuen uns auf Ihre Anmeldung und Ihre Kommentare, Hinweise, Verbesserungsvorschläge und natürlich Lob.

Wir wünschen einen guten Rutsch und einen guten Start in ein neues, gesundes, glückliches und erfolgreiches Jahr 2016!

Kostenlose SSL-Zertifikate für Mailserver mit Let’s Encrypt

Seit dem 03. Dezember 2015 läuft die offene Beta-Phase von „Let’s Encrypt“

free

Die neue Zertifizierungsstelle (CA) liefert kostenlose SSL-Zertifikate. Diese müssen jedoch alle 90 Tage erneuert werden (Über Sinn und Unsinn dieses Limits lässt sich streiten)

Sponsoren sind unter Anderem Cisco, Mozilla und Facebook.

Zur Erstellung der Zertifikate gibt es einen offiziellen Client, den ich heute vorstellen möchte.

Zunächst muss dieser Installiert werden:

cd /opt
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt

Danach muss der Bootstrapper aufgerufen werden, der dann die Depencencies prüft und die Python-Umgebung einrichtet:

/opt/letsencrypt/letsencrypt-auto --help

Zur Verifizierung der Domain (z.B. mailserverblog.de) ruft Letsencrypt eine Verifikations-URL auf, die z.B. so aussieht:

http://mailserverblog.de.www148.your-server.de/.well-known/acme-challenge/xhde4WMKAXXTXKQXyftUqUIjy_02TPhfaRFCmGffqf4

Die Verifikation erfolgt entweder über Port 80 oder Port 443. Dieser Port ist in der Regel schon durch einen Webserver (oder das Webmail) belegt.
Der einfachste Weg ist daher, diese Dienste kurz zu beenden. Der Let’s Encrypt Client bringt einen eigenen Webserver mit.

Der Aufruf zum Ausstellen eines Zertifikats sieht daher wie folgt aus:

/opt/letsencrypt/letsencrypt-auto certonly --standalone --email postmaster@mailserverblog.de.www148.your-server.de -d mailserverblog.de

Nach diesem Aufruf finden sich die Zertifikate in folgendem Ordner:

/etc/letsencrypt/live/mailserverblog.de
  • Das Zertifikat: cert.pem
  • Das Zertifikat inkl. Intermediate-Zertifikaten: chain.pem
  • Alle Zertifikate kombiniert: fullchain.pem
  • Privater Schlüssel: privkey.pem

AXIGEN benötigt ein PEM-File, das auch den privaten Schlüssel beinhaltet.

cat /etc/letsencrypt/live/mailserverblog.de/privkey.pem /etc/letsencrypt/live/mailserverblog.de/cert.pem > /var/opt/axigen/encrypt.pem

Das encrypt.pem kann dann in AXIGEN im SSL-Listener hinterlegt werden. Wie man AXIGEN mit einer A+ Verschlüsselung versieht, steht hier .
Das Prozedere zur Erneuerung folgt in einem weiteren Artikel.