Ein Fax mit Folgen

- - IT, Web

Wer von einem Bekannten eine E-Mail mit dem Anhang fax-message876-792-093.zip erhält, tut gut daran diese nicht zu öffnen. Weder handelt es sich um einen Fax noch wurde die Nachricht in dessen Absicht versendet…

Im Gegensatz zum Artikel SPAM – Back to the Roots ist der Nachrichtentext diesmal etwas sinnvoller – wenn auch immer noch auf Englisch:

Besonders boshaft an dieser Version ist aber die Art der Verbreitung. Der Absender ist dem Empfänger bekannt und auch der Mailversand erfolgt über den korrekten Mailserver des Absenders. SPAM-Filter werden dadurch weitestgehend ausgehebelt. Rein technisch kommt das Mail ja vom korrekten Empfänger.

Da zum Versand der Nachricht das persönliche Adressbuch des Absenders genutzt wird, besteht von Anfang an ein Bezug zu diesem Mail – die menschliche Neugier garantiert, das ein Grossteil aller Empfänger diese Nachricht auch öffnet.

Kein(e) Fax(en)

FAX ZIPSpätestens beim Öffnen des mitgesendeten Fax müsste man misstrauisch werden. Ein Epson – Drucker der ein Fax nicht nur komprimiert und automatisch versendet, sondern daraus auch noch einen Anwendung erstellt? Erstaunlich…

 

Entsprechend wenig mit einem Fax hat der Inhalt dann tatsächlich zu tun. Öffnet man nämlich die komprimierte bot.exe passiert erst einmal – nichts. Also noch einmal öffnen…

Doch erst nach einigem Klicken und Drücken erscheint dann das “Fax”:

Fax CryptoWall3

 

Leider handelt es sich nicht um einen Fax sondern um die Ransomware CryptoWall.

Im Gegensatz zur üblichen Ransomware, die den Computer “nur sperrt” beginnt CryptoWall sämtliche Daten zu verschlüsseln. Eine Entschlüsselung ist nur möglich, wenn der entsprechende Entschlüsselungcode gekauft wird. Dies empfiehlt sich aber nicht!  

Es gibt keine Gewissheit, dass

  • nach Bezahlung eine Enschlüsselung möglich ist
  • der Preis nach Bezahlung nicht plötzlich steigt.

Die Sinnvollste Lösung ist das professionelle Entfernen des Ransomware und das Einspielen eines aktuellen Backups.

 

Im Hintergrund

Was passiert aber eigentlich im Hintergrund?

Nachdem box.exe ausgeführt wurde, wird erst einmal der “Persönliche Verschlüsselungscode” generiert. Die Formulierung dazu ist recht höflich gehalten (“Especially for you, on our server was generated the secret key pair…”).

Schaut man sich die Netzwerkprotokolle an, wird schnell ersichtlich, dass zu Generierung der Verschlüsselung eine vorgängig gehackte WordPressite genutzt wird:

CryptoWall 3 Netzwerkprotokoll

In diesem Fall handelte es sich um 9 verschiedene WordPresssites – ein Grossteil wurde wahrscheinlich bereits im Dezember 2014 über eine Sicherheitslücke im WordPressplugin RevSlider gehackt.

CryptoWall WordPress WIrt

An diesem Punkt stellt sich dann die Frage; Kann die Verschlüsselung auch über eine solche infizierte Webseite rückgängig gemacht werden?

Leider nein – den entsprechenden Entschlüsselungscode erhält man nur über das TOR-Netzwerk – eine Rückverfolgung ist damit praktisch unmöglich.

Antivirus?

CryptoWall VirustotalDen bereits im letzen Artikel SPAM – Back to the Roots  angesprochenen “Toten Winkel” gibt es leider auch hier. 4 Stunden nach Erhalt der E-Mail haben 9 von 57 Antivirusscannern immer noch kein Problem mit dem File fax-message876-792-093.zip.

Wer mit diesen Schutzprogrammen unterwegs ist muss sich auf seinen gesunden Menschenverstand verlassen – oder aber verfügt über ein gutes Backup!

 

 

PS: Im Wikieintrag Cryptowall 3.0 entfernen gibts einige Tipps wie man versuchen kann Daten von einem mit Cryptowall betroffenen Computer zu retten.

Zusammengeführte Zellen in Excel umwandeln

- - Snippets

Datenimporte in eine Datenbank auf Basis von Excelsheets ist immer eine lustige Sache. Inbesondere dann, wenn bspw. zusammengeführte Zellen vorhanden sind, die zwar übersichtlich, für den Import aber problematisch sind.

Zusammengeführte Zellen Excel

Wo liegt das Problem?

Das Zusammenführen in Excel ist vor allem eine grafische Angelegenheit; die oberste Zelle wird lediglich grafisch verlängert, die entsprechenden Werte (in diesem Beispiel die Wochentage) werden nicht übernommen und liegen auch nach dem Zurücksetzen der zusammengeführten Zelle immer noch nur im obersten Feld.

Für einen Import, in dem jede Zeile sämtliche Werte aufweisen muss ist dies denkbar ungünstig. Zum Glück lässt sich das aber mit ein paar Tricks lösen.

Zellen bereinigen

Zuerst sollten einmal sämtliche Formatierungen und zusammengeführten Zellen zurückgesetzt werden (Start > Verbinden und Zentrieren). Das Beispiel sieht dann so aus:

Formatierung Excel zurücksetzen

Werte berichtigen

Excel Werte berichtigenAnschliessend können die fehlenden Werte berichtigt werden. Dazu die entsprechende Spalte markieren.

 

 

 

Excel Inhalte auswählenAnschliessend auf Start > Suchen und Auswählen > Inhalte auswählen klicken und im sich öffnenden Fenster die Checkbox Leerzeilen auswählen.

 

Nun sollten nur noch die leeren Einträge in der Spalte A markiert sein.

 

 

Excel Merged Cells_berichtigenDie so markierten Zellen können nun automatisch mit dem übergeordneten Wert versehen werden. Dazu einfach auf der Tastatur “=” eingeben und die Taste aufwärts drücken. Anschliessend mit Enter + Ctrl bestätigen (Wichtig!)

 

 

Das Endergebnis, das leicht weiterverarbeitet werden kann, sollte dann in etwa so aussehen:

Excel Merged Cells Endergebnis

Unable to connect to the MKS: vmware-authpipe

- - IT, Snippets

Nach einem Update tritt beim Öffnen einer Konsolensitzung im Webclient von vmware folgende Fehlermeldung auf:

 vmware-authpipe

Lösung

Die Lösung des Problems ist zum Glück relativ einfach;

  1. Java aktualisieren
  2. Cache des Browser leeren (Wichtig!)

Veeam Backup Error: NFC storage connection is unavailable.

- - IT, Snippets

Wie man “NFC storage connection” – Probleme in Veeam Backup and Replication 8 löst – in diesem Artikel.

Fehlermeldungen

Folgende Fehlermeldungen in  Veeam Backup and Replication 8 treten wiederholt auf:

Oder:

Lösung

Das Problem tritt auf, wenn vCenter Server oder einer der ESXi – Hosts nur über eine IP-Adresse verfügt bzw. der Hostname (FQDN) nicht sauber aufgelöst werden kann. (also z.B. 192.168.1.100 anstelle von vcenter.domain.local).

Für sämtliche ESXi – Hosts sowie den vCenter Server müssen (meistens manuell) ein statischer DNS A-Name Record sowie ein entsprechender Pointer erstellt werden!

Anschliessend sollte das Problem behoben sein.

Windows Server 2012 R2 Core Eingabesprache ändern

- - IT, Snippets

Um in Windows Server 2012 R2 Core die Eingabesprache von English auf Deutsch (Schweiz) zu ändern, wie folgt vorgehen:

In Powershell folgendes eingeben:

 

Anschliessend in der Registry (in Powershell einfach “Regedit” eingeben…) zu

navigieren und “Value 1″ auf 00000807 setzen.

Server Core 2012 Eingabesprache ändern

Sämtliche anderen Values können gelöscht werden.

AGFEO TAPI per Gruppenrichtlinien verteilen

- - IT, Snippets

TAPI Treiber korrekt zu installieren bzw. zu konfigurieren kann mühsam sein – insbesondere wenn mehrere Benutzer eingerichtet werden müssen. Das folgende Beispiel mit einer AGFEO Telefonanlage soll zeigen, dass mittels Gruppenrichtlinien auch dann die einzelnen Parameter individuell eingestellt werden können, wenn der Hersteller eine “einfache Netzwerkinstallation” eigentlich gar nicht vorgesehen hat…

Ausgangslage

Im folgenden Beispiel war die Ausgangslage recht unkompliziert. Lediglich der AGFEO – Server (Bindeglied zwischen Telefonanlage und TAPI – Bereitstellung) wurde migriert. Manuell müsste nun aber auf jeder einzelnen Arbeitsstation die Konfiguration angepasst werden – etwas mühsam…

Speditiver Lösungsweg

Ein etwas speditiverer Lösungweg führt über die Gruppenrichtlinienverwaltung der Domäne. Da dabei auch Registry – Einträge der einzelnen Arbeitsstationen angepasst / erstellt werden können, kann praktisch jede Software beliebig “massenangepasst” werden.

Einzige Bedingung dafür ist, dass der Aufbau bzw. Lageort der entsprechenden Einträge im Voraus bekannt ist. In folgendem Fall konnte nach einer manuellen Anpassung der Software und anschliessender Auslesung der Registry (Tipp: den zu ändernden Begriff mit einem Platzhalter z.B. PLATZHALTER833 ersetzen, anschliessend die Registry mit F3 nach diesem Wort durchsuchen) die nötigen Infos gefunden werden:

Beispiel AGFEO TAPI Driver:

Der Pfad in der Registry lautet:

 

Dabei sind folgende Einträge von Bedeutung:

 

Hinweis: Der Eintrag Port wird als DWORD gespeichert, was nichts anderes als der hexadezimale Wert des Ports ist (5081). Eine schnelle Umrechnung Hex <–> Dec ermöglicht z.B. der Hex to Decimal Converter

Individuelle Anpassung TAPI Treiber

Die so ermittelten Parameter können anschliessend über die Gruppenrichtlinienverwaltung individuell, schnell und zielgerichtet im Netzwerk verteilt werden. Dabei kann auch hier wieder mit Parametern gearbeitet werden (z.B. für Benutzernamen des TAPI – Treibers automatisch den Windowslogin verwenden –> %username%).

Wenn die Richtlinie einmal erstellt wurde, sind zukünftige Anpassungen oder aber auch automatische Neuzuweisungen (bei Benutzer/Arbeitsplatzwechsel) mit relativ wenig Aufwand verbunden.

VMWare: Fehler beim Konsolidieren der Festplatten: msg.fileio.lock.

- - IT, Snippets

Probleme beim Konsolidieren von Snapshots? Meldung “msg.fileio.lock”? So behebt man das Problem…

Die Mitteilung in VMware vCenter “Die Festplatten der virtuellen Maschine müssen konsolidiert werden” können normalerweise per Rechtsklick auf die jeweilige Maschine >> Snapshots >> Konsolidieren beseitigt werden.

Leider kommt es aber ab und zu vor, dass dann die Meldung “Fehler beim Konsolidieren der Festplatten: msg.fileio.lock.” erscheint.

Meist liegt die Ursache an einem der mittlerweile so zahlreich vorhandenen Backuplösungen, die noch in irgendeiner Form auf die VMs zugreift oder z.B. durch einen Systemausfall “hängengeblieben” ist. Ein Reboot des Backuplösung löst das Problem daher meistens.

Offline Domänenbeitritt

- - IT, Snippets

Um einen Client einer Domäne hinzuzufügen muss man eine Reihe von Anforderungen erfüllten. Selbes Netzwerk, die richtigen DNS-Einstellungen,etc. Wie man dasselbe offline erledigen kann – hier die korrekten Schritte.

Vorgehen

Das Vorgehen ist schnell erklärt. Auf dem Domänencontroller führt man ein kleines Skript aus und generiert ein Textdokument. Dieses kann dann (z.B. per Mail) an den Client gesendet werden der sich damit dann offline an die Domäne anbinden kann.

 

Schritte auf dem Server / Domänencontroller

Eingabeaufforderung (CMD) öffnen und folgende Befehle eingeben:

 

Anschliessend “taucht” der Client auch bereits im ActiveDirectory auf.

Offline Domänenbeitritt

 

Hinweis: DOMÄNE = Name der Domäne, NAME = Computername

 

Das generierte Textfile djoin.txt befindet sich unter C:\.

Das File kopieren und auf den Client verschieben (z.B. per E-Mail, USB-Stick…)

 

Schritte auf dem Client

Das oben generierte Textfile djoin.txt in C: kopieren.

Anschliessend Eingabeaufforderung ausführen (als lokaler Admin!) und folgende Befehle eingeben:

 

Fertig – Der Client wurde der Domäne hinzugefügt!

Drag & Drop funktioniert nicht mehr

- - IT, Snippets

Unter Windows gibt es ab und zu das Problem, dass Drag & Drop nicht mehr funktioniert. Meist hilft dabei ein Neustart. Wie’s schneller geht – in diesem Beitrag…

Ein Neustart braucht immer Zeit und Nerven.

Folgender Workaround für das Drag & Drop – Problem funktioniert unter Windows 7, Windows 8 und Windows 8.1 – evtl. auch bei weiteren Systemen:

 

  1. Beliebigen Ordner öffnen
  2. Linksklick oder Rechtsklick auf eine Datei – Maustaste gedrückt halten!
  3. ESC auf der Tastatur drücken

Alternativ kann für Windows 8.1 auch folgender Registry-Fix versucht werden: Fix downloaden

Danach sollte Drag & Drop wieder einwandfrei funktionieren. Falls nicht lohnt sich ein Blick auf den offiziellen Supportartikel von Microsoft.

SPAM – Back to the roots

- - Allgemein, IT, Web

Wir bekommen täglich Dutzende von SPAM-Mails. Dass diese Mails nicht immer “harmlos” sind und wie weit man sie zurückverfolgen kann – in diesem Artikel.

Das Mail

Ricardo SPAMAm 9. September 2014 wurde im Namen von Ricardo.ch nebenstehendes Mail versendet. Auf den ersten Blick brilliert es nicht unbedingt durch übermässig viel Inhalt – interessant ist es trotzdem.

“Bestellung”, “Ricardo”? Passt irgendwie nicht  zusammen…

RTF – Datei im Anhang? Höchst suspekt…

Nichtsdestotrotz schlägt weder Google noch Kaspersky Alarm – Grund genug dem Ganzen einmal detailliert auf die Spur zu gehen.

 

Der Absender

Eigenschaften  SPAM MailWas bereits “gefühlsmässig” klar ist bestätigt sich nach einer kurzen Analyse. Ricardo hat mit diesem E-Mail überhaupt nichts zu tun. Im Mailheader (“Kopfbereich…”) findet man bereits den ersten Hinweis – abgesendet wurde es in Spanien mithilfe von Outlook Express.

Ursprung SPAM MailWenn man noch tiefer gräbt findet man sogar den ungefähren Sendestandort – Madrid. Selbstverständlich wird man den Absender nicht (mehr) am angegebenen Ort finden – er war aber physisch oder digital zumindest einmal an diesem Ort.

 

 

Das Ziel

Spätestens an diesem Punkt stellt sich die Frage, was der Absender mit diesem Mail überhaupt bezweckt. Da wir die “Aussenstelle Spanien” von Ricardo bereits ausgeschlossen haben, bleiben nicht viele Alternativen. Phishing kann ebenfalls ausgeschlossen werden – es würde reichen einen Link anstelle eines angehängten Dokumentes zu senden. All das führt zum Schluss, dass das angehängte RTF – Dokument alles andere als harmlos ist.

Der Köder

Virtuelle Maschine als KöderUm der Spur weiter zu folgen bleibt in diesem Fall nichts anderes übrig, als das Dokument zu öffnen. Selbstverständlich nicht in einem produktiven System sondern in einer abgesicherten Umgebung. Als Köder dient ein ungepatchtes Windows XP ohne jeglichen Virenschutz aber mit aktivierter Windows –  Firewall. Wir wollen es den “Besuchern aus Spanien” ja nicht zu leicht machen 😉 …

Der Anhang im Detail

Mail Ihre BestellungWer jetzt eine ausgeklügelte Masche in fehlerfreiem Deutsch erwartet, wird leider enttäuscht. Das Öffnen des RTF-Dokumentes im Anhang bewirkt nämlich noch nicht viel.

Erst nachdem man einen Doppeklick auf die vermeintliche Quittung durchgeführt hat, wirds interessant.

Anhang entpacktDas File “entpackt” sich direkt in die temporären Dateien – an sich noch nichts aussergewöhnliches. Allerdings injiziert es sich zeitgleich in Systemprozesse…

 

Eine etwas tiefere Analyse zeigt dann – es handelt sich um eine Variante des Schadprogrammes Zbot.Trojanbesser bekannt als Zeus. Primäres Ziel ist das Abgreifen von sensiblen Zugangsdaten wie etwa E-Banking.

Back to the roots?

Bis zu diesem Punkt zeigen sich keine verdächtigen Netzwerkverbindungen. Wieso auch? Es gibt ja noch nichts von Interesse.

NetzwerkverbindungenSobald aber ein potentielles E-Banking genutzt wird (im Beispiel: UBS.com) kommt Bewegung in die Sache. Die recht sonderbaren AAAA Records korrespondieren dabei immer mit einem im System erstellten Unterverzeichnis. Die wohl interessanteste Verbindung kommt aber erst gegen Schluss:
8762 426.518167000 192.168.1.1 192.168.1.80 DNS 260 Standard query response 0xaa68 CNAME p-awse-211774586.us-east-1.elb.amazonaws.com A 50.17.221.235 A 50.17.201.27 A 50.17.183.39 A 54.225.68.181 A 23.21.241.69 A 54.225.231.249 A 50.16.245.116 A 50.16.191.165

Da die UBS ihre E-Bankingplattform garantiert nicht auf Servern von Amazon hostet (!!!) ) dürfte unter diesen Adressen bereits die C&C (Command-and-Control-Engine)  der Trojaners sein. Die entsprechenden DNS – Einträge verweisen zumindest allesamt auf die Amazon Web Services…

Wieso gerade die Cloud von Amazon bei den “Bad Guys” so beliebt ist liegt auf der Hand; Günstig, Schnell und praktisch anonym. Fliegt das Ganze auf wird einfach der Account gewechselt und das Spiel beginnt von Neuem.

Toter Winkel

Dieser Versuch an sensible Daten von Schweizer Kunden zu kommen ist zwar von der Aufmachung her eher schlampig gemacht – nichts desto trotz werden ausreichend Schweizer davon betroffen sein, dass sich auch ein solcher “Low Cost” Angriff lohnt.

Gefährlich scheint hier insbesondere der “tote Winkel”, d.h. der Zeitraum zwischen dem Versenden und Erkennen des Schadprogrammes.  Das infizierte RTF-Dokument ging problemlos durch Googles “Cloudfilter” und passierte auch eine aktuelle Version von Kaspersky. Erst nach ca. 11 Stunden warf Kaspersky eine Warnung aus.

Es lohnt sich also durchaus nicht alles in die Hände von Sicherheitssoftware oder der Cloud zu legen sondern ab und zu auch etwas gesunden Menschenverstand zu gebrauchen- oder?

 

PS: Das Entfernen des Trojaners ist übrigens relativ leicht – ZBot Killer von Kaspersky erledigt das schnell und schmerzlos 😉