Category "IT"

Alles zum Thema IT, Netzwerk, Server oder Computer.

Windows 10 für SSD optimieren

- - IT, Tutorials

Grundsätzlich funktioniert Windows 10 mit einer SSD meist problemlos. Trotzdem gibt es eine Reihe von Möglichkeiten um Windows für den SSD – Betrieb zu optimieren und die Lebensdauer derselben zu verlängern.

Wieso optimieren?

Eine SSD ist zwar auch „nur ein Speichermedium“, im Gegensatz zu einer herkömmlichen Festplatte verfügt diese aber über einige Unterschiede. Aus folgenden Gründen lohnt sich deshalb eine Optimierung:

  • Verlängern der Lebensdauer der SSD durch Vermeidung von unnötigen Schreibzyklen
  • Vermeiden von Redundanzen
  • Erhöhen der Lese- und Schreibgeschwindigkeit der SSD
  • Vermeiden von „Flaschenhälsen“ und optimale Nutzung der SSD

Optimierung einer SSD unter Windows

Korrekter Einbau und Anschluss

Die meisten SSDs unterstützen Übetragungsraten von bis zu 6 GBit/s. Sollte die SSD nachträglich nachgerüstet worden sein, macht es also Sinn auch den korrekten Anschluss zu verwenden (SATA 6G). Auf dem Mainboard sind diese „schnelleren Anschlüsse“ meist mit dem Kürzel 6G markiert.

Zusätzlich muss im BIOS des Systems für den entsprechenden Anschluss unbedingt der AHCI-Modus aktiviert werden (anstelle IDE / RAID).

Platz frei lassen

Idealerweise lässt man auf der SSD etwas Platz (ca. 20 %) frei, damit diese sich selbst reorganisieren kann. Es empfiehlt sich nicht, die SSD bis aufs Maximum zu befüllen.

Kein Defragmentieren

Das Defragmentieren einer SSD ist nicht nur unnötig sondern auch der Lebensdauer abträglich. Sofern Windows die Festplatte als SSD erkennt, wird die Defragmentierfunkion automatisch deaktiviert; ansonsten kann diese wie folgt manuell abgeschaltet werden:

  1. Laufwerke defragmentieren und optimieren öffnen
  2. Prüfen ob das Laufwerk und Medientyp als Solid-State-Laufwerk eingetragen ist
  3. Prüfen ob die Optimierung auf Aus gestellt ist

SSD optimieren

 

Windows Indizierung deaktivieren

Auf einer herkömmlichen Festplatte macht die Indizierung Sinn, auf einer SSD hingegen werden dadurch unnötigte  Schreib- und Lesezyklen generiert. Die Windows Indizierung sollte deshalb deaktiviert werden. Dazu wie folgt vorgehen:

  1. Rechtsklick auf das entsprechenden Laufwerk (z.B. C:)
  2. Eigenschaften auswählen
  3. Den Haken bei Zulassen, dass für Dateien auf diesem Laufwerk…indiziert werden entfernen

SSD Indizierung deaktivieren

Ruhezustand deaktivieren

Für herkömmliche Festplatten kann der Start aus dem Ruhezustand einen erheblichen Geschwindigkeitsvorteil bringen. Bei einer SSD hingegen nutzt er wenig bis gar nichts, da diese bereits sehr schnell ist. Durch das Deaktivieren des Ruhezustands kann auf der SSD Platz gespart werden:

  1. Eingabeaufforderung als Administrator ausführen
  2. powercfg -h off eingeben und mit Enter bestätigten

Superfetch deaktivieren

Die Funktion Superfetch bringt bei der hohen Geschwindigkeit einer SSD keinen Vorteil, sondern benötigt im Gegenteil eher mehr Zeit. Sie kann deshalb wie folgt deaktiviert werden:

  1. Dienste öffnen
  2. Den Dienst Superfetch suchen und per Doppelklick öffnen
  3. Den Starttyp auf Deaktiviert setzen
  4. Auf Übernehmen klicken, dann auf OK klicken

Disable Superfetch

Auslagerungsdatei auf herkömmliche Festplatte verschieben

Falls neben der SSD auch noch eine herkömmliche Festplatte verwendet wird, sollte die Auslagerungsdatei des Systems auf dieselbe verschoben werden.

  1. System -> Erweiterte Systemeinstellungen öffnen
  2. Unter dem Abschnitt Leistung den Button Einstellungen anklicken
  3. Im folgenden Fenster unter Erweitert im Abschnitt Virtueller Arbeitsspeicher den Button Ändern anklicken
  4. Den Haken bei Auslagerungsdateigrösse für alle Laufwerke automatisch verwalten deaktivieren.
  5. Für das Laufwerk mit SSD den Haken bei Keine Auslagerungsdatei setzen.
  6. Für das Laufwerk mit der gewöhnlichen Festplatte den Haken bei Grösse wird vom System verwaltet setzen.
  7. Übernehmen und mit OK bestätigen
  8. Computer neustarten

Systemeigenschaften SSD Windows

Windows 10 Microsoftkonto in Lokales Konto umwandeln

- - IT, Snippets

Windows 10 kennt neben Lokalen und Domänenbenutzern eine dritte Kontoart. Dabei wird ein Microsoftkonto  zur Authentifzierung verwendet. Wie man dieses in einen lokalen Account umwandelt – in diesem Artikel.

Wieso umwandeln?

Zugegeben – die Idee mit dem Microsoftaccount ist interessant. Hat man mehrere Geräte (z.B. Notebook, PC) wird damit nur ein Account benötigt, wichtige Dateien und Einstellungen werden über „die Cloud“ synchronisiert.

Leider ist das in der Praxis nicht immer die beste Lösung. Insbesondere wenn das Gerät ohne Internet verwendet wird, kommt man mit einem Microsoftaccount schnell an seine Grenzen.

Auch das Handling ist mit einem Lokalen oder Domänenaccount meistens flexibler und einfacher.

Probleme beim Zurücksetzen mit einem Microsoftaccount

Hat man bei der Ersteinrichtung nur den Microsoftaccount angeben und kann sich z.B. nicht mehr ans korrekte Passwort erinnern, muss dieses über den Microsoftaccount zurückgesetzt werden.

Dabei werden einige Fragen zum Benutzer gestellt – die aber nur greifen wenn die angebenen Daten auch noch verfügbar sind. Hat man den Microsoftaccount mit „etwas Phantasie“ erstellt steht man vor einem Problem.

Mit folgendem Tipp klappt das Zurücksetzen bzw. Umwandeln in einen lokalen Account trotzdem.

Eingabeaufforderung auf Anmeldebildschirm

Ziel ist es, direkt am Anmeldeschirm auf die Eingabeaufforderung zuzugreifen. Standardmässig ist das natürlich nicht möglich.

Folgende Schritte müssen ausgeführt werden (z.B. mit Live-CD oder in Windowsreparaturmodus):

  1. Unter C:\Windows\system32 die Datei Utilman.exe in Utilman.exe.old umbenennen.
  2. Anschliessend die Datei cmd.exe kopieren und in Utilman.exe umbenennen.

Bei einem normalen Windowsaccount könnte man das Passwort nun direkt am Anmeldebildschirm über Klick auf Erleichterte Bedienung zurücksetzen.

Da es sich hier aber um einen cloudgebundenen Microsoftaccount handelt, wird bei einem solchen Versuch die Meldung „Vorgang kann nicht ausgeführt werden, da das angegebene Konto nicht autoritativ ist.“ erscheinen.

Daher gehen wir den Umweg über den lokalen Administratoraccount.

Dieser muss erstmal aktiviert werden:

net user administrator /active:yes

Dann können wir noch ein Passwort (1234…) vergeben:

net user administrator 1234

Anschliessend muss der Computer neugestartet werden.

Nach dem Login kann der Administrator am unteren Bildschirmrand ausgewählt und mit dem  Passwort 1234 eingeloggt werden.

 

SQL-Server: Fehler beim Warten auf das Wiederherstellungshandle des Datenbankmoduls

- - IT, Snippets

Nicht immer läuft die Installation des Microsoft SQL Servers  problemlos ab. Wer die Meldung „Fehler beim Warten auf das Wiederherstellungshandle des Datenbankmoduls“ bzw. den Code 0x851A001A als Fehler bei der Installation erhält – so wirds einfach und schnell gelöst!

Der Fehler tritt insbesondere bei der Installation von SQL Server Express (z.B. für PROFFIX) auf – kann aber auch bei anderen SQL Server Versionen auftreten.

Lösung

Bereinigung

Zuerst einmal muss die mit dem Fehler installierte SQL – Instanz deinstalliert werden. Es ist nicht nötig, den ganzen SQL-Server zu deinstallieren(!)

Dazu wechselt man zu den Programmen, wählt den SQL – Server aus (z.B. SQL Server Express 2014) und klickt auf Deinstallieren.

MS SQL Server deinstallieren

(Hinweis:Die Funktion Reparieren hilft bei diesem Problem nicht).

Anschliessend klickt man sich durch den Assistenten und entfernt das Datenbankmodul (und nur das!) der entsprechenden Instanz.

Modifizierte Installation

Anschliessend ist alles bereit für eine neue, leicht modifizierte Installation des SQL-Servers. Ein Neustart ist nicht nötig aber empfohlen.

Bei der Installation der „neuen Instanz“ folgt man wiederum dem Assistenten, bis man zur Eingabemaske Serverkonfiguration kommt.

Hier ändert man den Kontonamen des SQL Server-Datenbankmoduls manuell (d.h. Eingeben oder Copy & Paste) wie folgt ab:

NT AUTHORITY\NETWORK SERVICE

SQL Server Dienst anpassen

Anschliessend kann die Installation abgeschlossen werden; es  sollten keine weiteren Fehlermeldungen auftreten – und auch der SQL – Server Dienst sollte problemlos gestartet werden.

 

Mobiles Internet und Fernzugriff

- - IT, Tutorials

Das mobile Internet hat auch den Fernzugriff verändert. Wo früher noch ein erheblicher Aufwand für eine Verkabelung betrieben werden musste, reicht heute ein simples LTE-Modem. Wirklich?

Den einfachsten Fall erleben wir selbst tagtäglich. Surfen wir etwa mit dem Mobiltelefon im Netz per 3G / 4G oder LTE so sind wir nicht „direkt im Netz“ sondern erreichen dieses via das Interne Netzwerk des Providers, der zu diesem Zweck auch eine eigene Firewall bereitstellt.

Der normale Benutzer bemerkt davon aber nichts – es funktioniert ja alles.

LTE Modem Internetzugriff

Zugriff vom LTE-Modem ins Web; Alles funktioniert.

Kehrt man das Ganze aber um und möchte das Mobiltelefon bzw. das LTE-Modem von extern erreichen (z.B. für Fernsteuerung von Geräten, Fritz Smart Home) wird das in den wenigsten Fällen auf Anhieb funktionieren. Der Grund dafür; die unterschiedlichen Netzwerke („Internet“ vs. „Internes Netzwerk d. Providers“) die durch die Providerfirewall getrennt sind.

LTE Modem Fernzugriff

Zugriff vom Web aufs LTE-Modem ins Web; Firewall des Providers blockiert.

Gründe?

Die Gründe, wieso nicht jedes Mobiltelefon mit einer öffentlich ansprechbaren IP-Adresse unterwegs ist sind vor allem bei den Kosten und der Sicherheit zu suchen.

Zum einen braucht der Provider wesentlich weniger öffentliche IP-Adressen (Sind nicht gratis…) was im Zuge der heutigen Mobilisierung oftmals auch gar nicht mehr möglich wäre (d.h.; zu wenige IP-Adressen).

Zum anderen ist es auch eine Sicherheitsfrage. Wenn jedes Mobiltelefon mit einer öffentlichen IP-Adresse direkt ansprechbar wäre, gäbe es über kurz oder lang ein Chaos apokalyptischen Ausmasses. Jedes verpasste Update auf dem Smartphone würde eine potenzielle Sicherheitslücke darstellen, die per Web direkt angesprochen und ausgenutzt werden könnte.

 

Lösung

Nun gibt es aber Fälle, wo das LTE-Modem (z.B. eine Fritzbox) über eine öffentliche IP-Adresse verfügen muss. Denn selbst Dienste wie dyndns.org, noip.com oder myfritz.net benötigen zur korrekten Weiterleitung eine solche Adresse.

In der Schweiz bekommt man Sie für die entsprechenden Geräte jeweils nur auf Anfrage beim Provider:

  • Sunrise; kurze Anfrage bei der Support-Hotline
  • Swisscom; spezieller Zugang (Corporate Application Access) nötig

Laufwerksbuchstabe bleibt nicht bestehen

- - IT, Snippets

Jedes Laufwerk in Windows hat seinen Laufwerksbuchstaben. Doch was,wenn dieser partout nicht bestehen bleiben will und sich nach jedem Neustart zurücksetzt?

Das Problem

…ist schnell erklärt.
Datenträgerverwaltung Windows

Das rot markierte Laufwerk (genauer: die Partition) verliert nach jedem Neustart seinen Buchstaben. Zwar kann er manuell zugewiesen werden – so lustig ist das aber nach dem x-ten Mal auch nicht mehr.

Diverse Versuche mit xyz-Partition Maker  und ähnlicher Software für den bequemen Anwender enden ergebnislos.

Also ganz tief in der Trickkiste gewühlt und das beinahe vergessene Windows-Tools diskpart ausgegraben (Eingabeaufforderung –> cmd).

diskpart
list volumes
select volume x
ATTRIBUTES VOLUME CLEAR HIDDEN

Wobei „volume x“ natürlich die störrische Partition darstellt.

Mit 4 Zeilen ist das Problem gelöst…

 

Office 2016 Bilder in Signatur mitsenden

- - IT, Snippets

Wer in seinen Outlooksignaturen ein Logo oder Bild mitsendet und auf Outlook 2016 upgradet wird feststellen, dass dasselbige in der Signatur nicht mitgesendet wird. Dieses Verhalten kann aber korrigiert werden.

Die Ursache für das in den meisten Fällen ungewünschte Verhalten ist ein Registrierungseintrag der – man glaubt es kaum „Send Pictures With Document“ heisst.

Man findet in bei Office 2016 unter:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\Options\Mail]

Bei Office 2013 entsprechend unter:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Outlook\Options\Mail]

Für diejenigen die das Problem gerne schnell und einfach beheben möchte, habe ich hier einen fertigen Registrierungsfix erstellt (sowohl für Office 2013 wie auch für Office 2016):

Bilder_mitsenden_Office

Fehler: Kein zulässiger Kurzname für eine Datei

- - Allgemein, IT

Bei der Installation von Kaspersky Small Office Security 4 tritt unter Umständen folgendes Problem auf:

Kein zulaessiger Kurzname Kasperksy

Die Meldung „Fehler 1325. *** ist kein zulässiger Kurzname für eine Datei“ ist natürlich nicht gerade hilfreich.

Diverse Anpassungen an der Registry (z.B. Force Windows to use short filenames) bringen nicht den gewünschten Erfolg.

Im spezifischen Fall stellte sich heraus, dass der Preloader (Tool das die Installationdateien vom Kasperksy-Installationsserver „nachlädt“) nicht oder nur teilweise mit Roaming – Profilen zurechtkommt.

Abhilfe schafft in diesem Fall die Installation ohne Preloader.

Doch woher nehmen und nicht stehlen?

Der volle Installer ist dermassen gut „versteckt“, dass man ihn auch dann nicht findet, wenn man eigentlich weiss wo man suchen muss…

Kaspersky Small Office Security 4 Full Install

Für all diejenigen die sich die Suche sparen möchten – hier der direkte Link.

Windows 10 Upgrade erzwingen

- - IT, Snippets

Zurzeit wird ein grosser Wirbel um das neue Windows 10 gemacht. Bei vielen Nutzern erscheint zwar die Meldung über ein Upgrade und die Möglichkeit informiert zu werden, „wann“ das Upgrade verfügbar ist – konkrete Daten fehlen aber. Mit folgendem Trick wird das Windows 10 Upgrade erzwungen.

 

Windows 10 Upgrade

Das Upgrade ist reserviert? Aber wann wird es installiert?

Vorarbeiten für das Upgrade

Obwohl theoretisch nicht nötig, empfiehlt sich doch kurz einmal einen Blick auf die eigenen Backups zu werfen (Checkliste zum Backup gibts hier).

Anschliessend sollte das Verzeichnis C:\Windows\SoftwareDistribution\Download komplett geleert werden. Ist Windows nicht auf C:\ installiert analog mit anderem Laufwerksbuchstaben verfahren.

Upgrade erzwingen

Die weiteren Schritte sind nicht schwierig.

  1. Eingabeaufforderung / CMD also Administrator ausführen (wichtig!)
  2. wuauclt.exe /updatenow eingeben und mit Enter bestätigen

Anschliessend kann Windows Update wie gewohnt geöffnet werden – Windows 10 sollte automatisch als Upgrade heruntergeladen werden

 

Windows 10 Upgrade erzwingen

Nach Abschluss wird das Upgrade auf Windows 10 heruntergeladen

From Russia with Love

- - Allgemein, IT, Web

Ginge es nach den Mitteilungen in unseren SPAM-Ordnern, bekäme man nicht nur täglich unglaubliche Erbschaften sondern auch noch gleich die grosse Liebe frei Haus. Dass diese nicht immer ganz so einfach aufgibt und manchmal auch zur Brechstange greift zeigt folgender Artikel.

Teil 1: Liebe auf den ersten Blick

Alles Beginnt mit einem Mail das vielen bekannt vorkommen dürfte. Solche Mails erhalten wir täglich –  sehen sie als offensichtlichen SPAM zum Glück aber praktisch nie.

Russia with Love

Diese SPAM-Nachricht ist aber etwas anders; Zum einen erfolgt die Personalisierung der Nachricht nicht nur im Mail selbst (Hello…) sondern bereits in der Absenderadresse (…@bezeqint.net).

Welchen Vorteil sich der Spammer (= Evgeniya ;)) wohl davon erhofft?

Wirft man dann einen Blick in den E-Mailheader wird schnell klar, dass diese SPAM anscheinen tatsächlich über den Mailserver von Bezeqint.net (israelische Telekommunikationsgesellschaft) gesendet wurde. Der SPF-Fehler / Softfail hingegen zeigt, dass der Empfängerserver (in diesem Fall Google Apps) festgestellt hat, dass die Mailadresse beim Empfänger gar nicht existiert.

Return-Path: <[email protected]>
Received: from bzq-79-176-7-**.red.bezeqint.net (bzq-79-176-7-83.red.bezeqint.net. [79.176.7.**])
        by mx.google.com with ESMTP id r2si8280383lar.102.2015.04.24.06.42.37
Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate 79.176.7.** as permitted sender) client-ip=79.176.7.**;
Authentication-Results: mx.google.com;
       spf=softfail (google.com: domain of transitioning [email protected] does not designate 79.176.7.** as permitted sender) [email protected]
From: "Evgeniya" <[email protected]>

Dies hat folgende Punkte  zur Folge:

  • Diese E-Mail wird als SPAM klassifiziert
  • Die Absenderdomain hat keine Konsequenzen zu befürchten (Blacklist…)

Das System funktioniert in diesem Fall fast perfekt;

Teil 2: Mit der Brechstange

Nachdem man Evgeniya in Teil 1 nicht weiter beachtet hat, geht man davon aus, dass sie sich anderweitig umgesehen hat.

Leider scheint sie aber von hartnäckiger Natur zu sein und versucht es nun anstelle von Blumen mit der Brechstange. Diverse Mitteilungen „Delivery Status Notification Failure“ (=Mail gleich unzustellbar) im Posteingang zeugen von ihrem hartnäckigen Werben…

Mail Delivery Failed

Der Inhalt derselben ist identisch mit der ursprünglichen Nachricht – mit zwei Unterschieden:

  • Absender ist neu eine gefälschte Mailadresse der Domain aus Teil 1
  • Empfänger ist neu (=Teil der Mailadresse vor dem @)

Spoofing

Was hat Evgeniya versucht? Nun – nichts anderes als im Namen der ersten Mail weitere „Kunden“ anzulocken. Die Mailadresse, die dabei als Absender genutzt wird ([email protected]) exisitiert nicht und wird gefälscht (sog. Spoofing).

Es ist davon auszugehen, dass auch beim nächsten Empfänger als Absender wieder eine gefälschte Phantasieadresse des Vorgänger verwendet wird.

Das entsprechende Schema dazu dürfte bekannt vorkommen; ein typisches Schneeballsystem.

Spoofing

Spoofing alias Evgeniyas Way of Love…

Durch die Kombination von Spoofing und Spamming wird zwar die „Erfolgsquote“ von Evgeniya drastisch sinken, andererseits gibt es dafür keinen konkreten SPAM-Mailserver bzw. SPAM-Domain die man sperren könnte. Bei jedem Versand sind andere Domains und Mailserver betroffen…raffiniert, nicht?

Kollateralschäden

Problematisch an dieser Art von Spam + Spoof ist dabei nicht nur die verschmähte Liebe sondern v.a. dass durch das Spoofing leicht an sich unschuldige Dritte als Spammer gekennzeichnet werden können.

Wenn bei einer Domain keine korrekten SPF – Einträge gesetzt sind (d.h. der Empfänger kann nicht überprüfen ob die ensprechenden Mails auch vom authorisierten Absendern kommen) oder dies anderweitig überprüft wird (z.B. standardmässig mit Google Apps) wird der Absender bei ausreichender Anzahl an Beschwerden als Spammer markiert…

 

Um solche Fälle zu vermeiden empfiehlt sich dringend korrekte SPF-Records zu setzen. Einen entsprechenden Generator dazu gibt es etwa hier oder hier. Der so erstellte Eintrag muss anschliessend als TXT in den DNS-Einträgen der Domain hinterlegt werden.

Zwar braucht das etwas Zeit, langfristig macht man Evgeniya damit aber einen Strich durch die Rechnung…

Ein Fax mit Folgen

- - IT, Web

Wer von einem Bekannten eine E-Mail mit dem Anhang fax-message876-792-093.zip erhält, tut gut daran diese nicht zu öffnen. Weder handelt es sich um einen Fax noch wurde die Nachricht in dessen Absicht versendet…

Im Gegensatz zum Artikel SPAM – Back to the Roots ist der Nachrichtentext diesmal etwas sinnvoller – wenn auch immer noch auf Englisch:

You have received fax from EPSON16843115 at ****

Besonders boshaft an dieser Version ist aber die Art der Verbreitung. Der Absender ist dem Empfänger bekannt und auch der Mailversand erfolgt über den korrekten Mailserver des Absenders. SPAM-Filter werden dadurch weitestgehend ausgehebelt. Rein technisch kommt das Mail ja vom korrekten Empfänger.

Da zum Versand der Nachricht das persönliche Adressbuch des Absenders genutzt wird, besteht von Anfang an ein Bezug zu diesem Mail – die menschliche Neugier garantiert, das ein Grossteil aller Empfänger diese Nachricht auch öffnet.

Kein(e) Fax(en)

FAX ZIPSpätestens beim Öffnen des mitgesendeten Fax müsste man misstrauisch werden. Ein Epson – Drucker der ein Fax nicht nur komprimiert und automatisch versendet, sondern daraus auch noch einen Anwendung erstellt? Erstaunlich…

 

Entsprechend wenig mit einem Fax hat der Inhalt dann tatsächlich zu tun. Öffnet man nämlich die komprimierte bot.exe passiert erst einmal – nichts. Also noch einmal öffnen…

Doch erst nach einigem Klicken und Drücken erscheint dann das „Fax“:

Fax CryptoWall3

 

Leider handelt es sich nicht um einen Fax sondern um die Ransomware CryptoWall.

Im Gegensatz zur üblichen Ransomware, die den Computer „nur sperrt“ beginnt CryptoWall sämtliche Daten zu verschlüsseln. Eine Entschlüsselung ist nur möglich, wenn der entsprechende Entschlüsselungcode gekauft wird. Dies empfiehlt sich aber nicht!  

Es gibt keine Gewissheit, dass

  • nach Bezahlung eine Enschlüsselung möglich ist
  • der Preis nach Bezahlung nicht plötzlich steigt.

Die Sinnvollste Lösung ist das professionelle Entfernen des Ransomware und das Einspielen eines aktuellen Backups.

 

Im Hintergrund

Was passiert aber eigentlich im Hintergrund?

Nachdem box.exe ausgeführt wurde, wird erst einmal der „Persönliche Verschlüsselungscode“ generiert. Die Formulierung dazu ist recht höflich gehalten („Especially for you, on our server was generated the secret key pair…“).

Schaut man sich die Netzwerkprotokolle an, wird schnell ersichtlich, dass zu Generierung der Verschlüsselung eine vorgängig gehackte WordPressite genutzt wird:

CryptoWall 3 Netzwerkprotokoll

In diesem Fall handelte es sich um 9 verschiedene WordPresssites – ein Grossteil wurde wahrscheinlich bereits im Dezember 2014 über eine Sicherheitslücke im WordPressplugin RevSlider gehackt.

CryptoWall WordPress WIrt

An diesem Punkt stellt sich dann die Frage; Kann die Verschlüsselung auch über eine solche infizierte Webseite rückgängig gemacht werden?

Leider nein – den entsprechenden Entschlüsselungscode erhält man nur über das TOR-Netzwerk – eine Rückverfolgung ist damit praktisch unmöglich.

Antivirus?

CryptoWall VirustotalDen bereits im letzen Artikel SPAM – Back to the Roots  angesprochenen „Toten Winkel“ gibt es leider auch hier. 4 Stunden nach Erhalt der E-Mail haben 9 von 57 Antivirusscannern immer noch kein Problem mit dem File fax-message876-792-093.zip.

Wer mit diesen Schutzprogrammen unterwegs ist muss sich auf seinen gesunden Menschenverstand verlassen – oder aber verfügt über ein gutes Backup!

 

 

PS: Im Wikieintrag Cryptowall 3.0 entfernen gibts einige Tipps wie man versuchen kann Daten von einem mit Cryptowall betroffenen Computer zu retten.