Wie die Computerzeitschrift Heise (heise.de) berichtet, haben das BSI, CERT-Bund und die Spezialisten des LKA vor einer neuen Welle mit Crypto-Trojanern gewarnt, die nun in einer Welle auf Firmen zukommen könnten. Man warnt vor Millionenschäden.
Bereits im November hat das ZAC Niedersachsen darauf hingewiesen, dass sich die Malware "Emotet" massiv über E-Mailanhänge verbreitet. Der Trojaner ist in einem Microsoft Word Dokument angehängt und wird als Script ausgeführt. In der Folge liest er dann deine Adressbücher aus und schreibt weitere Mails an Kunden und Lieferanten und verbreitet sich so weiter. Über eine Windows Lücke verbreitet sich dann dieser Trojaner von System zu System in deinem Netzwerk und lädt auch andere Module nach. Darunter können dann auch Crypto-Trojaner sein, mit denen du auf Geld für deine Daten erpresst wirst. Image-Schaden etc. sind gratis dabei.
Deswegen möchten wir dich heute als unseren Kunden alarmieren und auch kurz eine Empfehlung aussprechen. Wir selbst setzen beim Mail-Programm auf Tobit david(r). Glücklicherweise können dessen Addressbücher nicht so einfach wie bei Outlook ausgelesen werden. Die meiste Malware setzt natürlich auf Mainstream Produkte. So bedarf es eines Microsoft Word, damit das in den Anhang gepackte Script funktioniert. Falls du also Tobit und Microsoft Word installiert hast, bist du zunächst trotzdem gefährdet - werden aber vermutlich den Trojaner nicht weiter verbreiten.
Bei Karley setzen wir daher beim Briefeschreiben auf weniger bekannte Software, die keine VBS-Scripte unterstützt. Die wenigsten Firmen benötigen auch eine Software mit der man sowohl ein Angebot als auch einen Roman schreiben kann. Ein guter Schutz ist auch die Verwendung von Libre Office oder Open-Office, da diese zunächst einmal alle Scripte blockieren, sodass hier auch Emotet nicht weiterkommt. Über die üblichen Firewalls und Virenschutz-Software (Tobit Message Identification und Virenschutz) .. oder Appliances wollen wir nicht reden, sondern um einfache Mittel, die Tobit david(r) bereits mit sich bringt:
Blocke einfach Nachrichten mit Anhängen oder betrachte diese grundsätzlich kritisch. Bislang ist kein Trojaner über PDFs uns bekannt. Um das zu erreichen, bietet Tobit david(r) einfache Regeln an, die du anpassen kannst. Dazu klickst du im david(r) navigator über einem Ordner (z.B. unverteilt) die rechte Maustaste und klickst im Menü auf "Regeln".
Wir nennen diese Regeln einmal "Gefährliche Anhänge"
Jetzt können wir entscheiden, ob wir diese Mails immer löschen möchten, oder aber z.B. in einen Ordner verschieben. Wenn es sein kann, dass dir Kunden wirklich mal solche Dokumente versenden, solltest du sie nicht grundsätzlich ablehnen. Sonst wird die Kommunikation mit deinen Kunden recht schwer. Aus diesem Grund zeigen wir dir, wie wir solche Dokumente mit Anhängen erst einmal in einen Ordner verschieben.
Als Nächstes legst du die Bedingungen fest. Wir sehen als schlimmste Endungen folgende: .exe .vbs .reg .doc .docx .htm .html . Du könntest natürlich noch weitere oder andere Endungen filtern. Auch *.* ist denkbar, wenn du alle Mails mit Endungen vorher überprüfen lassen möchtest.
Diese Regeln verschieben wir dann in einen Ordner. Wir haben dafür einen Ordner erstellt, den wir SPAMVErDACHT nennen.
In der Folge landen nun alle Mails mit einem Anhang der obigen Endungen im Ordner SPAM Verdacht. So ist zunächst einmal sichergestellt, dass kein Mitarbeiter mal unbedacht diese Mails öffnet. Natürlich kannst du auch als Ziel einen anderen Ordner wählen, auf den z.B. nur ein Mitarbeiter der EDV Zugriff hat.
Diese Mails sollten dann - nach Möglichkeit auf einer VM mit beschränktem Netzwerkzugriff - ohne Office und mit einem Virenschutz überprüft werden. Denkbar ist es auf der VM z.B. nur einen Tobit Client oder Thunderbird per Mail-Access zu installieren. Die Anhänge sollte man dann mittels Virenscanner - oder online (totalvirus) überprüfen. Programme sollte man niemals ausführen - es sei denn, du hast darauf gewartet und es ist abgesprochen. Der geschulte Mitarbeiter prüft dann die Anhänge und kann sie im Zweifel intern dem richtigen Ansprechpartner weiterleiten.
Die Prüfung muss natürlich auch sehr vorsichtig geschehen. Wir empfehlen bei den VMs auch unbedingt Wiederherstellungspunkte, sodass nach jedem Test die VM wieder zurückgesetzt wird.
Weitere Fragen zu Tobit und Virenschutz beantworten dir unsere Mitarbeiter gerne.
Die Quellen zum Nachlesen:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2018/BSI_warnt_vor_Emotet.html 
