Erpressungstrojaner: Jigsaw CryptoHitman geknackt und sichere Backups

by Leave a Comment

Die Macher der Jigsaw-Ransomware versuchen offensichtlich eine neue Masche und kombinieren in der CryptoHitman-Variante den kahlköpfigen Character aus der Hitman-Reihe mit heftigen Pornobildern.

Malware-Warnsymbol_rot_gluehendWas steckt dahinter? Wenn man der Umfrage des bsi trauen kann, waren in Deutschland  1/3 (sic!)  aller Firmen von Erpressungs-Software mehr oder weniger hart betroffen und es sind natürlich gerade Firmen, die schnellstmöglich ihre Arbeitsfähigkeit wieder herstellen möchten oder müssen. Da man am Arbeitsplatz erst Recht keine Pornobildchen als aufgezwungenes Hintergrundbild haben möchte, ist das eine besonders perfide Methode, womöglich zahlungsunwillige, aber schamvolle Menschen unter Handlungs-Druck zu setzen.

Die übliche Countdown und Löschandrohung der Dateien tut dann sicherlich ihr übriges: „Ab 12.00 Uhr erschießen wir stündlich eine Word- oder Excel-Datei! Packen Sie rechtzeitig den Geldkoffer mit unnummerierten Bitcoins in den Papierkorb in die rechte untere Bildschirmecke.“

Glücklicherweise muss darauf niemand eingehen, auch Hitman scheint geknackt worden zu sein:

http://www.bleepingcomputer.com/news/security/jigsaw-ransomware-becomes-cryptohitman-with-porno-extension/

Lesetipp:
Dass einige Ransomware-Trojaner auch über das Netzwerk oder als Wechseldatenträger erreichbare Backupssysteme mitverschlüsseln können, haben viele schmerzhaft feststellen müssen.

Daher ist eine durchdachte und an die Bedrohungslage aktualisierte Backupstrategie wichtiger, denn je. (siehe hier)

Die c’t schreibt in ihrer aktuellen Ausgabe ausführlich über die unterschiedlichen Backupmethoden und -Strategien und stellt mit Duplicati eine feine kostenlose Backuplösung vor.

www.heise.de/ct/ausgabe/2016-11-Daten-Trojaner-sicher-speichern-3199496.html

www.heise.de/ct/ausgabe/2016-11-Mit-Duplicati-in-fuenf-Minuten-zum-Trojaner-sicheren-Backup-3199302.html

wikipedia über Duplicati

duplicati.com/

FinTS/HBCI: vermeintlich doppelte Umsätze bei GLS Bank

by 2 Comments

Wenn sich die Umsatzdaten rückwirkend verändern, kann es bei ZV-Programmen mit FinTS-Schnittstelle zur Anzeige vermeintlich doppelter Buchungen kommen.

betroffene Programme:

  • Macgiro
  • iOutbank
  • BankX
  • collmex
  • Mensamax

Abhilfe: Die Umsatzdaten seit dem Auftreten der doppelten Umsatzdaten müssen gelöscht und dann noch einmal abgerufen werden.

Man muss dabei darauf achten, dass die Daten nur ab dem gelöschten Datum abgerufen werden, an dem die doppelten Umsätze auftraten.

Woran liegt das?
FinTS-Programme holen die Bankdaten vom Bankserver selbstverständlich immer bis zur aktuellen Sekunde ab, die Aktualität ist ja auch ein besonderer Vorteil des Verfahrens. Die Umsatzdaten werden also auf Anforderung bis Stand „jetzt“ generiert. Damit keine Lücken im Datenbestand auftreten, muss die Software also Umsatzdaten „überlappend“ abholen, der aktuelle Tag ist ja noch nicht abgeschlossen. Einige Programme haben hier auch einen größeren „Puffer“ und holen z.B. einige Tage mehr ab.

DebuggingUmsatzdaten sind nun aber leider nicht durchnummeriert, zumindest in den klassischen MT940 Formaten nicht. Eine Software kann also die Buchung nur anhand des Inhalts unterscheiden und als „bekannt“ oder „neu“ erkennen.

Ändern sich diese Daten rückwirkend, z.B. durch Änderungen des Banksystems, dann haben einige Programme mehr oder weniger große Schwierigkeiten, die bereits vorhandenen Daten von den neuen Daten zu unterscheiden, sofern sie nicht generell den alten Bestand löschen.

Dass Buchungen doppelt verarbeitet wurden, ist natürlich am Kontostand verifizierbar. Durch simples Zusammenrechnen sollte also ein Programm durchaus erkennen können, dass „etwas nicht stimmen kann“, wenn Buchungen im System doppelt sind. Man kann also eine Warnung oder einen Hinweis auf doppelte Buchungen durchaus erwarten.

Ausrufezeichen_SchildIch empfehle allen Programmierern dringend, über den Wechsel zum zeigemäßeren CAMT-Format intensiver nachzudenken, weil hier ein Konvertierungsproblem wegfällt.

Die Änderung wird in den nächsten Monaten bei allen Genossenschaftsbanken am Rechenzentrum ex-GAD in Münster durchgeführt.

>> Diskussion im onlinebanking-forum

FinTS/HBCI: Signatur ID ist ungültig oder was already used

by 3 Comments
Stand: 16.05.2024

Fehlermeldung 9390:Signatur-ID ist ungültig

9210:Signature Id xxx was already used

Erläuterung: Mit Signatur-ID ist – vereinfacht dargestellt – eine Art Zähler der elektronischen Unterschrift gemeint. Es handelt sich um eine Sicherheitsfunktion, die verhindern soll dass eine Unterschrift doppelt verwendet werden kann. Bei der HBCI-Sicherheitsdatei wird der Zählerstand bei den meisten Programmen in der Sicherheitsdatei oder im Programm selbst mitgezählt, es ist deshalb auch nötig, dass die Datei beschreibbar ist. Daher ist es mit den meisten Programmen auch nicht möglich, zwei USB-Sticks mit dem gleichen Bankzugang ohne Störungen zu nutzen.

Jeder online Übertragungs- und Signiervorgang, das können auch Umsatzabrufe sein, zählen diesen Zähler weiter, der Stand muss mit dem Stand des Bankrechners übereinstimmen oder neuer sein.

Ausrufezeichen_Schild

Aufgepasst: In den allermeisten Fällen, in meiner Tätigkeit waren das bisher 100%,  ist und war der Hinweis harmlos. Haben Sie jedoch den dringenden Verdacht, die Datei und Ihr Passwort könnte unberechtigt kopiert worden sein, dann müssen Sie reagieren und die Sicherheitsdatei und Passwort austauschen. Dazu nutzt man den Schlüsselwechsel, eine neue Kennung ist nicht nötig. Alle Kopien – rechtmäßige und unrechtmäßige – sind dann ungültig.

Ist der Zähler der Datei zu sehr veraltet, muss der Stand mit dem Bankserver synchronisiert werden. Bei den meisten Programmen liegt die Funktion dazu in der Bankverwaltung.

GLS e Bank, Windata: Stammdaten/Administrator für FinTS/HBCI, Kontakt markieren und den Button „synchronisieren“ auswählen. Bei Lexware und Buhl/Wiso dürfte das in der gleichen Weise in den Bankkontakten geschehen. Bei vielen Programmen ist die Verwaltung auch über die Windows-Systemsteuerung über „Homebanking-Kontakte“ erreichbar.

Profi cash: Stammdaten, HBCI-Verwaltung. Oben das Kürzel auswählen und „Benutzerdaten aktualisieren“ anklicken.

VR-NetWorld Software: Stammdaten, Bankverbindungen. Dann mit rechter Maustaste den Bankkontakt markieren und im Kontextmenü „Synchronisieren“ auswählen (oder oben über den Button gehen).

Die Protokollmeldung sieht dann folgendermaßen aus (hier aus Profi cash 10.8b):

(Dialog)    INERR (3999) Die Signatur-ID ist mit dem Kreditinstitut synchronisiert worden. ()

Gemeinschaftsvollmachten
Diese typische Situation ergibt sich manchmal, wenn z.B. folgendes bei A- und B-Vollmachten passiert:

Person A unterschreibt vorab einen Buchungsauftrag, das geschieht offline. Der Bankserver bleibt also auf dem alten Stand. A arbeitet dann mit der Signatur weiter, holt z.B. Kontoumsätze ab, der Bankserver synchronisiert sich mit der Signatur.

Person B setzt die zweite Unterschrift unter den vorab von A unterschriebenen Buchungsauftrag und überträgt die Buchung.
Da die Unterschrift von A inzwischen veraltet ist, wird die Buchung nicht durchgeführt.

Oder auch:

Person B unterschreibt statt bei der Datenübertragung ebenfalls vorab offline die Aufträge – anstatt die Unterschrift bei der Übertragung „unter“ den Auftrag zu setzen und erledigt dann womöglich noch andere Aufträge online.
Wird dann der Buchungsauftrag gesendet, ist womöglich der Zähler der vorherigen Unterschrift bereits veraltet. Die  elektronische Signatur sollte vom Übertragenden also nicht vorab geleistet werden.

Abhilfe: Zeitnah sollten alle Bev. unterschreiben und der Übertragende sollte nicht vorab signieren.

Zumindest bei Profi cash kann es sein, dass der Job neu erstellt und unterschrieben werden muss, weil der Bankrechner der Meinung ist, die Signatur sei zu alt. Mit Löschen/Stornieren und Reaktivieren des Auftrags macht das aber wenig Arbeit.

Andere Ursache: Ein altes Backup einer alten Signaturdatei wird verwendet

Ist dies der Fall, hat die Kopie der Sicherheitsdatei noch den veralteten Zählerstand zum Zeitpunkt der Kopie behalten. Es muss neu synchronisiert werden (siehe oben).

Signaturzähler „übergelaufen“:

Die Formulierung hört sich etwas „blöd“ an, ist aber ein technischer Begriff aus der IT: Überlauf. Das ist möglich, denn wurde zu häufig mit der Signatur unterschrieben, kann der Zählerstand den vorgesehenen Speicherplatz überschreiten und ist nicht mehr nutzbar. Ich vermute, es sind nur 16 Bit als „Speicherplatz“ für den Zähler vorgesehen. Dies sollte natürlich nur bei absoluten „Power-Usern“ geschehen. Wer die Umsätze seiner Konten im Minutentakt abruft bzw. z.B. von einem Automaten abrufen lässt, schafft das aber spielend. Hier empfehle ich dringend, auf PIN&TAN zurückzugreifen, bei dem kein Zähler eine Rolle spielt. Das ist auch aus Sicherheitsgründen zu empfehlen, und eine Trennung zwischen TAN-pflichtigen Aufträgen und Umsatzabrufen wird möglich. Das Sicherheitsdatei-Verfahren wird wahrscheinlich abgeschaltet werden..

mein alter Infostand: Um mit der Signatur oder Chipkarte weiter arbeiten zu können, hilft dann nur eine frische Benutzerkennung oder neue Karte von der Bank und eine neue Initialisierung.

Das obige scheint nur für Chipkarten gelten, bei Hibiscus hat es geholfen, die Bankparameter zu löschen. Wie Sie dies bei anderen Programmen tun können, finden Sie dort im Handbuch.

Sicherheit: Ransomware Jigsaw löscht stündlich eine Datei und beim Neuboot 1000

by Leave a Comment

Piraten-FlaggeSo macht man Druck auf die Opfer. Jede Stunde länger warten und eine Datei wird vernichtet. Je länger man wartet, desto mehr Dateien müssen immer schneller dran glauben. Perfide, dass bei einem Neuboot gleich 1.000 Stück weg sein sollen. Immerhin fällt der Preis, verglichen mit dem „Ransomsoftware-Wettbewerb“ auf 0,4 BTC, das sind aktuell um die 150,00 Euro, andere sind da teurer.

Glücklicherweise gibt es anscheinend schon ein Dechiffrier-Tool, das die Dateien wieder herstellen kann. Man sollte also nicht bezahlen.

Ich bin nicht sicher, was wirklich passiert – hat man aber den Rechner heruntergefahren, sollte man keinesfalls den Computer einfach über das normale System neu starten. Entweder baut man die betroffenen Datenträger oder es empfiehlt sich der Neuboot mit einem Live-Linux-System, z.B. Knoppix, um Backups zu erstellen. Dabei wird die Schadsoftware nicht aktiviert und man

Quelle und weitere Links: Golem

Browserbanking: PDF Kontoauszug verlangt Kennwort?

by 6 Comments
Suchlink:
#pdfkennwort

09.01.2024: Fehler im neuesten mobilen Apple-Betriebssystem generiert Passwort

Verlangt Ihr PDF-Reader beim Öffnen oder Speichern der PDF-Kontoauszüge ein Passwort oder ein Eigentümerkennwort, dann versucht der Reader womöglich an der Datei etwas zu verändern, z.B. ein Lesezeichen zu setzen oder ähnliches. Ich kenne dies von Mac-Programmen oder PDF-Readern, die direkt im Browser integriert wurden, z.B. der integrierte Firefox Browser.

Technisch handelt es sich bei den Auszügen der genossenschaftlichen Banken um ein Dokument im Archivierungsformat, PDF-A:
https://de.wikipedia.org/wiki/PDF/A

Aus naheliegenden Gründen dürfen Auszugsdateien nicht geändert werden und sind deshalb geschützt, auch Bankmitarbeitende kennen keine Kennwörter.

Man kann dem Öffnen-Problem aus zwei Richtungen begegnen: Eine Option wäre es, einen anderen Leser zu installieren und zuzuordnen, ich verwende unter Windows z.B. den freien Sumatra Leser. Wenn man das Programm zum Öffnen der PDF einstellt, gibt es weniger Probleme. Ein einfacher Workaround wäre auch das vorherige Abspeichern der Datei und zwar aus der Listenfunktion.

Öffnen Sie dann die Datei aus dem Ablageordner, beim Firefox z.B., indem Sie die Downloadliste öffnen (STRG-J) und dort das Ordnersymbol anklicken oder mit der rechten Maustaste auf den Dateinamen gehen und Ordner öffnen auswählen.

Lesetipp für Macianer (externer Link):

https://www.apfeltalk.de/community/threads/speichern-von-pdf-ueber-safari.285355/

 

Wer hat an der Uhr gedreht? Uhrzeit und Datum einstellen

by Leave a Comment
Suchwort #Uhrzeit
zuletzt geändert: 03.04.2017

Ein korrektes Datum ist in der Buchhaltung sehr wichtig, aber auch die Uhrzeit ist u.a. sicherheitsrelevant. Sind Zeit, Datum oder am häufigsten die Zeitzone falsch eingestellt, werden Sie z.B. beim Onlinebanking per Browser sofort abgemeldet, Sie erhalten Fehlermeldungen oder Sie erhalten keine Umsatzdaten bei der Nutzung Ihrer Zahlungsverkehrssoftware.

Je nach Anwendung ist nicht die angezeigte Zeit entscheidend, sondern die sogenannte Internet-Zeit, die sich über die Zeitzone und die angezeigte Uhrzeit ergibt. Die angezeigte Uhrzeit mag also korrekt sein, wenn der Versatz durch die Zeitzone und Sommer/Winterzeit nicht stimmt, dann geht die Internetzeit des Rechners im Vergeich zur offiziellen Internetzeit falsch.

Banking per Browser: Denken Sie daran, nach der Zeit-Korrektur auch Cache und Cookies zu löschen.

Störung des Zeitservers

Die meisten Computer synchronisieren ihre Zeiteinstellung online mit einem Server. Ist der Zeitserver aus dem Takt oder nicht erreichbar, können Sie einen alternativen Server einstellen, die Uhr manuell stellen (siehe unten) oder das Problem einfach aussitzen.

Neben vielen anderen Webseiten beschäftigt sich diese Seite intensiver mit dem Thema und listet viele Adressen frei erreichbarer Zeitserver: www.zeitserver.de
Ich habe erfolgreich die Adresse der PTB (Physikalisch-Technischen Bundesanstalt) in Braunschweig getestet.

Sommerzeitproblemsundial

Bei der Sommerzeitumstellung scheint einiges schief zu laufen.

Seit mehr als 10 Jahren wird in den USA nicht mehr am ersten Aprilsonntag umgestellt, sondern bereits am zweiten Sonntag im März. Anscheinend werden aber einige Betriebssysteme noch im April aktiv und verstellen die Zeit erneut – oder der angesprochene Zeitserver spinnt.

Unter Umständen benötigt die Zeitzoneneinstellung nach der Umstellung einen Extraklick, um die Zeit korrekt anzuzeigen.

Prüfen Sie ggf. auch Ihren Server/Router, wenn dieser für die Zeiteinstellung in Ihrem System verantwortlich ist.

Rufzeichen_60Beachten Sie bitte folgendes: Bei Netzwerken, Datenbanken, Backups, Organizer, Cloud-Anbindungen, Buchhaltungsprogrammen etc. ist eine kontinuierliche Systemzeit und das Datum unter Umständen extrem wichtig. Daher sollten Sie nicht einfach die Zeit verstellen, wenn Sie nicht wissen, welche Auswirkungen eine Umstellung hat. Dies gilt besonders für Server und Sicherungssysteme. Sprechen Sie also ggf. mit Ihren IT-Fachleuten.

So ändern Sie die Zeiteinstellungen unter Windows 10

Zeiteinstellung unter Windows 7

So ändern Sie die Zeiteinstellungen am Mac

Ziemlich genaue Uhrzeit gesucht?  (Javascript nötig):

uhr.ptb.de

Lesetipp: Welche Bedeutung eine wirklich genaue Zeitmessung hat, kann man hier bei der Physikalisch-Technische Bundesanstalt (PTB) nachlesen.

Fehlermeldung Zertifikatsfehler

by Leave a Comment

Sehen Sie diesen Fehler, z.B. in Profi cash, dann fehlt vermutlich das aktuelle Verschlüsselungszertifikat.

Ergänzung 26.02.2018: Wenn Sie bei der Datenübertragung zu einer Sparkasse den Fehler haben, lesen Sie bitte hier weiter.

Wahrscheinlich ist Ihre Software nicht auf dem aktuellen Stand:

Status der HBCI-Übertragung: Fehler
(Dialog) INERR (9999) Die HTTPS-Verbindung konnte nicht hergestellt werden. ()
(Dialog) INERR (9999) HTTPS-Verbindung: Die Überprüfung des SSL-Zertifikats von 'https://hbci-pintan.gad.de/cgi-bin/hbciservlet'
 ... ist fehlgeschlagen. ()
(Nachricht) INERR (9999) Dieser Auftrag wurde aufgrund vorhergehender Fehler nicht gesendet. ()
Job  'Umsatzabfrage' zu Konto 'Kontoname' am 04.04.2016 nicht erfolgreich ausgeführt !!!

 

Lesen Sie dieses hier: Profi cash Datensicherung und Update durchführen.

Zertifikatsdetails HBCI-PINTAN.GAD.DE

by Leave a Comment

fingerprintveraltet, bitte wenden Sie sich an Ihre Bank!
Die wichtigsten Details des Verschlüsselungszertifikats der Adresse
HBCI-PINTAN.GAD.DE

Überprüft durch: VR IDENT SSL CA 2016
Läuft ab: 16.04.2019
Organisation: FIDUCIA & GAD IT AG
Zertifikat des Herausgebers
Seriennummer: 00 F2 C0 0D CA 12 5A 3B 8F B6 98 DA
Nicht gültig nach: 2019-04-16
Zertifikat-Fingerabdruck SHA256:
83 78 7C EA CC 0A 5B A9 9A 8C FB F0 E5 04 3C 68
50 82 FE 62 08 9E 57 8E E0 7A 17 13 90 75 36 C3
SHA1-Fingerabdruck des Schlüssels:
E4 F1 07 A9 13 EA 5F B2 99 6A A5 59 0C 1B 5D 58 F3 83 B0 61

Zertifikatsdetails EBICS.MULTIVIA-SUITE.DE

by Leave a Comment

fingerprint
Die wichtigsten Details des Zertifikats der Adresse
EBICS.MULTIVIA-SUITE.DE

Überprüft durch: VR IDENT SSL CA 2016
Läuft ab: 14.04.2019
Organisation FIDUCIA & GAD IT AG
Zertifikat-Fingerabdruck SHA1: 
3E 53 CC 01 89 7C 89 65 FC EC BA 0B 04 B1 25 6A 5C 84 8F 84
SHA256:
33 54 99 8C DA 8A A8 EB 98 B6 BC 61 F8 62 39 90
35 1F 4E B2 8D 63 D1 C2 64 A2 51 85 BD 11 7F DF

Sicherheit: Ransomware Samsa=Mokoponi spioniert erst, dann wird zugeschlagen

by Leave a Comment

Am Freitag hatte der Admin frei, am Samstag war dann Samsa da?Malware-Warnsymbol_rot_gluehend

Bei den aufgedeckten Fällen mit dieser Erpressersoftware wird offensichtich  viel „per Hand“ erledigt, der Einbruch in das Netzwerk und auch die Verschlüsselung des Systems erfolgt gezielt manuell.

Bei dem Aufwand ist auch die Lösegeldforderung höher – 50 Bitcoins für die Entsperrung des gesamten Netzes entsprechen heute fast 19.000,00 Euro. Der Einzelrechner ist mit 1,5 BTC dabei. Da sind die 0,5 BTC des Locky-Trojaners ja fast ein Schnäppchen.

Billige, „für alle erschwingliche Massenware“ gegen gezielte individuelle „Kundenbetreuung“ also auch hier 😉

Da fragt man sich, ob nicht gleich noch andere Beute gemacht wird, also z.B. mit Industriespionage und/oder Sabotage. Womöglich ist einem Wettbewerber die noch nicht zum Patent angemeldete Erfindung des Konkurrenten sogar etwas mehr wert als 50 Bitcoins?

Wer sich übrigens für die Erträge der Erpresser interessiert: Die Transaktionen von Bitcoinzahlungen sind ja nachvollziehbar, auch wenn die Eigentümer der Wallets nicht bekannt sind.

http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-mit-neuer-Taktik-Erst-schauen-dann-verschluesseln-3153767.html