Ein Kunde berichtete darüber, konnte die besagte Datei aber im Quarantäne Ordner von G-Data finden. Wie ich gerade lese, haben unterschiedliche Virenscanner (auch Kaspersky und F-Secure) gerade diese Datei auf dem Schirm und stufen diese irrtümlich als schädlich ein.

Hier handelt es sich mit großer Wahrscheinlichkeit um eine Falschmeldung („false positive“), was durchaus häufiger vorkommt bei Programmen, die eine Internetverbindng aufbauen. Sollten Sie verunsichert sein, vergleichen Sie die Datei mit Ihrer Bank.

Wenn Sie also eine Meldung erhalten, diese Datei würde fehlen: Schauen Sie im Quarantäne-Ordner mal nach…

Die Macher der Jigsaw-Ransomware versuchen offensichtlich eine neue Masche und kombinieren in der CryptoHitman-Variante den kahlköpfigen Character aus der Hitman-Reihe mit heftigen Pornobildern.

Malware-Warnsymbol_rot_gluehendWas steckt dahinter? Wenn man der Umfrage des bsi trauen kann, waren in Deutschland  1/3 (sic!)  aller Firmen von Erpressungs-Software mehr oder weniger hart betroffen und es sind natürlich gerade Firmen, die schnellstmöglich ihre Arbeitsfähigkeit wieder herstellen möchten oder müssen. Da man am Arbeitsplatz erst Recht keine Pornobildchen als aufgezwungenes Hintergrundbild haben möchte, ist das eine besonders perfide Methode, womöglich zahlungsunwillige, aber schamvolle Menschen unter Handlungs-Druck zu setzen.

Die übliche Countdown und Löschandrohung der Dateien tut dann sicherlich ihr übriges: „Ab 12.00 Uhr erschießen wir stündlich eine Word- oder Excel-Datei! Packen Sie rechtzeitig den Geldkoffer mit unnummerierten Bitcoins in den Papierkorb in die rechte untere Bildschirmecke.“

Glücklicherweise muss darauf niemand eingehen, auch Hitman scheint geknackt worden zu sein:

http://www.bleepingcomputer.com/news/security/jigsaw-ransomware-becomes-cryptohitman-with-porno-extension/


Lesetipp:
Dass einige Ransomware-Trojaner auch über das Netzwerk oder als Wechseldatenträger erreichbare Backupssysteme mitverschlüsseln können, haben viele schmerzhaft feststellen müssen.

Daher ist eine durchdachte und an die Bedrohungslage aktualisierte Backupstrategie wichtiger, denn je. (siehe hier)

Die c’t schreibt in ihrer aktuellen Ausgabe ausführlich über die unterschiedlichen Backupmethoden und -Strategien und stellt mit Duplicati eine feine kostenlose Backuplösung vor.

www.heise.de/ct/ausgabe/2016-11-Daten-Trojaner-sicher-speichern-3199496.html

www.heise.de/ct/ausgabe/2016-11-Mit-Duplicati-in-fuenf-Minuten-zum-Trojaner-sicheren-Backup-3199302.html

wikipedia über Duplicati

duplicati.com/

Stand: 16.05.2024

Fehlermeldung 9390:Signatur-ID ist ungültig

9210:Signature Id xxx was already used

Erläuterung: Mit Signatur-ID ist – vereinfacht dargestellt – eine Art Zähler der elektronischen Unterschrift gemeint. Es handelt sich um eine Sicherheitsfunktion, die verhindern soll dass eine Unterschrift doppelt verwendet werden kann. Bei der HBCI-Sicherheitsdatei wird der Zählerstand bei den meisten Programmen in der Sicherheitsdatei oder im Programm selbst mitgezählt, es ist deshalb auch nötig, dass die Datei beschreibbar ist. Daher ist es mit den meisten Programmen auch nicht möglich, zwei USB-Sticks mit dem gleichen Bankzugang ohne Störungen zu nutzen.

Jeder online Übertragungs- und Signiervorgang, das können auch Umsatzabrufe sein, zählen diesen Zähler weiter, der Stand muss mit dem Stand des Bankrechners übereinstimmen oder neuer sein.

Ausrufezeichen_Schild

Aufgepasst: In den allermeisten Fällen, in meiner Tätigkeit waren das bisher 100%,  ist und war der Hinweis harmlos. Haben Sie jedoch den dringenden Verdacht, die Datei und Ihr Passwort könnte unberechtigt kopiert worden sein, dann müssen Sie reagieren und die Sicherheitsdatei und Passwort austauschen. Dazu nutzt man den Schlüsselwechsel, eine neue Kennung ist nicht nötig. Alle Kopien – rechtmäßige und unrechtmäßige – sind dann ungültig.

Ist der Zähler der Datei zu sehr veraltet, muss der Stand mit dem Bankserver synchronisiert werden. Bei den meisten Programmen liegt die Funktion dazu in der Bankverwaltung.

GLS e Bank, Windata: Stammdaten/Administrator für FinTS/HBCI, Kontakt markieren und den Button „synchronisieren“ auswählen. Bei Lexware und Buhl/Wiso dürfte das in der gleichen Weise in den Bankkontakten geschehen. Bei vielen Programmen ist die Verwaltung auch über die Windows-Systemsteuerung über „Homebanking-Kontakte“ erreichbar.

Profi cash: Stammdaten, HBCI-Verwaltung. Oben das Kürzel auswählen und „Benutzerdaten aktualisieren“ anklicken.

VR-NetWorld Software: Stammdaten, Bankverbindungen. Dann mit rechter Maustaste den Bankkontakt markieren und im Kontextmenü „Synchronisieren“ auswählen (oder oben über den Button gehen).


Die Protokollmeldung sieht dann folgendermaßen aus (hier aus Profi cash 10.8b):

(Dialog)    INERR (3999) Die Signatur-ID ist mit dem Kreditinstitut synchronisiert worden. ()


Gemeinschaftsvollmachten
Diese typische Situation ergibt sich manchmal, wenn z.B. folgendes bei A- und B-Vollmachten passiert:

Person A unterschreibt vorab einen Buchungsauftrag, das geschieht offline. Der Bankserver bleibt also auf dem alten Stand. A arbeitet dann mit der Signatur weiter, holt z.B. Kontoumsätze ab, der Bankserver synchronisiert sich mit der Signatur.

Person B setzt die zweite Unterschrift unter den vorab von A unterschriebenen Buchungsauftrag und überträgt die Buchung.
Da die Unterschrift von A inzwischen veraltet ist, wird die Buchung nicht durchgeführt.

Oder auch:

Person B unterschreibt statt bei der Datenübertragung ebenfalls vorab offline die Aufträge – anstatt die Unterschrift bei der Übertragung „unter“ den Auftrag zu setzen und erledigt dann womöglich noch andere Aufträge online.
Wird dann der Buchungsauftrag gesendet, ist womöglich der Zähler der vorherigen Unterschrift bereits veraltet. Die  elektronische Signatur sollte vom Übertragenden also nicht vorab geleistet werden.

Abhilfe: Zeitnah sollten alle Bev. unterschreiben und der Übertragende sollte nicht vorab signieren.

Zumindest bei Profi cash kann es sein, dass der Job neu erstellt und unterschrieben werden muss, weil der Bankrechner der Meinung ist, die Signatur sei zu alt. Mit Löschen/Stornieren und Reaktivieren des Auftrags macht das aber wenig Arbeit.


Andere Ursache: Ein altes Backup einer alten Signaturdatei wird verwendet

Ist dies der Fall, hat die Kopie der Sicherheitsdatei noch den veralteten Zählerstand zum Zeitpunkt der Kopie behalten. Es muss neu synchronisiert werden (siehe oben).


Signaturzähler „übergelaufen“:

Die Formulierung hört sich etwas „blöd“ an, ist aber ein technischer Begriff aus der IT: Überlauf. Das ist möglich, denn wurde zu häufig mit der Signatur unterschrieben, kann der Zählerstand den vorgesehenen Speicherplatz überschreiten und ist nicht mehr nutzbar. Ich vermute, es sind nur 16 Bit als „Speicherplatz“ für den Zähler vorgesehen. Dies sollte natürlich nur bei absoluten „Power-Usern“ geschehen. Wer die Umsätze seiner Konten im Minutentakt abruft bzw. z.B. von einem Automaten abrufen lässt, schafft das aber spielend. Hier empfehle ich dringend, auf PIN&TAN zurückzugreifen, bei dem kein Zähler eine Rolle spielt. Das ist auch aus Sicherheitsgründen zu empfehlen, und eine Trennung zwischen TAN-pflichtigen Aufträgen und Umsatzabrufen wird möglich. Das Sicherheitsdatei-Verfahren wird wahrscheinlich abgeschaltet werden..

mein alter Infostand: Um mit der Signatur oder Chipkarte weiter arbeiten zu können, hilft dann nur eine frische Benutzerkennung oder neue Karte von der Bank und eine neue Initialisierung.

Das obige scheint nur für Chipkarten gelten, bei Hibiscus hat es geholfen, die Bankparameter zu löschen. Wie Sie dies bei anderen Programmen tun können, finden Sie dort im Handbuch.

Piraten-FlaggeSo macht man Druck auf die Opfer. Jede Stunde länger warten und eine Datei wird vernichtet. Je länger man wartet, desto mehr Dateien müssen immer schneller dran glauben. Perfide, dass bei einem Neuboot gleich 1.000 Stück weg sein sollen. Immerhin fällt der Preis, verglichen mit dem „Ransomsoftware-Wettbewerb“ auf 0,4 BTC, das sind aktuell um die 150,00 Euro, andere sind da teurer.

Glücklicherweise gibt es anscheinend schon ein Dechiffrier-Tool, das die Dateien wieder herstellen kann. Man sollte also nicht bezahlen.

Ich bin nicht sicher, was wirklich passiert – hat man aber den Rechner heruntergefahren, sollte man keinesfalls den Computer einfach über das normale System neu starten. Entweder baut man die betroffenen Datenträger oder es empfiehlt sich der Neuboot mit einem Live-Linux-System, z.B. Knoppix, um Backups zu erstellen. Dabei wird die Schadsoftware nicht aktiviert und man

Quelle und weitere Links: Golem

Sehen Sie diesen Fehler, z.B. in Profi cash, dann fehlt vermutlich das aktuelle Verschlüsselungszertifikat.

Ergänzung 26.02.2018: Wenn Sie bei der Datenübertragung zu einer Sparkasse den Fehler haben, lesen Sie bitte hier weiter.

Wahrscheinlich ist Ihre Software nicht auf dem aktuellen Stand:

Status der HBCI-Übertragung: Fehler
(Dialog) INERR (9999) Die HTTPS-Verbindung konnte nicht hergestellt werden. ()
(Dialog) INERR (9999) HTTPS-Verbindung: Die Überprüfung des SSL-Zertifikats von 'https://hbci-pintan.gad.de/cgi-bin/hbciservlet'
 ... ist fehlgeschlagen. ()
(Nachricht) INERR (9999) Dieser Auftrag wurde aufgrund vorhergehender Fehler nicht gesendet. ()
Job  'Umsatzabfrage' zu Konto 'Kontoname' am 04.04.2016 nicht erfolgreich ausgeführt !!!

 

Lesen Sie dieses hier: Profi cash Datensicherung und Update durchführen.

fingerprintveraltet, bitte wenden Sie sich an Ihre Bank!
Die wichtigsten Details des Verschlüsselungszertifikats der Adresse
HBCI-PINTAN.GAD.DE

Überprüft durch: VR IDENT SSL CA 2016
Läuft ab: 16.04.2019
Organisation: FIDUCIA & GAD IT AG
Zertifikat des Herausgebers
Seriennummer: 00 F2 C0 0D CA 12 5A 3B 8F B6 98 DA
Nicht gültig nach: 2019-04-16
Zertifikat-Fingerabdruck SHA256:
83 78 7C EA CC 0A 5B A9 9A 8C FB F0 E5 04 3C 68
50 82 FE 62 08 9E 57 8E E0 7A 17 13 90 75 36 C3
SHA1-Fingerabdruck des Schlüssels:
E4 F1 07 A9 13 EA 5F B2 99 6A A5 59 0C 1B 5D 58 F3 83 B0 61

fingerprint
Die wichtigsten Details des Zertifikats der Adresse
EBICS.MULTIVIA-SUITE.DE

Überprüft durch: VR IDENT SSL CA 2016
Läuft ab: 14.04.2019
Organisation FIDUCIA & GAD IT AG
Zertifikat-Fingerabdruck SHA1: 
3E 53 CC 01 89 7C 89 65 FC EC BA 0B 04 B1 25 6A 5C 84 8F 84
SHA256:
33 54 99 8C DA 8A A8 EB 98 B6 BC 61 F8 62 39 90
35 1F 4E B2 8D 63 D1 C2 64 A2 51 85 BD 11 7F DF

Die Spirale der veröffentlichten sogenannten „Erpressungs-Trojaner“ dreht sich weiter und augenscheinlich immer schneller:

Malware-Warnsymbol_rot_gluehendDie gerade neu entdeckte Schadsoftware „PowerWare“ vermeidet das Nachladen verdächtiger Dateien komplett. Sie nutzt vollständig die im Windows vorhandenen System-Programme und muss sich dann nur noch mit Verschlüsselungs-Schüsseln online versorgen. Damit vermeidet sie die Entdeckung durch Antiviren-Programme, die sich bisher gut an solchen Nachladeroutinen orientieren konnten. Auch die Verschlüsselung wird komplett Windowsroutinen überlassen, die Prozesse finden quasi im „erlaubten Bereich“ statt.

Quelle:
http://www.heise.de/newsticker/meldung/Neue-Infektions-Masche-Erpressungs-Trojaner-missbraucht-Windows-PowerShell-3151892.html

Offensichtlich geht es in die nächste Eskalationsrunde: Bisher verschlüsselten die Ransomwaretrojaner nur einzelne Dateien, jetzt schließen Sie die gesamte Festplatte weg, so dass der Computer nicht mehr nutzbar ist.

Malware-Warnsymbol_rot_gluehendMir ist bisher nicht klar, ob dies sogar fremde Partitionen einschließt, so dass eine parallele Nutzung von z.B. Windows mit Linux oder auch Mac mit Parallels/Windows eine Gefahr für das gesamte System darstellt.

Backups werden also noch wichtiger, wenn man auf ein funktionsfähiges Computersystem angewiesen ist. Es kann sich lohnen, einen Zweitrechner in Petto zu haben. Ich denke da  z.B. an Leasingrückläufer, die zwar ein paar Jahre auf dem Buckel haben, aber als Bürorechner mit aktuellem Windows-System sehr gute Dienste leisten können.

Quelle:
http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Petya-riegelt-den-gesamten-Rechner-ab-3150917.html


Ergänzung:

Zitat: UEFI-Systeme lassen sich retten

Die Sicherheitsforscher bestätigen die Erkenntnisse von heise Security, dass nur Systeme mit MBR verschlüsselt werden.

http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Petya-Neue-Infektionswelle-rollt-an-Verschluesselung-bisher-nicht-knackbar-3160177.html

Update 2: Daten wiederherstellen, Entschlüsselung möglich:

http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Petya-geknackt-Passwort-Generator-veroeffentlicht-3167064.html

zuletzt geändert: 07.04.2016

Schloss_kaputtVeralteter Inhalt. Die gad.de Adressen gelten nicht mehr für FinTS, nur noch Adressen mit atruvia sind nutzbar seit 03.2024

Am Montag, 04.04.2016 wurden gegen 13.00 Uhr Verschlüsselungs-Zertifikate am FinTS/HBCI- PIN/TAN und EBICS-Server unter gad.de getauscht. Die Zertifikate für das Onlinebanking per Browser wurden bereits eine Woche vorher gewechselt. Der technische Hintergrund ist ein Wechsel der Root-Zertifikatsstruktur.

Leider wurden die betroffenen Banken erst sehr spät informiert.

Die Listen und Informationen werde ich aktualisieren, sobald mir weitere Details bekannt werden.

Nicht betroffen sind
User des FinTS/HBCI-Verfahrens mit Signaturdatei („HBCI-Classic“) und/oder Chipkarte (Kartenleser mit USB-Anschluss).

Konnten Sie seit Montag, 04.04.  ab 14.00 Uhr noch erfolgreich Daten übertragen, also beispielsweise Kontoumsätze abholen, dann benötigen Sie kein Update! Sollten Sie trotzdem Fehler erhalten, liegt es an etwas anderem.

Ebenfalls nicht betroffen sind alle ddbac-Programme (GLS eBank/windata, Quicken, Lexware, Wiso etc.) aber auch  Apps wie GLS mBank, Banking4 von subsembly und outbank verlassen sich auf das Betriebssystem und sollten keine Probleme verursachen, sofern dieses aktuell ist (s.u.). Mac, iOs und Linux-Programme arbeiten entsprechend und sollten ebenfalls wenig Probleme verursachen.
Es kann sein, dass Sie nach einer Bestätigung des Fingerprints des Zertifikats gefragt werden.

Programme, die eigene Zertifikatsverwaltungen nutzen, benötigen Programmupdates für das PIN und TAN bzw. EBICS-Verfahren .

Dies sind in erster Linie (klicken Sie ggf. auf den Link):

Bevor Sie Maßnahmen ergreifen und Aktualisierungen durchführen: Erstellen Sie eine frische Datensicherung Ihres Datenbestandes.

erste_Hilfe


SFIRM32
Dazu schreibt der Hersteller:
http://www.sfirm.de/nc/aktuelle-meldungen/aktuelles/article/hinweise-zum-austausch-der-ssl-zertifikate-der-gad.html

Für Version 2.5 gibt es also nur den Wechsel auf die neue Version 3.x. oder der Wechsel der Programm-Plattform auf eine Alternativ-Software.


Rufzeichen_60Für Starmoney 9 und 10 und die aktuelle Version von Starmoney-Business stehen seit dem 23.03. Onlineupdates bereit, die den Lizenzspeicher auf den aktuellen Stand bringen.


alte Betriebssysteme

Bei Windows-XP und alten Serverversionen bin ich mir nicht sicher, ob die Updates oder Datenübertragungen durchgeführt werden können.

Ein Wechsel ist hier allein aus Sicherheitsgründen dringendst angeraten!


Zertifikatsprüfung, Fingerprint:fingerprint

Einige Programme ermöglichen/fragen nach einer manuellen Zertifikatsprüfung und Bestätigung des Hashwertes der öffentlichen Schlüssel. Insbesondere wird dies wahrscheinlich bei einigen Installationen von aqfinance (gnucash) und Hibiscus (jverein/jameica) und ggf. pecunia Banking (mac) nötig sein. Den Fingerabdruck können Sie über den Browser gegenprüfen. Lesen Sie hier mehr.