Ransomware Cerber in Bewerbungs-Mail

Achtung bei einer Bewerbung von einer „Yvonne Kaiser“ auf eine angebliche Stellenanzeige im Internet. In der angehängten Zip-Datei sind zwei JavaScript-Dateien als Bewerbungsunterlagen versteckt. Bei deaktivierter Anzeige der kompletten Dateinamen mit den Erweiterungen können diese aufgrund der Endung .pdf.js leicht versehentlich von unachtsamen Mitarbeitern geöffnet werden.

 

 

In beiden Dateien versteckt sich der gleiche Schadcode, der die Ransomware „Cerber“ ausführt und dabei alle Dateien verschlüsselt:
 

Nachdem die Ransomware durchgelaufen ist, ändert sich der Bildschirmhintergrund und die Dateien sind umbenannt und haben eine andere Endung bekommen:
 

Überraschenderweise lässt sich die Sprache der Anweisungen umstellen:
 

Die Anleitung erklärt das übliche Spiel, bei dem man auf eine angegebene Webseite gehen soll, wo man dann vermutlich gegen Zahlung angeblich ein Entschlüsselungsprogramm bekommt:
 

Da ich zu dieser Ransomware bereits Einträge aus dem vergangenen Jahr gefunden habe, gehe ich nicht davon aus, dass sich diese nun stark verbreitet. Aber ich denke es könnte sich um eine bereits modifizierte Version handeln.

Bei Heise will man eine Meldung rausgeben, sobald sich mehr Betroffene bzw. Empfänger dieser Mail melden. Dies scheint zumindest bisher nicht der Fall zu sein.

Eine Analyse aus letztem Jahr gibt es hier bei Malwarebytes.

WSUS: Content-Ordner verschieben

Mit der Zeit wird der WSUS zu einem richtigen Plattenfresser. Mehrere Hundert GByte für ein paar ausgewählte Produkte können sich da schon anhäufen. Wenn man bei der Einrichtung eine blöde Laufwerkswahl für den Content-Ordner getroffen hat ist es aber zum Glück kein Problem diese im Nachgang noch einmal zu korrigieren.

Da der teure Festplattenplatz für die Updates zu schade war und für andere Server benötigt wurde, habe ich „billigen“ Speicher von einem NAS als iSCSI-Laufwerk eingebunden. Zwar entsteht hierdurch mehr Netzwerk-Traffic beim Installieren der Updates, in der Praxis ist dies aber bisher nicht negativ aufgefallen.

Auf einem Small Business Server lässt sich das Verschieben wohl per GUI durchführen. Auf einem „normalen“ Server geht dies nur wie folgend beschrieben.

Das Verschieben des Content-Ordners ist sehr einfach. Einfach eine administrative CMD-Line öffnen und in das WSUS-Verzeichnis navigieren:

Über die wsusutil.exe verschiebt man nun ie Update-Dateien:

Beispielsweise:

Aufgrund der Menge der Updates kann das ganze nun etwas dauern. Nach einem Neustart des WSUS wird noch eine Prüfung ausgeführt und der WSUS-Server nimmt seinen Dienst wieder wie gewohnt auf.

Quellen:
http://www.techguy.at/wsus-daten-verschieben/
https://www.hardwareluxx.de/community/f67/wsus-content-ordner-auf-einem-nas-315969.html

SBS 2011: Remote Web Access dauerhaft deaktivieren

Unter dem Windows Small Business Server ist automatisch das sogenannte RWA (Remote Web Access) aktiviert. Dies stellt, insbesondere wenn es nicht genutzt wird, ein massives Sicherheitsrisiko dar. Meiner persönlichen Meinung nach gehört eine solche Freigabe ohne ein VPN sowieso in kein Netzwerk!

Um die Funktion zu deaktivieren navigiert man in der SBS Console unter die „Freigegebenen Ordner und Websites“ und deaktiviert dort über das Kontextmenü die RWA-Webseite:

 

In meinem Fall ließe sich die Webseite nur wieder aktivieren, da sie bereits deaktiviert ist.

 

Das Blöde ist nur, dass bei einem Neustart des SBS die RWA-Seite immer wieder aktiviert wird!

Um das zu unterbinden muss man in den IIS Manager wechseln. Dort navigiert man unter die „Anwendungspools“ und deaktiviert bzw. stoppt dort den „SBS Web Workplace AppPool“:

 

Danach öffnet per Rechtsklick die „Erweiterten Einstellungen“:

 

Dort setzt man noch den Wert von „Automatisch starten“ auf False. Somit startet dieser Anwendungspool nicht mehr bei einem Server-Neustart mit.

 

Quellen:
http://www.leibling.de/2016/10/13/sbs-2011-remote-web-access-rwa-permanent-ausschalten/
https://community.spiceworks.com/topic/509119-permanently-disabling-rww-remote-web-access-sbs2011

Office365 kostenlos als Student nutzen

Im „Virtuellen Studienplatz“ der FernUni Hagen wird einem Office365 für bereits günstige 4,99 € pro Jahr angeboten:

Dies scheint allerdings nicht das einzige Angebot zu sein, denn es gibt das komplette Office-Angebot mittlerweile komplett kostenfrei. Und zwar wenn man sich unter folgendem Link mit seiner Uni-Mail-Adresse registriert

https://www.microsoft.com/de-de/office/meinoffice365/default.aspx

Danach steht einem die gesamte Palette an Office-Produkten zur Verfügung, die sich wohl sogar auf bis zu 5 Computern lokal installieren lässt:

Der Hauptgrund, aus dem ich mir den Account registriert habe, ist aber der Cloud-Speicher den man bei OneDrive geschenkt bekommt. Es handelt sich um ein ganzes Terabyte!

Buch-Rezension: iWoz

Ein weiteres Buch, das ich vor einiger Zeit gelesen habe, ist die Biografie von Steve Wozniak mit dem Titel „iWoz“. Auch wenn ich selber kein einziges Produkt der Firma Apple besitze und dies sich vermutlich auch nicht ändern wird, so ist dieses Buch trotzdem auch für Apple-Boykottierer interessant. Die Geschichte der Firma Apple, bei der Wozniak bis heute noch auf der Gehaltsliste steht, spielt in diesem Buch auch eher eine untergeordnete Rolle.

Bereits seit Kindesalter hat Wozniak viele technische Projekte und Erfindungen auf den Weg gebracht, da er massiv von seinem Vater dabei unterstützt wurde. Ebenso begleitet ihn seine Vorliebe für „Pranks“ durch sein ganzes Leben. Wie im Fall einer versteckten Zeitbomben-Attrappe im Spind eines Mitschülers geht er dabei nicht konsequenzenlos auch einmal zu weit.

Wie bei vielen erfolgreichen Technik-Revolutionären hat auch Wozniak vor seinen großen Erfolgen kein Studium abgeschlossen. Ebenso war sein erster „finanzieller“ Durchbruch eine illegale Erfindung unter dem Namen Blue Box. Ein kleiner Tongenerator, mit dessen Hilfe das damalige Telefonsystem so ausgetrickst werden konnte, dass kostenloses Telefonieren möglich war. Bei der Vermarktung half ihm kein geringerer als Steve Jobs.

Neben anderen technischen Errungenschaften berichtet er von der Organisation eines Woodstock-ähnlichen Musikfestivals. Des Weiteren gibt er einige Tipps für das Arbeitsleben und berichtet davon, dass er es nicht mag in einer Firmenumgebung zu arbeiten. Er ist der Auffassung, dass man am besten losgelöst von „Firmenzwängen“ arbeitet, da es wesentlich kreativeres Arbeiten ermöglicht. Ein Punkt den man durchaus bestätigen kann.

Der Schreibstil des Buches ist ungewöhnlich, da das Buch nicht unbedingt einem roten Faden zu folgen scheint. Wie auch in Linus Torvalds Biografie ist das Buch etwas größenwahnsinnig geschrieben. Dies merkt man z.B. daran, dass Wozniak behauptet besser als jeder andere lebende Mensch in Bezug auf Computerlogik zu sein.

Defekte MicroSD-Karten #2

Gegen Ende Januar haben sich 2 von 3 Samsung MicroSD-Karten „verabschiedet„. Nach etwa 2 Wochen kamen immerhin 2 neue Karten, allerdings genau das gleiche Modell:

Bisher ließen sich Android-Backups problemlos darauf erstellen. Eventuell handelt es sich bei dem Kopierproblem um eine „Altersschwäche“, wie es auch viele der negativen Rezensionen aus Amazon bestätigen. Mal sehen wieviele Monate diese nun durchhalten.

Buch-Rezension: Ich arbeite in einem Irrenhaus

Es ist zwar schon eine Zeit lang her, dass ich „Ich arbeite in einem Irrenhaus“ gelesen habe, aber da ich nun gesehen habe, dass es schon seit 2014 einen Nachfolger gibt möchte ich noch eine Rezension zum Vorgänger schreiben.

Wenn es nicht so traurig und wahr wäre, könnte man dieses Buch eher in der Kategorie „Unterhaltung“ einordnen. Das Buch bietet eine Menge Geschichten die einen schmunzeln lassen und einem zeigen, dass es in den meisten Unternehmen gleich zu geht. So kommt es z.B. vor, dass vergessen wurde, dass man einen neuen Mitarbeiter eingestellt hat. Bei dessen Eintreffen ist nichts vorbereitet. Ein Chef hat den kompletten Firmensitz versetzt, damit er nicht im Stau steht, stattdessen aber alle Angestellten die nun eine lange Strecke zurückzulegen haben. Oder das als Sparmaßnahme weniger Firmenpapier gekauft wurde, sodass Mitarbeiter aus der Not heraus normales DinA4-Papier mit zur Arbeit bringen um Vertragsunterlagen für Kunden drucken zu können um das Unternehmen vor dem Ruin zu retten.

Diese Geschichten könnte ich um genug eigene Erfahrungen erweitern, wie z.B. ein App-Entwicklungsteam, das keine Tablets oder Smartphones zum Testen bekommt. Auszubildende die Programmieren lernen sollen, aber so alte Rechner bekommen, dass sie das Projekt an dem sie mitwirken sollen nicht einmal öffnen können. Von jemandem der seine Ausbildung in einem großen Konzern gemacht hat, hörte ich sogar einmal, dass dort in den Produktionshallen jede zweite Glühbirne herausgedreht wurde um Strom zu sparen, während es auf der anderen Seite die Richtlinie gab bei sämtlichen Einkäufen auf die Nutzung von Skonto zu verzichten, warum auch immer.

Von Märchen wie der kontinuierlichen Fortbildung, die es meistens nicht gibt, über den Unsinn der in großen Konzernen herrscht, wo Mitarbeiter einer bestimmten Abteilung keine neue Glühbirne bekommen weil der Etat dafür aufgebraucht ist, spiegelt das Buch genau das wieder was in den meisten Unternehmen (in Deutschland) Gang und Gebe ist.

Krönender Abschluss ist ein Selbsttest mit Punktezahlen, die einem zeigen sollen ob man den Arbeitgeber verlassen sollte.

Gerade für Leute die den ganzen Tag im Büro verbringen ein sehr unterhaltsames Buch.

Kontakte aus einem Android-Backup wiederherstellen

Wenn man sein Handy platt gemacht hat um eine neue Android-Version einzuspielen denkt man öfters leider nicht an ein Backup der Kontakte. Sofern man noch ein Komplett-Backup des vorherigen Android hat, ist es kein Problem dort die Kontakte zu extrahieren. Am einfachsten geht das ganze auf einem Linux-Rechner. Das Backup der Daten-Partition lag gestückelt als Tar-Archiv vor.

Also erst mal mit cat die einzelnen Dateien zusammenführen:

Danach benötigt man die Datenbankdatei in welcher die Kontakte gespeichert sind. Diese sollte hier liegen:

Um die Kontakte in eine gültige VCF-Datei zu exportieren benötigt man folgendes Skript:
https://github.com/stachre/dump-contacts2db/blob/master/dump-contacts2db.sh

Für die Ausführung des Skripts wird sqlite3 benötigt:

Danach muss das Skript noch ausführbar gemacht werden:

Das Skript auf die extrahierte Datenbankdatei anwenden und eine VCF-Datei für den Export festlegen:

Diese VCF-Datei kann man nun aufs Handy überspielen und dort einfach öffnen und einlesen.

 
Quellen:

http://askubuntu.com/questions/445997/how-to-convert-androids-contacts2-db-to-vcf
http://nerdspiral.com/howto-android-kontakte-retten-auch-aus-backups

Makros signieren

Office bietet eine Extra-Option um ein Zertifikat für die Signierung von Makros bereit zu stellen. Gerade in einer kleineren Umgebung ohne eine Certificate Authority kann man auf diese Option zurückgreifen, ohne sich mit der Zertifikatserstellung auseinander setzen zu müssen.

 

Danach steht das Zertifikat dem Benutzer der es erstellt hat zur Verfügung. Zum Signieren einer Excel-Datei muss man nun im VBA-Editor unter Extras > Digitale Signatur auswählen:

Aktuell ist die Datei nicht signiert. Das „Signiert als“ ist dabei etwas irreführend, da dem VBA-Projekt definitiv noch kein Zertifikat zugewiesen ist. Bei einem Klick auf Wählen wird das eben erstellte Zertifikat vorgeschlagen:

Nachdem man dieses mit OK bestätigt hat, ist es zugewiesen:

Damit die Makros nun bei anderen Benutzern ausgeführt werden können, benötigen diese ebenfalls das Zertifikat. Dazu muss man dieses erst mal über die MMC > Zertifikate > Eigene Zertifikate exportieren:

Dieses Zertifikat lässt sich nur ohne privaten Schlüssel exportieren. Diesen benötigt man auch nur um die Makro-Dateien zu signieren.

Anstatt das Zertifikat auf jedem Computer manuell zu installieren, kann man hierfür stattdessen auch eine Gruppenrichtlinie nutzen, sofern man keine CA hat. Da diese GPO nur für Computer greift, kann man die Benutzerkonfigurationseinstellungen deaktivieren:

Die GPO muss auf die entsprechenden Domänencomputer angewendet werden:

Innerhalb der Gruppenrichtlinie muss nun unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel > Vertrauenswürdige Stammzertifizierungsstellen das Zertifikat durch rechts klicken und dann über „Importieren“ importiert werden:

Nachdem die Gruppenrichtlinie aktiv ist und nach einem Neuanmelden durch die Benutzer aktualisiert wurde, kommt bei diesen folgende Meldung, wenn sie ein mit dem Zertifikat signiertes Makro ausführen wollen:

Da davon auszugehen ist, dass die signierten Makros ungefährlich sind, können die Benutzer Allen Dokumenten von diesem Herausgeber vertrauen auswählen um in Zukunft diese Nachfrage zu vermeiden.

Wiederkehrende E-Mail-Abwesenheitsnotiz mit Powershell

Leider gibt es manchen Sonderfall, für den es keine Konfigurationsmöglichkeiten gibt. So ist es zwar möglich in Outlook einen Zeitraum für die Dauer einer Abwesenheitsnotiz einzustellen, aber eine wöchentlich wiederkehrende Abwesenheitsnotiz für einen Mitarbeiter, der nicht alle Tage in der Woche da ist, kann man leider nicht festlegen.

Ein Glück, gibt es doch kaum etwas, das sich nicht automatisieren lässt. Per Powershell ist das ganze kein Problem. Mit folgendem Skript lässt sich auf dem Exchange-Server die Abwesenheitsnotiz ein- bzw. abschalten. Das ganze in Kombination mit der Aufgabenplanung löst somit das Problem:

 

Zur Bedeutung der einzelnen Zeilen:

Durch den Punkt wird das angegebene Powershell-Skript nicht nur aufgerufen, sondern in das aktuelle Skript eingebunden. Das heißt die Funktionen etc. aus dem Skript stehen wie Module im eigenen Skript zur Verfügung.

Um den Exchange zu kontrollieren braucht man die Exchange-Management-Konsole. In diesem Fall aus dem Ordner „C:\Program Files\Microsoft\Exchange Server\V14\bin\“ für Exchange 2010.

Durch diesen Befehl verbindet man sich an den lokalen Exchange-Server.

Durch den letzten Befehl lässt sich für beliebige Domänenbenutzer die Abwesenheitsnotiz aktivieren oder deaktivieren. Zum Einschalten muss nur disabled in enabled geändert werden.

Noch ein Nachtrag:

Mit folgendem Befehl kann man sich die aktuelle Konfiguration der Abwesenheitsnotiz ansehen:

Dabei habe ich mich von den angegebenen Start- und Endzeiten irritieren lassen, da diese gar nicht gesetzt wurden. Auch in Outlook wurden diese nicht aktiviert, sondern standen dort ausgegraut.

Bei einem Gegentest habe ich dann gesehen, dass diese Zeiten immer angegeben werden. Ob diese wirklich berücksichtigt werden entscheidet sich durch den AUtoReplyState:

… bedeutet, dass die Zeiten berücksichtigt werden.

… bedeutet, dass die Abwesenheitsnotiz dauerhaft aktiv ist.