![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Sicherheitsexperten haben die Tage eine neue Schadsoftware (RAA) gefunden, die auf JScript aufsetzt und Dateien auf Windows-Systemen verschl\u00fcsselt, sowie einen Trojaner im Gep\u00e4ck hat. Hier einige erg\u00e4nzende Informationen zum Thema, das von Bleeping Computer dokumentiert wurde.<\/p>\n
<\/p>\n
Die Nutzer bekommen eine E-Mail mit dem Anhang mgJaXnwanxlS_doc_.js<\/em> \u2013 der erst einmal irgendwie \"wie eine DOC-Datei ausschaut\". Vorausetzung: Der Benutzer hat die Dateinamenerweiterungen nicht aktiviert (was in Windows standardm\u00e4\u00dfig ja abgeschaltet ist) und verwechselt den Unterstrich _ mit dem Punkt zur Abtrennung der Dateinamenerweiterung. Doppelklickt der Nutzer auf den Anhang, wird die Schadfunktion im Script aktiv. Hier die ausgef\u00fchrten Aktionen:<\/p>\n Die Datei wird dabei sofort nach dem Doppelklick auf den Mail-Anhang in WordPad ge\u00f6ffnet. Ziel ist es, den Benutzer abzulenken (er soll denken, dass der Anhang kaputt sei), w\u00e4hrend die Verschl\u00fcsselung der Dokumente im Hintergrund anl\u00e4uft. Dabei wird laut Bleeping Computer die Festplatte des Computers nach Dateien durchsucht. Dokumente werden mit der Bibliothek crypto-js<\/a> nach dem Advanced Encryption Standard<\/a> (AES) verschl\u00fcsselt. Die Dateien erhalten die Dateinamenerweiterung .locked<\/em>. Zum Schluss wird noch eine .RTF-Datei auf dem Desktop angelegt, der den Benutzer auf russisch dar\u00fcber informiert, dass die Dokumente verschl\u00fcsselt sind und gegen die Zahlung eines L\u00f6segelds (in Bitcoins) der Entschl\u00fcsselungscode herausger\u00fcckt werde. Der Ansatz kann leicht mit modifizierten Informationsdateien auf englisch, deutsch oder was auch immer wiederholt werden. <\/p>\n Liest sich in den beiden oben verlinkten Quellen recht dramatisch \u2013 und Bleeping Computer ist auch nicht 100 % sauber in den Begrifflichkeiten. Ich wei\u00df, es ist schwierig \u2013 und auch ich arbeite nicht immer sauber mit Begriffen. Aktuell m\u00f6chte ich aber mal aufbereiten, um was es geht. Hier die bad-lights (highlights sind es ja wohl nicht).<\/p>\n Die obigen Angaben sind nicht falsch, wecken aber Assoziationen, die m\u00f6glicherweise in die falsche Richtung gehen. Bei JavaScript impliziere ich beispielsweise, dass da was im Browser abl\u00e4uft \u2013 und etliche Leute werden dann NoScript oder \u00e4hnliches als \"Malware-Sperre\" im Hinterkopf haben. <\/p>\n Es lohnt sich, einen Blick in den Originalartikel bei Bleeping-Computer zu werfen, um das Ganze etwas zu sortieren. Dessen Titel The new RAA Ransomware is created entirely using Javascript<\/em> lockt die Leute bereits auf die falsche F\u00e4hrte. Dabei steht im Text <\/p>\n RAA is distributed via email with an attached Javascript (.JS) file. When a victim double-clicks on this JS file, Windows will execute the default program associated with javascript files. By default, this is the Windows Script Host or wscript.exe.<\/p>\n<\/blockquote>\n Es wird zwar bei der Lekt\u00fcre klar, was die Malware macht \u2013 Bleepingcomputer analysiert es korrekt. Aber die Aussagen sind unsauber. Die angeh\u00e4ngte .JS-Datei ist eben kein JavaScript, um im Browser ausgef\u00fchrt zu werden. Sondern es handelt sich um eine JScript-Datei zur Ausf\u00fchrung im Windows Script Host (WSH). Das ist etwas grunds\u00e4tzlich verschiedenes, als JavaScript, ausgef\u00fchrt im Browser.<\/p>\n Und eine im Kontext eines normalen Benutzers ausgef\u00fchrte JScript-Datei besitzt vom Windows Script Host nicht mehr Benutzerrechte als das Konto hergibt. Die Malware kann also nur auf die Dateien zugreifen, f\u00fcr die das Benutzerkonto auch Zugriffsrechte hat. Wer als Administrator unterwegs ist und sich auf alle Profilordner Zugriff verschafft hat, zieht dann wohl die Arschkarte. Aber auf einem sauber administrierten System ist der Zugriff nur auf eigene Dokumente und gemeinsam genutzte Dateien m\u00f6glich. <\/p>\n Das berichtete L\u00f6schen der Volumenschattenkopien ist auch nur m\u00f6glich, wenn das WSH-Script administrative Berechtigungen erh\u00e4lt. Dazu muss der betreffende Benutzer aber die Benutzerkontensteuerung best\u00e4tigen. <\/p>\n Wer Systeme administriert, kann dieser Art von Bedrohungen einen Riegel vorschieben und die Auswirkungen begrenzen. Einmal gilt es, die Benutzer nur mit Standardkonten arbeiten zu lassen und ein Administratorkonto nur f\u00fcr administrative Aufgaben vorzuhalten. <\/p>\n Also nur zur Best\u00e4tigung administrativer Berechtigungen, die per Benutzerkontensteuerung angefordert werden, vorhalten. Und eine Anmeldung am Administratorkonto erfolgt nur in den F\u00e4llen, wo dies zwingend erforderlich ist (es gibt einige wenige F\u00e4lle, wo die Benutzerkontensteuerung nicht ausreicht, um eine administrative Aufgabe auszuf\u00fchren). Ich handhabe dies auf meinen Systemen seit Windows 7 so. <\/p>\n<\/blockquote>\n Kennen normale Benutzer das Administratorkennwort nicht, kann RAA bereits wenig ausrichten (maximal die lokalen Dokumente verschl\u00fcsseln). <\/p>\n N\u00e4chste Aufgabe w\u00e4re, die Ausf\u00fchrung von WSH-Dateien f\u00fcr die normalen Benutzerkonten zu entziehen. Microsoft hat die betreffenden Registrierungseintr\u00e4ge in diesem Microsoft Artikel<\/a> beschrieben. Im Schl\u00fcssel:<\/p>\n HKEY_CURRENT_USER\\Software\\Microsoft\\Windows Script Host\\Settings\\<\/em><\/p>\n ist der der DWORD-Wert Enabled <\/em>einzutragen und auf 0 zu setzen. Dann kann ein .JS-Mail-Anhang auch nicht mehr unter dem betreffenden Benutzerkonto ausgef\u00fchrt werden. Dies wird sogar im Bleeping Computer\u2013Artikel angegeben. <\/p>\n Probleme gibt es lediglich, wenn in Firmenumgebungen An- und Abmeldescripte f\u00fcr den WSH f\u00fcr Benutzerkonten verwendet werden. Man kann (siehe<\/a>) sogar den WSH f\u00fcr alle Benutzer deaktivieren. Dann werden bestimmte Systemaufgaben, die auf WSH basieren, u.U. nicht mehr laufen. Hier w\u00e4re der in dieser Technet-Seite<\/a> beschriebene Ansatz, nur signierte WSH-Scripte auszuf\u00fchren, ggf. eine m\u00f6gliche L\u00f6sung. <\/p>\n Allerdings gestehe ich, dass dieser Ansatz (habe ich zuletzt irgendwann um das Jahr 2000 im Rahmen eines Windows Script Host-Buchtitels f\u00fcr Microsoft Press beschrieben) recht haarig und in der Praxis nicht immer verwendbar ist. <\/p>\n<\/blockquote>\n Unter dem Strich sollte der Artikel auch nur zeigen, dass man genauer hin schauen sollte, wenn mal wieder \"Malware macht alles kaputt\"-Artikel durch Internetseiten gejagt werden. Und es soll gezeigt werden, wie man als Administrator auf .JS-Anh\u00e4nge reagieren k\u00f6nnte. Ist beispielsweise im nachfolgend verlinkten Blog-Beitrag zu .TRUN ein Thema. Vielleicht gibt es ja von den Administratoren, die hier mitlesen, noch Hinweise, wie das bei den betreuten Systemen gehandhabt wird. <\/p>\n \u00c4hnliche Artikel:<\/strong> Sicherheitsexperten haben die Tage eine neue Schadsoftware (RAA) gefunden, die auf JScript aufsetzt und Dateien auf Windows-Systemen verschl\u00fcsselt, sowie einen Trojaner im Gep\u00e4ck hat. Hier einige erg\u00e4nzende Informationen zum Thema, das von Bleeping Computer dokumentiert wurde.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161,3694],"tags":[1018,5073,1107,4325,5072],"class_list":["post-178532","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","category-windows-10","tag-malware","tag-raa","tag-trojaner","tag-windows","tag-wsh"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/178532","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=178532"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/178532\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=178532"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=178532"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=178532"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Die Meldung zur RAA-Schadsoftware ging vor einigen Tagen durchs Netz (heise.de<\/a>, golem.de<\/a>). Der Original-Artikel findet sich bei Bleeping Computer. Ich habe die Meldung zur Kenntnis genommen und f\u00fcr \"sp\u00e4ter mal ansehen\" aufgehoben. Bin heute mal kurz dazu gekommen, dr\u00fcber zu lesen und habe beschlossen, einen Blog-Beitrag dr\u00fcber zu machen (da in den Headlines der Artikel falsche Assoziationen geweckt werden).<\/p>\n
Was macht die Schadsoftware?<\/h3>\n
\n
![](\"http:\/\/www.bleepstatic.com\/images\/news\/ransomware\/r\/raa\/fake-attachment-displayed.png\")
(Quelle: Bleepingcomputer.com)<\/p>\nProblem: Nicht so ganz korrekte Begrifflichkeiten im Web<\/h3>\n
\n
Der Original-Artikel bei Bleeping-Computer und Korrekturen<\/h3>\n
\n
Als Administrator einen Riegel vorschieben<\/h3>\n
\n
\n
Crypto-Trojaner die Erste: Win.Trojan.Ramnit<\/a>
Crypto-Trojaner die Zweite: .TRUN der (noch) Unbekannte<\/a>
Malwarebytes ver\u00f6ffentlicht Anti-Exploit-L\u00f6sung<\/a>
Was sch\u00fctzt vor Locky und anderer Ransomware?<\/a>
Nice: 'BKA-Warnung' vor Locky mit Virus inside<\/a>
Ausgefeilte Makros verbreiten Dridex-Trojaner<\/a>
Verschl\u00fcsselungstrojaner CryptXXX 2.0 aufgetaucht<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"