Ransomware - Emotet und Co - Anhänge

  • Hallo,

    habe ich die Suche falsch bedient oder gibt es wirklich keinen Beitrag zum Thema Anhänge - unter den Stichworten Ransomware - Emotet und Co?

    Wie kann ich in The Bat alle ausführbaren (inkl. Makros) und nicht scanbaren Anhänge automatisch in die Quarantäne schieben, so dass sie nicht einfach per Mausklick in The Bat geöffnet werden können?

    Wie kann ich mit The Bat verhindern, dass jemand in Familie einen e-Mail-Anhang öffnet (ohne das nur immer und immer wieder zu sagen)?

    Wie kann ich verhindern, dass The Bat anklickbare URLs darstellt?

    Jemand, der sich mit dem Thema auskennt, wird wahrscheinlich keine Dateien öffnen, die das System in den Abgrund reißen. Es sitzen auch andere vor dem PC :)

  • habe ich die Suche falsch bedient oder gibt es wirklich keinen Beitrag zum Thema Anhänge

    Normalerweise sucht man zuerst im Programm. TB! ist von Haus aus sicher, was die Anhänge betrifft. In den Benutzereinstellungen findet man den Abschnitt "Anlagensicherheit" mit Standardeinstellungen. Mehr dazu auch in der Online-Hilfe unter https://www.ritlabs.com/de/support/help/52/#6387 Im ersten Feld stehen bereits Erweiterungen von den meisten ausführbaren Dateien, die man bei Bedarf bearbeiten kann. Klickt man auf einen Anhang mit so einer Erweiterung, erscheint in TB folgende Fehlermeldung

    Code
    ---------------------------
    The Bat!
    ---------------------------
    Das Öffnen von Anlagen dieses Dateityps ist unter keinen Umständen gestattet!
    Wenden Sie sich an den Administrator oder Ihren Supportservice, wenn Sie die Datei geöffnet haben wollen.
    ---------------------------
    OK   
    ---------------------------

    und der Anhang wird nicht geöffnet. Den kann man darüber hinaus nicht mal speichern, höchstens über das Kontextmenü.

    Bei Dateien, deren Erweiterungen im zweiten dritten Feld stehen, erscheint folgender Warnhinweis

    und man kann entscheiden, ob man die Datei unmittelbar öffnet oder erst auf die Festplatte speichert.

    In die Quarantäne kann TB! übrigens nichts verschieben, weil es kein AntiVirus-Programm ist. Da muss sich dein AntiVirus-Programm darum kümmern. Das, was TB! insoweit als Schutz anbietet, ist jedoch mehr als ausreichend.

    Einmal editiert, zuletzt von sanyok (28. August 2020 um 16:32) aus folgendem Grund: Ich meinte "im dritten Feld" und nicht "im zweiten".

  • Danke - ein guter Ansatz.

    Wird in der aktuellen The Bat Version auch alles standardmäßig rund um Office und PDF geblockt?

    PS: in meinem Umfeld gibt es einige, die sich so wenig mit der Materie auskennen, dass sie Erweiterungen nicht manuell in die Einstellungen eintragen können oder auf den Gedanken kommen würden.

    Wie sehen Eure Blockierungszeilen inklusive *.docx, *.pdf und Co aus?

    Meine Standardzeilen lauten:

    Diese Datei nicht öffnen:

    *.EXE,*.COM,*.BAT,*.CMD,*.VBS,*.PL,*.BAS,*.JS,*.JAVA,*.REG,*.SHS,*.PIF,*.SCR,*.DLL,*.SSH,*.CHM,*.HLP,*.LNK,*.{*},*.CPL

    •• Hier scheinen Office und PDF nicht geblockt zu werden?

    Die meisten Erweiterungen kenne ich.

    Was bedeutet folgende Schreibweise - wofür stehen die Klammern?

    *.{*}

    Diese Dateien ohne Warnung öffnen:

    *.JPG,*.JPEG,*.PNG,*.GIF,*.BMP,*.ICO,*.WMF,*.EMF,*.VCF,*.EML,*.MSG,*.ARJ,*.ZIP,*.RAR,*.TIF,*.ACE,*.LZH,*.WAV

    Anhänge verschieben

    Anhänge werden hier in extra Verzeichnissen gespeichert.

    Um die automatisch zu verschieben fällt mir nur ein Hintergrundscript ein, was die Verzeichnisse auf Veränderungen überwacht und neue Dateien entsprechend verschiebt.

    Kennt Ihr eine bessere einfachere und automatisierte Lösung?

    Eventuell über einen Add-on in The Bat?

    Beste Grüße
    FlyIng

    Einmal editiert, zuletzt von FlyIng (28. August 2020 um 13:15)

  • *.EXE,*.COM,*.BAT,*.CMD,*.VBS,*.PL,*.BAS,*.JS,*.JAVA,*.REG,*.SHS,*.PIF,*.SCR,*.DLL,*.SSH,*.CHM,*.HLP,*.LNK,*.{*},*.CPL

    Wenn du das Feld nie angepasst hast, dann wird das wohl die Standardeinstellung sein.

    •• Hier scheinen Office und PDF nicht geblockt zu werden?

    Wie gesagt, das Feld ist editierbar. Man kann bei Bedarf Dateierweiterungen eintragen, die fehlen.

    Grundsätzlich geht man davon aus, dass Office- und PDF-Dateien in Ordnung sind. Viele Benutzer sind sogar auf sie angewiesen, vor allem im geschäftlichen Verkehr. Wenn man sie von vornherein ausschließen würde, würde das nur für Verwirrung sorgen. Daher werden sie vom dritten Feld mit Asterisken umfasst. Dann erscheint immer noch der o.g. Warnhinweis.

    Im Übrigen sollte man die automatische Skript- und Makros-Ausfrührung in Office-Programme ausschalten sowie einen sicheren PDF-Viewer verwenden. Und ein AntiVirus-Programm sowieso. Dann sollte beim Öffnen solcher Dateien auch nichts passieren.

    *.{*}

    Es kann sein, dass damit Dateien ganz ohne Erweiterungen gemeint sind.

  • Im Übrigen sollte man die automatische Skript- und Makros-Ausfrührung in Office-Programme ausschalten sowie einen sicheren PDF-Viewer verwenden. Und ein AntiVirus-Programm sowieso. Dann sollte beim Öffnen solcher Dateien auch nichts passieren.

    Vielen Dank. Ich glaube nicht daran, dass das reicht. Wie können sonst Firmen mit Fachwissen wie der Heise Verlag von Emotet lahmgelegt werden? e-Mail-Anhang - Word - und schwups, das wars.

    Wobei ich das im Forum nicht zum Diskussionsthema machen möchte.

    Mir geht es mehr um eine Lösungssuche, wie The Bat hinsichtlich Anhänge für Leute sicherer eingerichtet werden kann, die sich nicht so gut mit Computern auskennen. Und da gibt es in meinem / Eurem Umfeld bestimmt viele.

    Vielleicht hat sich jemand schon mit diesem Thema näher beschäftigen können.

  • Mir geht es mehr um eine Lösungssuche, wie The Bat hinsichtlich Anhänge für Leute sicherer eingerichtet werden kann, die sich nicht so gut mit Computern auskennen.

    Die o.g. Einstellungen werden in der Registry unter HKEY_CURRENT_USER\Software\RIT\The Bat! gespeichert. Mehr dazu auch unter "Wo befinden sich welche Einstellungen/Informationen?". Das Feld mit "verbotenen" Dateierweiterungen wird dabei in der Zeichenfolge "ProtectDisableOpen" gespeichert. Man braucht nur das hier mit weiteren Dateierweiterungen zu ergänzen

    Code
    Windows Registry Editor Version 5.00
    
    [HKEY_CURRENT_USER\Software\RIT\The Bat!]
    "ProtectDisableOpen"="*.EXE,*.COM,*.BAT,*.CMD,*.VBS,*.PL,*.BAS,*.JS,*.JAVA,*.REG,*.SHS,*.PIF,*.SCR,*.DLL,*.SSH,*.CHM,*.HLP,*.LNK,*.{*},*.CPL"

    also z.B.

    Code
    Windows Registry Editor Version 5.00
    
    [HKEY_CURRENT_USER\Software\RIT\The Bat!]
    "ProtectDisableOpen"="*.EXE,*.COM,*.BAT,*.CMD,*.VBS,*.PL,*.BAS,*.JS,*.JAVA,*.REG,*.SHS,*.PIF,*.SCR,*.DLL,*.SSH,*.CHM,*.HLP,*.LNK,*.{*},*.CPL,*.PDF,*.DOC,*.DOCX,*.XLS,*.XLSX"

    danach als REG-Datei zu speichern und dem betreffenden Personenkreis zur Verfügung zu stellen. Sie klicken einfach doppelt darauf und schon haben sie eine veränderte Einstellung, ohne dass sie etwas in den Programmeinstellungen selbst machen müssen.

  • Wie können sonst Firmen mit Fachwissen wie der Heise Verlag von Emotet lahmgelegt werden? e-Mail-Anhang - Word - und schwups, das wars.

    Weil der eine Rechner auf dem das passierte eben nicht sicher konfiguriert war.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Was die Öffnen-Sperre anbelangt, die verhidnert ja nur im Programm was. Dann können die Unvorsichtigen ja immer noch beim Anhang "Speichern unter..." benutzen und da öffnen. Dann rumpelts halt später mit der Malware. Insbesondere, wenn die im Irrglauben leben, dass der Virenscanner oder sonstige Pseudo-Sicherheitsoftware ja Böses immer erkennt.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Man kann auch einen Filter erstellen und alle eingehenden Nachrichten mit bestimmten Dateianlagen sofort löschen lassen.

    Das klingt interessant – wie geht das?

    Ist es auch möglich, nur die Dateianlagen von bestimmten E-Mails automatisch zu löschen?

    Im Filtermanager habe ich nur die Möglichkeit gefunden, Dateianlagen zu speichern – jedoch nicht zu löschen.

  • Im Filtermanager habe ich nur die Möglichkeit gefunden, Dateianlagen zu speichern – jedoch nicht zu löschen.

    Das steht unter Filteraktionen. Dort musst du Nachricht löschen wählen. Aber unter Filterbedingungen musst du zwei Bedingungen Absender + UND Dateianlage einstellen und ergänzen. Weitere Filterbedingungen kann man übrigens über die Schaltfläche "Hinzufügen" hinzufügen, falls unbekannt.

  • Das steht unter Filteraktionen. Dort musst du Nachricht löschen wählen. Aber unter Filterbedingungen musst du zwei Bedingungen Absender + UND Dateianlage einstellen und ergänzen. Weitere Filterbedingungen kann man übrigens über die Schaltfläche "Hinzufügen" hinzufügen, falls unbekannt.

    Habe ich mich richtig ausgedrückt? Ich möchte nur die Dateianlage löschen, nicht die Nachricht selbst.

    Wenn ich „Nachricht löschen“ wähle, wird dann nicht die Nachricht gelöscht?

  • Wozu braucht man aber eine Nachricht, die schädliche Anhänge enthält?

    Es ist das Prinzip der Whitelist für Anhänge. Wenn die E-Mail-Adresse des Absenders im Filter eingetragen ist, dann soll der Dateianhang aufgehoben werden.

    Ist die E-Mail-Adresse des Absenders nicht bekannt, dann werden sicherheitshalber alle Dateianhänge für diesen Absender gelöscht.

    Mir ist klar, dass damit keine 100 %ige Sicherheit garantiert werden kann, weil die E-Mail-Adresse des Absenders bereits in einem negativen Netzwerk sein kann.

    Mich interessiert Die Möglichkeit einer Umsetzung, um nur Dateianhänge zu löschen.

    Ein weiterer Hintergrund – Dateianhänge viele Absender ( zum Beispiel Newsletter ) enthalten nur unwesentliche Informationen wie zum Beispiel Logo, wiederkehrende Standard-PDFs und andere Dinge, die nicht benötigt werden.

    Daher würde ich die gerne automatisiert löschen. Es mag noch viele andere Gründe geben. Vielleicht kann das mit auf die Vorschlagsliste für The Bat. Wenn man über den Filtermanager Dateianlagen bereits speichern kann, dann sollte das Löschen per Filter nur ein kleiner Schritt sein.

  • Mich interessiert Die Möglichkeit einer Umsetzung, um nur Dateianhänge zu löschen.

    Nun, per Filter geht das nicht.

    Vielleicht kann das mit auf die Vorschlagsliste für The Bat.

    Ich bezweifle, dass Ritlabs das verwirklichen wird, selbst wenn's technisch möglich ist. Sie halten sich fast immer an die RFC-Vorgaben. und ein RFC dafür gibt's bestimmt nicht, denn es ist das eine, wenn man aus einer Nachricht Dateianlagen auf die Festplatte speichert, was gängige Praxis ist, und etwas völlig Anderes, wenn man Teile einer Nachricht entfernt, denn dadurch verändert man die Originalnachricht, was auch rechtlich problematisch sein könnte. Das selbe Prinzip hat man z.B. bei der Umleitung. Eine umgeleitete Nachricht kann/darf man im Gegensatz zu einer weitergeleiteten nicht verändern.

    Es steht dir aber natürlich frei, einen entsprechenden Wunsch im BugTracker zu posten. Mehr unter BugTracker-Verwendung

  • Ein Mail aus der Anhänge entfernt werden, verliert die OpenPGP oder S/MIME Signatur und ist damit nicht mehr vertrauenswürdig.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Ein Mail aus der Anhänge entfernt werden, verliert die OpenPGP oder S/MIME Signatur und ist damit nicht mehr vertrauenswürdig.

    Bei unserem Gedankenaustausch wird meiner Meinung nach vergessen, dass es sich um bestimmte E-Mails handelt, bei denen die Anhänge gelöscht werden sollen. Diese E-Mails sind per Definition nicht vertrauenswürdig. Bis sie den Status „vertrauenswürdig“ erhalten und somit im Filter „vertrauenswürdig“ aufgenommen werden, sind sie „vertrauensunwürdig“. Deswegen sollen ja die Anhänge vorsorglich gelöscht werden.

    E-Mails, die vertrauenswürdig sind, werden nicht bearbeitet und damit gibt es keine Probleme hinsichtlich der Signatur.

    Ich verstehe, dass das ein spezieller Wunsch ist und ich suche eine alternative Lösung.

    Ich lege das Thema erst einmal auf Eis, bis der Winter naht und damit Zeit :)

  • Diese E-Mails sind per Definition nicht vertrauenswürdig

    Die o.g. Blockierung reicht in einem solchen Fall vollkommen aus. Darüber hinaus sollten solche Nachrichten per Filter in einen speziellen Ordner verschoben werden, der zuerst von der Person überprüft werden sollte, die entscheidet, ob eine Nachricht vertrauenswürdig oder-unwürdig ist.

  • Darüber hinaus sollten solche Nachrichten per Filter in einen speziellen Ordner verschoben werden, der zuerst von der Person überprüft werden sollte, die entscheidet, ob eine Nachricht vertrauenswürdig oder-unwürdig ist.

    Das ist ein sehr interessanter Gedanke. Kann ich in The Bat Nachrichten in einen Ordner verschieben, innerhalb des jeweiligen E-Mail Kontos, der mit einem Kennwort oder anderweitig vor dem Zugriff geschützt ist?

    Was hindert ansonsten "gedankenlose" Hände, Nachrichten in einem extra Ordner genauso zu öffnen wie in allen anderen Ordnern?