Ransomware - Emotet und Co - Anhänge

  • Kann ich in The Bat Nachrichten in einen Ordner verschieben, innerhalb des jeweiligen E-Mail Kontos, der mit einem Kennwort oder anderweitig vor dem Zugriff geschützt ist?

    Man kann in TB! einzelne Ordner nicht mit einem Passwort versehen, sondern nur gesamte Mailkonten. Ich habe das zwar nicht getestet, aber es würde höchstwahrscheinlich auch nicht klappen, wenn man ein zusätzliches passwortgeschütztes Konto erstellen und bestimmte Nachrichten dorthin per Filter verschieben würde, denn ohne das Passwort würden die Schreibrechte fehlen, so dass der Filtermanager einen solchen Befehl nicht ausführen könnte. Du kannst es aber mal testen.

    Was hindert ansonsten "gedankenlose" Hände, Nachrichten in einem extra Ordner genauso zu öffnen wie in allen anderen Ordnern?

    Wenn der mündliche Hinweis nicht reicht, dann gar nicht. Eventuell kann man auf dem Mailserver filtern und bestimmte Nachrichten schon dort in einen speziellen Ordner verschieben, der nicht mit TB! synchronisiert wird. Es würde aber die gedankenlosen Hände trotzdem nicht davon abhalten, über z.B. Webmail einen solchen Ordner sowie Nachrichten darin samt Anhängen zu öffnen. Und wenn man das Passwort für Webmail geheim hält, könnte man es immer noch aus TB! mit speziellen Programmen oder gar ohne auslesen (s. "Passwort aus TB entnehmen"). Klappen könnte es vielleicht mit Yahoo (oder einem ähnlichen Mailanbieter), da sich dort jetzt die Passwörter für Webmail und MUAs unterscheiden. Aber man wird in TB! über IMAP auch ohne das Webmail-Passwort immer noch Zugang zu allen Ordnern auf dem Server haben bzw. könnte sich ihn über die IMAP-Ordnerverwaltung verschaffen. Es wird also immer ein ABER geben.


    Edit:

    Es fällt mir ein, dass man vielleicht etwas über die "Netzwerk & Administration" machen könnte (zu finden im Menü "Optionen"). Zumindest kann man dort bestimmte Zugriffsrechte beschränken. Mehr dazu findet man in der Online-Hilfe.

    2 Mal editiert, zuletzt von sanyok (10. September 2020 um 03:51) aus folgendem Grund: Vgl. Edit.

  • also z.B.

    Code
    Windows Registry Editor Version 5.00
    
    [HKEY_CURRENT_USER\Software\RIT\The Bat!]
    "ProtectDisableOpen"="*.EXE,*.COM,*.BAT,*.CMD,*.VBS,*.PL,*.BAS,*.JS,*.JAVA,*.REG,*.SHS,*.PIF,*.SCR,*.DLL,*.SSH,*.CHM,*.HLP,*.LNK,*.{*},*.CPL,*.PDF,*.DOC,*.DOCX,*.XLS,*.XLSX"

    Seit MS Office die Dokumente als komprimierte XML-Dateien erstellt, haben die Dateien mit Makros ein "M" als letzten Buchstaben der Dateierweiterung, als DOCM statt DOCX für Text, XLSM statt XLSX für Rechenblatt, usw usf.

    Auf dem Höhepunkt der Ransomwarekrise wurde empfohlen, alle Dateien mit Macros (also DOCM, XLSM etc) zu sperren, ebenfalls DOC, das wären Dateien von älteren MS Office-Versionen, weil bei denen Dateien mit Makros nicht am Namen erkennbar sind. Aber normale DOCX, XLSX etc durchlassen.

    Die Filteraktion sollte sein eine Antwort an den Absender, daß hier keine Dateien angekommen werden, die ggf. Makros enthalten, und die Mail zu löschen.

    Nun weiß ich nicht, ob ein Erpresser die Dateiendung nachträglich ändern könnte, auf die Variante ohne M. Ob dann aber MS Office ein Makro aus einer Datei ausführt, die durch Dateierweiterung als ohne Makro markiert ist, das wäre herauszufinden.