Ransomware Goldeneye

ransomware1

Wie alle möglichen Nachrichtenportale berichten, ist eine neue wirklich tückische Ransomware unterwegs. Mittlerweile wird der Virus zumindest von AntiVir erkannt und sofort geblockt:

Auf einem Windows Server 2008 R2 (Terminalserver) verschlüsselt der Virus alle möglichen Dateien, auch von verbundenen Netzlaufwerken, auf die der Benutzer, in dessen Kontext die Excel-Datei ausgeführt wurde, Zugriff hat. Dabei verpasst er ihnen die Endung snYvMnrK, welche aber wohl wie Heise berichtet variiert.

In den betroffenen Laufwerken findet man danach noch folgende Textdatei:
ransomware6

ransomware2

Wenn man sich den Virus bzw. die zugrunde liegende Excel-Datei genauer ansehen will, sollte man sich eine virtuelle Maschine als Sandbox aufsetzen:

Der VBA-Code sieht auf den ersten Blick recht kryptisch aus. Im Prinzip besteht der Code aus einem Haufen Funktionen, die viele Strings anlegen und miteinenander verketten:ransomware3

Im Sub, welches beim Öffnen der Excel-Mappe automatisch ausgeführt wird, werden die ganzen Strings aus den Funktionen in einer bestimmten Reihenfolge miteinander verkettet und dann in eine oder mehrere EXE-Dateien geschrieben:

ransomware4

Wenn man den Inhalt der Variable L6 z.B. mit MsgBox ausgibt, erkennt man, dass dort Programmcode zusammengebaut wird (Base64-Codierung):

ransomware5

Wenn man die Char-Angaben ausgeben lässt, die bei CreateObject und der gewählten Sprache verkettet werden, wird daraus MSScriptControl.ScriptControl und JScript. Vermutlich wurde durch dieses ganze Durcheinander an Verkettungen und der anscheinend willkürlichen Reihenfolge der einzelnen Strings der Virenscanner umgangen.

 

Erste Infos die ich zu den gefaketen Bewerbungen fand ich hier:
http://www.onlinewarnungen.de/warnungsticker/viruswarnung-bewerbung-von-rolf-drescher-enthaelt-malware/

Kurz darauf stieß ich auf den Heise-Artikel:
https://www.heise.de/newsticker/meldung/Goldeneye-Ransomware-greift-gezielt-Personalabteilungen-an-3562281.html

Buch-Review: Bill Gates – Der Weg nach vorn

Es ist zwar schon etwas länger her, dass ich „Der Weg nach vorn“ von Bill Gates gelesen habe, aber ich möchte noch kurz ein Review zu diesem Buch abgeben.

Aus heutiger Sicht ist es, meiner Meinung nach, recht interessant wie Bill Gates bereits vor Jahren sein Haus ausgestattet hat und wie er sich die Entwicklung verschiedener Technologien vorgestellt hat. Das Buch hat gute 21 Jahre auf dem Buckel, ist also nicht mehr aktuell 😉

Es gibt eine kurze und informative Einführung in die Anfänge der Computerindustrie mit Basic und dem Altair. Das Buch ist sehr verständlich geschrieben und auch für absolute Computer-Laien gut geeignet.

So enthält das Buch z.B. ein sehr gut veranschaulichtes Beispiel zur Nutzung des binären Zahlensystems:

weg_nach_vorn

Gewollt ist eine 255 Watt Beleuchtung für ein Zimmer, die stufenlos verstellbar ist.

Möglichkeit 1:
Dimmerknopf an eine Glühlampe mit 255 Watt
Nachteil: Zwischenabstufungen schwer bestimmbar, nicht zu merken.
Dies entspricht einer Informationsspeicherung in analoger Form.

Möglichkeit 2: Viele Glübirnen mit Wattstärken von 1, 2, 4, 8, 16, 32, 64, 128. Es lassen sich bis zu 255 Watt alle Wattwerte „regeln“, indem man die verschiedenen Wattstärken miteinander kombiniert einschaltet. Somit lässt sich auch eine bestimmte Einstellung ohne Probleme immer wieder genau einstellen. Dies entspricht einer Informationsspeicherung in digitaler Form.

Solche einfachen Beispiele machen das Buch recht lesenswert. Allerdings merkt man natürlich der ein oder anderen Passage eine leichte Selbstbeweihräucherung des Herrn Gates an…

WSUS Reporting nutzen

Einige Zeit nachdem Aufsetzen eines WSUS-Servers unter Server 2012 wollte ich das Reporting für einzelne Computer nutzen. Aber wer hätte schon gedacht, dass die WSUS-Rollen-Installation wirklich ausreicht, um alle WSUS-Funktionalitäten zu nutzen.

Es kommt bei dem Versuch einen Report zu öffnen leider folgende Fehlermeldung, die einem mitteilt, dass das „Microsoft Report Viewer 2008 SP1 Redistributable“ benötigt wird:

wsus_report_01

Kein Problem. Folgt man einfach dem Link. Leider ist auf der Download-Seite im Internet Explorer kein Download-Button, also lieber einen richtigen Browser verwenden 😀

wsus_report_02

Wenn man das Setup dann heruntergeladen hat, kann man dieses leider noch nicht installieren. Natürlich fehlt wie so oft das alte .Net Framework 2.0:

wsus_report_03

Auch dieses lässt sich leider auch nicht so einfach installieren:

wsus_report_04

Eine Anleitung dafür gibt es bereits hier!

E-Plus- vs. D2-Netz

Aufgrund eines günstigen Handy-Tarifs habe ich von E-Plus (Aldi-Talk) ins D2-Netz (1und1) gewechselt. Folgende Messungen zeigen wie schlecht die mobile Internet-Nutzung bisher gewesen ist:

eplus-02eplus-01

Gerade in ländlicher Gegend kann man das E-Plus-Netz leider total vergessen:

d2-02d2-01

Als Spitzenwert ist im D2-Netz sogar ungefähr die Hälfte unserer DSL-Bandbreite drin:

Kritik an der Rufnummern-Wiederverwertung

Vergangene Woche habe ich, aufgrund eines guten Angebotes, einen neuen Handyvertrag abgeschlossen. Da mir die Rufnummern-Mitnahme die 25€ nicht wert gewesen ist, habe ich mir eine neue Nummer geben lassen. Das war anscheinend nicht die klügste Entscheidung. Entgegen meinem bisherigen Glauben daran, dass eine einmal vergebene Rufnummer nicht neu vergeben wird, wurde ich eines Besseren belehrt.

whatsapp-nummerNach Einrichtung der neuen Sim-Karte befand ich mich bei WhatsApp auch direkt in 2 Gruppen an die ich mich nicht entsinnen konnte, die ich aber angeblich selbst gegründet habe. Plötzlich schrieben mich auch 3 Leute an, die ich nicht kenne. Sogar der Bruder des Rufnummern-Vorbesitzers! Dieser hat anscheinend seinen Account nicht unschädlich gemacht bzw. seine Rufnummer in WhatsApp nicht portiert.

Kurz recherchiert fand ich heraus, dass Rufnummern laut User-Erfahrungsberichten bereits 30 Tage nach einer Kündigung wieder neu vergeben wurden. Was soll denn sowas? Nicht nur, dass man eventuell eine Nummer zugeordnet bekommt die überall im Internet stehen könnte und andauernd von Telefon-Terror-Anrufen heimgesucht wird. Auch für die Strafverfolgung muss dies meiner Meinung nach ein Problem darstellen, wenn Rufnummern desöfteren den Besitzer wechseln.

Grund an der Problematik ist wohl die „Rufnummernknappheit“. Aber hätte man sowas nicht eigentlich verhindern können indem man irgendwann die Reißleine zieht und jeder Person 2 bis 3 Rufnummern fest zuordnet und das Anbieter-unabhängig?

Quellen und Infos:
http://www.billiger-telefonieren.de/mobilfunk/alte-handynummer-neuvergabe_138488.html
https://telekomhilft.telekom.de/t5/Vertrag-Rechnung/Wann-werden-Rufnummern-neu-vergeben-Anrufe-von-fremden-Menschen/td-p/186883

Faxen über einen HP Netzwerkdrucker

Auch wenn das Faxen an sich stark aus der Mode ist, gibt es doch in fast jedem Betrieb noch Leute die auf diese alte Technik setzen. Leider ist für die Verwendung der Fax-Funktion über einen Netzwerkdrucker meistens der komplette Treiber nötig. Diesen muss man dann auch, trotz Terminalserver, lokal auf dem Rechner des Benutzers installieren, damit dieser Zugriff auf die Dialoge hat um die Rufnummer, etc. anzugeben.

Im Fall eines „HP PageWide 377dw MFP“ hat es der Treiber allerdings in sich. Trotz mehrfacher Neuinstallation und Konfiguration funktioniert das Faxen einfach nach ein paar Faxaufträgen nicht mehr. Der Drucker kann angeblich nicht mehr gefunden werden. Es sieht nach irgendeinem Konflikt mit dem virtuellen Fax-Port aus:

hp_fax

Da ich den Druckertreiber aufgegeben habe, habe ich mal etwas näher mit dem Thema beschäftigt und folgenden Treiber gefunden:
HP Universal Fax Driver

Dieser funktioniert bisher ohne Probleme, vermutlich weil kein Schnickschnack enthalten ist wie auch beim „HP Universal Printing Driver“. Zwar habe ich diesen bisher ebenfalls lokal installiert, aber es sollte mit diesem auch möglich sein direkt über den Terminalserver ohne Umweg über den lokalen Arbeitsplatz zu faxen.

Alle Produkte von JetBrains als Student kostenfrei nutzen #2

Vor einem Jahr habe ich einen Post über die kostenfreie Nutzung der JetBrains-Produkte als Student (auch als Fernstudent der FernUni Hagen möglich!) veröffentlicht.
Etwas unklar war allerdings ob die Nutzung nach einem Jahr weiterhin kostenfrei bleibt. Explizit steht dies dort nicht. Aber nach Ablauf der Lizenz ließ sich diese einfach wieder verlängern:

jetbrains_prolong

Danach muss man nur nochmals eine Bestätigungs-Mail über das Uni-Postfach bestätigen um den Studententstatus zu verifizieren.

Wenn der Speicherplatz auf dem Server knapp wird besser mal die CBS-Logs prüfen

Da auf einigen Terminalservern der Speicherplatz immer wieder zur Neige ging half nur eine Analyse mit TreeSizeView oder WinDirStat. Dabei zeigte sich schnell, dass der Temp-Ordner sich massiv aufgebläht hat. Dies lag an merkwürdigen Cab-Dateien. In regelmäßigen Abständen wurde immer wieder eine über 100 MByte große Cab-Datei, gefolgt von einigen mit 0 Byte, dort abgelegt:

cbs_02

Read more

Acronis Backup für VMware – Wer hat an der Uhr gedreht?

Einige Zeit lang hat mich ein Problem bzgl. des Backups virtueller Maschinen von einem VMware ESXi-Host mittels „Acronis Backup“ beschäftigt. In absolut unregelmäßigen Abständen, meistens nach ein paar Tagen ohne Probleme, ist das Backup einer ganzen Gruppe mit folgendem Fehler fehlgeschlagen:

Ausführung des Tasks mit der ID ‚blabla‘ (interne Ausführung) fehlgeschlagen.
Zusätzliche Info:
——————–
Fehlercode: 41
Module: 144
Zeileninfo: 5ee2c4bb8ba04bdd
Felder:
Nachricht: Ausführung des Tasks mit der ID ‚Cblabla‘ (interne Ausführung) fehlgeschlagen.
——————–
Fehlercode: 3
Module: 435
Zeileninfo: 5ee2c4bb8ba0489f
Felder: IsReturnCode : 1
Nachricht: Erstellen eines Backups fehlgeschlagen.
——————–
Fehlercode: 32786
Module: 114
Zeileninfo: 28314c961de7d337
Felder:
Nachricht: Vorbereitung auf das Backup fehlgeschlagen.
——————–
Fehlercode: 353
Module: 149
Zeileninfo: a71592046cb2c5f6
Felder:
Nachricht: Backup der Gruppe fehlgeschlagen.
——————–
Fehlercode: 2
Module: 218
Zeileninfo: 338a407ad20e0987
Felder:
Nachricht: Fehler während Ausführung der Backup- und Recovery-Engine aufgetreten.
——————–
Fehlercode: 1080
Module: 1
Zeileninfo: d1ab7fa1e56ec8bf
Felder:
Nachricht:
——————–
Fehlercode: 13
Module: 149
Zeileninfo: d1ab7fa1e56eca4e
Felder:
Nachricht: Ausführen der angeforderten Aktion fehlgeschlagen.
——————–
Fehlercode: 103
Module: 83
Zeileninfo: a859dd78cc91df40
Felder:
Nachricht: Öffnen der virtuellen Maschine fehlgeschlagen ([DataStore1] bla.vmx).
——————–
Fehlercode: 253
Module: 83
Zeileninfo: c7610e0a857bedf4
Felder:
Nachricht: VMware-Fehler: ‚Remote-Methodenaufruf ist fehlgeschlagen.‘.
——————–
Fehlercode: 32
Module: 0
Zeileninfo: c7610e0a857bedf4
Felder:
Nachricht: Erwarteter Task ‚CreateSnapshot‘ fehlgeschlagen. Ursache: An error occurred while quiescing the virtual machine. See the virtual machine’s event log for details..
——————–

Read more

Raspberry Pi verliert die Netzwerkkonfiguration

Seit ein paar Tagen verliert mein Raspberry Pi entweder nach einigen Stunden oder direkt nach dem Einschalten seine Netzwerkkonfiguration. Da der Raspi headless läuft ist es ziemlich nervig Monitor, etc. anzuklemmen um nach dem Rechten zu schauen.

Das Problem taucht auf seitdem ich die App „Pi Manager“ unter Android nutze um den Raspi vernünftig herunterfahren zu können, da ich keine Lust habe den shutdown-Befehl immer per SSH auf dem Handy einzutippen. Anscheinend liegt das Fehlverhalten an dem verwendeten Parameter beim shutdown-Befehl über die App.

Da der Raspi seine IP vom DHCP der FritzBox bekommen hatte und diese dort fest der Mac-Adresse zugewiesen war, sah ich keine Notwendigkeit die IP im Raspi fest einzustellen. Allerdings scheint die Konfiguration der Netzwerkschnittstellen unter dem von mir verwendeten Betriebssystem „Raspbian“ wohl schlecht gelöst zu sein.

Die einfachste Lösung soll wohl die Änderung der „cmdline.txt“ sein. Diese Datei gibt Raspbian Konfigurationsparameter mit. Dadurch ist es auch möglich den Raspi bei der Erst-Einrichtung ohne Monitor, Maus und Tastatur einzurichten, da er sofort eine vernünftige Netzwerk-Konfiguration hat. Diese Datei befindet sich auf der FAT-Partition der microSD-Karte und sollte somit auch von Windows aus editierbar sein. Blöd nur, wenn man die Installation mit „Noobs“ durchgeführt hat. Noobs macht sich nämlich noch eine eigene Partition und nur diese ist unter Windows-Systemen sichtbar, da Windows bei Speicherkarten nur die erste FAT-Partition anzeigt. Dies lässt sich auch über die Datenträgerverwaltung nicht ändern -.-

Also musste die microSD-Karte per SD-Adapter in ein Notebook mit Ubuntu, welches ich fast nur für RDP auf meinen Rechner benutze. Dort werden alle Partitionen der Karte vernünftig angezeigt.

cmdline-txt

Nachdem ich die einzige Zeile in der cmdline.txt wie folgt angepasst habe, gab es kein Problem mehr:

Weitere Infos:
http://www.forum-raspberrypi.de/Thread-faq-ersteinrichtung-des-raspberry-pi-s-ohne-tastatur-monitor