Noch zwei kurze Informationen zu Ransomware-Fällen der letzten Tage in Deutschland. Das Klinikum Fürth kommt langsam in den Normalbetrieb zurück. Und an der Uni Gießen wird Desinfec't auf USB-Stick zur Prüfung von Rechnern eingesetzt.
Anzeige
Klinikum Fürth im Betrieb zurück
Das Klinikum Fürth war ja seit letzter Woche durch einen Trojaner-Befall IT-mäßig offline. Ich hatte im Beitrag Klinikum Fürth wegen Trojaner offline berichtet. So langsam scheint die IT das Problem nach einer Woche in den Griff zu bekommen. Wie heise hier berichtet, kann die Klinik wenigsten wieder Notfälle aufnehmen. Auch würden in der Klinik wieder Termine für planbare Operationen vergeben.
Einschränkungen gibt es laut Klinik noch beim internen E-Mail-Austausch zwischen den Abteilungen. Ein Kliniksprecher sagte "Wir vermuten kriminelle Energie hinter dem Virenangriff", was immer das heißt – denn steckt nicht hinter jedem solchen Angriff kriminelle Energie? Um welche Schadsoftware es sich genau gehandelt hat, ist immer noch unbekannt.
(Quelle: Pexels Markus Spiske CC0 Lizenz)
Trojaner-Befall an Uni Gießen – heise hilft
Und dann gibt es ja noch den 'Sicherheitsvorfall' an der Justus Liebig Universität (JLU) in Gießen, über den ich erstmals am 9. Dezember 2019 im Beitrag Uni Gießen: Sicherheitsvorfall legt IT-Systeme lahm berichtete. Die Tage hatte ich im Beitrag Neues zum Virenbefall der Uni Gießen beschrieben, dass 38.000 E-Mail-Nutzer ein neues Passwort bekommen und zig Computer per USB-Stick auf Viren gescannt werden. Die IT der Uni schreibt, dass man nun einen 'angepassten Virenscanner' für diesen Zweck einsetze. Zitat:
Dieser Scan samt Überprüfung der Rechner kann in einem einzigen Schritt durchgeführt werden. Ende vergangener Woche mussten die Fachleute noch davon ausgehen, dass der eigens für die neue Schadsoftware-Variante entwickelte Virenscanner nicht in den ersten Stick integriert werden kann und dass deshalb zwingend in zwei Schritten vorgegangen werden muss: Erst der Scan mit aktueller Anti-Viren-Software, dann der spezialisierte Scan für den neuen Virentyp.
Nun lese ich bei heise in diesem Artikel, dass die IT der Uni von einem Experten in einem Notfalleinsatz speziell auf ihre Bedürfnisse angepassten Desinfec't-Virenscanner zum Scannen der PCs nach Infektionen einsetzen.
Vermutet wird übrigens ein Befall durch die Emotet-Schadsoftware, die wegen der hohen 'Mutationsrate' von den dort vorher eingesetzten Virenscannern nicht erkannt wurde. Die modifizierte Desinfec't-Variante erkennt den Schädling jetzt und scannt unter Linux mit vier verschiedenen Virenscannern nach der Infektion.
Laut heise erstellte die IT der Uni Gießen aus den bei ersten Analysen vorgefundenen Malware-Samples eigene Signaturen für den Universal-Scanner Yara. Dann und beauftragten den Desinfec't-Experten Mattias Schlenker damit, diese Erkennung in Desinfec't einzubauen. Inzwischen existiert die oben erwähnte, angepasste Version, mit der ein weitgehend automatisierter Virenscan im Offline-Betrieb möglich ist.
Anzeige
2015
'Profitieren' Endanwender auch von der angepassten Desinfec't-Version?
Ich habe es bisher nie verwendet, deshalb die Frage, ob beim Einsatz von Desinfec't diese neue Erkennung automatisch auch zum Einsatz kommt.
Wird sie u.U. online vor einem Scan heruntergeladen, oder muss man Desinfec't evtl. neu Aufsetzen um es zu erhalten)?
Als Käufer von Desinfec't hat man die Möglichkeit eine ISO herunterzuladen. Ich habe die Heftversion mit DVD gekauft, gemäss den Informationen auf Seite 11 kann man per email einen Downloadlink anfordern.
Und diese ISO wird regelmäßig aktualisiert?
Weiss ich nicht, auf Seite 11 steht der MD5-Hashwert der ISO und auch die Dateigrösse in Bytes.
Wenn die ISO angepasst wird würden diese Werte ändern.
Ok, danke, aber demnach beantwortet das ja nicht meine eigentliche Frage…
Desinfec't erscheint einmal im Jahr im Magazin.
Wenn man Desinfec't nutzt werden die Virensignaturen während dem Jahreszeitraum auch aktualisiert.
In der Regel ist die Desinfec't 2019 also nur ein Jahr nutzbar, danach gibt es keine Virensignatur updates für die Version und man muss sich das neue Magazin mit Desinfec't 2020 kaufen damit es wieder aktuelle Virensignaturen mit drauf gibt.
Ich meine mich zu erinnern dass das ein Deal von c't wäre die sie mit den AntiViren Herstellern haben.
Aktuelle Virensignaturen gibt es natürlich nur wenn die Maschine am Netz hängt wenn Desinfec't gestartet wird, , da Desinfec't unter einem Ubuntu System läuft und das infizierte System in dem Moment nicht läuft, sollte das mit "ans Netz hängen" kein Problem sein, es gibt aber auch die Möglichkeit die Signaturen woanders herunterzuladen und dann per USB Stick manuell zu updaten wenn ich mich recht entsinne, bei Avira geht das auf jeden Fall…
Hoffe das beantwortet die Frage.
Danke dir für die Info!
@Peter
Lies mal diesen (sinnvollen) Kommentar zu dem Heise-Artikel.
https://www.heise.de/forum/heise-Security/News-Kommentare/Trojaner-Befall-Uni-Giessen-nutzt-Desinfec-t-fuer-Aufraeumarbeiten/D4P-Ideen-und-Erfahrungen-aus-dem-kommerziellen-Einsatz/posting-35797622/show/
Dort stehen einige nützliche Antworten zu deinen Fragen
Danke dir, aber im verlinkten Kommentar geht es doch nur um den kommerziellen Einsatz und nicht um meine Frage.
Hallo Peter,
"Und diese ISO wird regelmäßig aktualisiert?"
Jein.
Du lädst die ISO herunter oder kaufst das Heft, installierst alles auf einen USB-Stick (wegen der Signaturen), und DER Stick wird dann aktualisiert. Kannst du rechts oben sehen:
Desinfec't 2019 p1
oder
Desinfec't 2019 p2
oder
Desinfec't 2019 p3
etc.
Wenn das nicht geht, kann man es manuell machen wie hier beschrieben.
https://www.heise.de/ct/artikel/Desinfec-t-Antworten-auf-die-haeufigsten-Fragen-4449738.html
Danke dir für die Info!