Aktuelles

Aktuelle Informationen rund um Excubits und IT-Sicherheit.
Abonnieren Sie unseren Newsletter, um auf dem Laufenden zu bleiben.

MemProtect und FIDES verfügbar

2016/11/12 von F. Rienhardt

🎉 Die finalen Versionen von MemProtect und FIDES (aka Pumpernickel) können auf unserer englischsprachigen Webseite bereits als Testversion geladen werden. Bis die deutschsprachigen Beschreibungen verfügbar sind, stehen wir unseren deutschsprachigen Kunden und Interessenten gerne mit Rat und Tat zur Seite.


Neue Version von Türsteher

2016/10/30 von F. Rienhardt

Es ist soweit, nach längerer Überarbeitung präsentieren wir heute die neue Version von Türsteher. Wir konnten den Treiber nochmals optimieren und haben die bereits vor einigen Wochen im Blog angekündigten "leisen Regeln" eingeführt. Mit diesen ist es nun möglich, Alarm-Meldungen für bestimmte Ereignisse stillschweigend zu blockieren. Damit wird es möglich, Programme, Treiber und DLLs zu blockieren, die sich nicht deinstallieren oder stoppen lassen; so beispielsweise Systemdienste und Treiber, die automatisch starten, auch wenn sie nicht benutzt werden sollen. Daneben unterstützt die Tray-Anwendung nun auch wechselnde Konfigurationsdateien. Auf diese Weise können Sie schnell zwischen unterschiedlichen ini-Dateien wechseln. Sie können nun beispielsweise eine Konfiguration für besonders sicheres Web-Surfen anlegen und eine weitere mit sehr "laxen" Regeln für Ihre Computer-Spiele, wo es weniger auf Sicherheit aber auf mehr Leistung ankommt.

Das ist aber noch nicht alles. Wir werden im Laufe der kommenden Wochen alle Produkte aktualisieren, zudem werden MemProtect und Pumpernickel/FIDES nun offiziell als Produkt gelistet. Daneben haben wir den ersten prominenten Hack, der sich mit MemProtect vermeiden lässt: AtomicBombing kann durch MemProtect verhindert werden - mehr dazu folgt in einem separaten Blogeintrag. Es bleibt spannend!

An dieser Stelle noch eine Anmerkung, die wir in den nächsten Wochen im Blog und auch in den FAQs stärker in den Fokus rücken möchten: Wir werden immer wieder gefragt, ob sich unsere Produkte auch mittels Softwareverteilung im Unternehmen ausrollen lassen. Die Antwort lautet ja! Selbstverständlich können unsere Produkte als MSI-Pakete komfortabel und via Softwareverteilung ausgerollt werden, wenn Sie dazu Fragen haben, sprechen Sie uns einfach an, wir helfen gerne.


Excubits bei der 25. Bonner Ideen Börse

2016/08/15 von F. Rienhardt

Flyer für podium49Wir freuen uns schon auf unseren Auftritt bei der 25. Bonner Ideen Börse im podium49.

Am 19. September 2016 können Sie uns und Türsteher live erleben. Zusammen mit anderen Kreativen stellen wir unsere Idee vom sicheren Windows-PC vor, dabei soll der Spaß aber nicht zu kurz kommen. So werden die Ideen in angenehmer Südstadt-Atmosphäre, Fingerfood und Wein vorgestellt. Nebenbei können Sie uns Fragen stellen und alle Vorträge als "Juror" bewerten. Weitere Informationen finden Sie unter www.podium49.de oder in der offiziellen Einladung zur 25. Ideen Börse.


Leise Regeln (Silent Rules)

2016/08/14 von F. Rienhardt

Unsere Treiber unterstützen von nun an sog. leise Regeln (silent rules). Diese leisen Regeln führen dazu, dass Operationen auf Prozessen oder Dateien über die Blacklist blockiert werden können, jedoch kein Eintrag im Log angelegt wird. Dies ist dann sinnvoll, wenn Sie Systemkomponenten des Betriebssystems oder installierter Anwendungen blockieren möchten, dies aber systembedingt nicht entsprechend konfigurieren können, sprich das Betriebssystem oder die Anwendung versuchen die blockierte Anwendung oder Bibliothek zu starten und generieren dadurch unerwünschte Einträge in der Logdatei.

Leise Regeln werden stets durch das Dollarzeichen $ am Anfang der Regelzeile definiert, also beispielsweise

$*notepad.exe
$C:\Users\*.exe>D:\Wichtige Daten\*.doc

Die erste Regel besagt, dass notepad.exe blockiert werden soll und gleichzeitig kein Eintrag in der Logdatei generiert wird, wenn der Fall eintritt, sprich notepad.exe tatsächlich von Türsteher blockiert wurde. Die zweite Regel ist für Pumpernickel und bedeutet, dass EXE-Dateien aus C:\Users\* nicht auf DOC-Dateien aus D:\Wichtige Daten\ zugreifen dürfen.

Leise Regeln können nur in den Blacklist-Bereichen angewendet werden. Wir haben all unsere Treiber entsprechend umgestellt, die ersten Beta-Versionen können im Beta Camp ab heute heruntergeladen und getestet werden. Wir wünschen viel Spaß!


Neue Version von Pumpernickel

2016/07/24 von F. Rienhardt

Eine neue und signierte Version von Pumpernickel ist nun im Beta Camp verfügbar. Wir haben uns für das Beta Camp etwas ganz Besonderes einfallen lassen. Denn wir finden, dass Beta-Versionen auf eine ganz besondere Art und Weise präsentiert werden sollten. Viel Spaß damit.


Unsere Waffe gegen Locky und Co

Völlig neue Herangehensweise zur Schadcodeabwehr

2016/07/17 von F. Rienhardt

Wir haben in den letzten Wochen wieder viel entwickelt und konnten unseren völlig neuen Ansatz zur Schadcodeabwehr - Pumpernickel - nochmals deutlich verbessern. Unser Treiber kann jetzt nicht nur Schreibzugriffe blockieren, sondern auch jeglichen Lesezugriff von denjenigen Anwendungen, die nicht freigegeben wurden. Damit ist es nun beispielsweise möglich, dass Word- und Excel-Dateien nur noch von Microsoft Word und Excel selbst geöffnet werden können. Keine Chance für Schadcode. Cryptolocker oder Trojaner können Ihre Dokumente dann weder lesen noch verändern. Das sind gute Nachrichten, selbst dann, wenn ein Schadcode es ggf. doch auf Ihren Rechner geschafft haben sollte. Die aktuelle Beta-Version können Sie hier laden.

Während andere Hersteller noch immer versuchen, mittels Datenbanken Viren, Trojaner und Cryptolocker anhand Referenzwerten zu erkennen, benötigen unsere Programme keinerlei Updates und schützen selbst vor allerneuesten Schadcodes. Damit schließen wir die Lücke, die Antivirenprogramme architekturbedingt lassen. Aber nicht nur das, unsere Systeme sind hoch performant, benötigen kaum Platz und leben Datenschutz par excellence - Ihre Daten bleiben immer bei Ihnen, das garantieren wir!


Verschlüsselungs-Trojaner

Cyber-Kriminelle verschleiern gefährliche Inhalte immer besser

2016/07/02 von F. Rienhardt

Cyber-Kriminelle verschicken immer besser gestaltete E-Mails mit Schad-Code im Anhang:

Falsche DHL Versandbestätigung

Auch wir haben in den letzten Tagen wieder vermehrt falsche Bewerbungen und Versandbestätigungen per E-Mail erhalten. Die Sprache in den E-Mails ist perfekt und auch der Grund, warum man den Anhang öffnen sollte, ist sehr gut ausgedacht. Statt einem Anhang, gibt es immer öfter zwei. Vielleicht haben viele Computer-Nutzer erkannt, dass Mails mit nur einem Anhang oft suspekt sind.

Einige E-Mails waren als Bewerbung getarnt, andere als Benachrichtigung eines Paketdienstes. Die Anhänge waren jeweils in einer ZIP-Datei verpackt. Als wir die ZIP-Dateien entpackt haben, kamen wie so häufig Java-Script-Dateien zum Vorschein. Sowohl die angeblichen Bewerbungen als auch die Paket-Benachrichtigungen wollten Verschlüsselungs-Trojaner (Cryptolocker) auf unseren Testrechnern installieren.

Den Schad-Code in der angeblichen Paket-Benachrichtigung haben die Cyber-Kriminellen sogar verschlüsselt. So können selbst Experten nicht sofort sagen, ob das ein Schade-Code ist oder nicht. Erst nach einer genauen Analyse haben wir festgestellt, dass die Java-Script-Dateien einen Verschlüsselungs-Trojaner auf unserem Rechner installieren wollten.

Passen Sie also gut auf und prüfen Sie genau, ob Sie eine derartige E-Mail überhaupt erwarten. In unseren Videos finden Sie weitere Tipps, wie Sie Schad-Code erkennen können und sich davor schützen.


Neue Version von Türsteher veröffentlicht

2016/05/24 von F. Rienhardt

Die Beta-Phase ist offiziell beendet, die neue Version von Türsteher ist verfügbar. Neben zahlreichen kleineren Optimierungen unterstützt unser neuer Türsteher nun Prioritätsregeln und beherrscht das mächtige Kommandozeilenscanning. Damit kann Türsteher nun auch Interpreter wie WScript, Java, Python, uvw. absichern und ermöglicht nebenbei auch viele andere Anwendungen gegen gängige Attacken zu härten. So können Sie sich noch besser vor Cryptolockern schützen, egal wie neu eine Angriffswelle auch ist, Türsteher schützt bereits, wo Antivirenprogramme erst noch aktualisiert werden müssen.

Wir werden in die neuen Funktionen in den nächsten Wochen mit YouTube-Tutorials genauer erklären und zusätzlich entsprechende Einträge in unserem Blog bereitstellen.


Glossar aktualisiert und neue Versionen im Beta-Camp

2016/04/23 von F. Rienhardt

Wir haben unser Glossar aktualisiert und neue Versionen unserer Betas im Beta-Camp veröffentlicht. Zudem ist unsere Web-Seite nun komplett responsive und wird daher auch auf Smartphone-Bildschirmen optimal dargestellt.


Schadcode-Analyse

High-Speed Verschlüsselungs-Trojaner im Umlauf

2016/03/28 von F. Rienhardt

locky howto recoverEine neue Art von Verschlüsselungs-Trojaner ist in unserem Postfach gelandet. Dieser high-speed Cryptolocker verschlüsselt nicht die gesamte Datei, sondern nur jeweils die ersten zwei Kilobytes einer vom Cryptolocker befallenen Datei. Dadurch ist er extrem schnell und verschlüsselt einen Großteil der Dateien noch vor dem Herunterfahren des Rechners. In derselben Minute, in der der Verschlüsselungs-Trojaner gestartet wird, beginnt er die Daten auf dem infizierten Rechner zu verschlüsseln.

Der Verschlüsselungs-Trojaner kam wie üblich über eine E-Mail zu uns. In der E-Mail wird uns mitgeteilt, dass ein Paket von einem großen deutschen Paketdienstleister verschickt worden ist und wenn wir den Weg unseres Pakets verfolgen wollen, wir den Anhang öffnen müssen. Der Anhang ist eine komprimierte .zip-Datei, die wir erst entpacken sollen. Entpackt haben wir eine Java-Script-Datei, die sich als Word-Dokument tarnen möchte und .doc.js benannt wurde. Starten wir das angebliche Word-Dokument, werden in sekundenschnelle mehrere exe.-Dateien aus dem Internet in den Ordner der temporären Dateien-Ordner geladen und von dort gestartet. So sorgt der Verschlüsselungs-Trojaner u.a. dafür, dass eine .cmd-Datei zum Ausführen und Laden weiterer Schadsoftware auf den Computer geschrieben wird und wir eine .txt-Datei erhalten, die uns sagt, wie wir wieder an unsere verschlüsselten Daten gelangen.

cryptolocker ransomware lock

Das eigentliche Verschlüsselungsprogramm, die .cmd-Datei, durchläuft nun jede der verfügbaren Festplatten und verschlüsselt nur die ersten zwei Kilobytes von Textdokumenten, Tabellen, Fotos, PDFs, Videos usw. Zwar sind dadurch nicht alle Informationen der verschlüsselten Dateien verloren, doch genug, um sie für den Anwender unbrauchbar zu machen. Durch einen sogenannten Registry Key sorgen die Cyber-Kriminellen dafür, dass der Schadcode auch nach einem Neustart erneut startet und dann wieder verschlüsseln kann.

Eine genaue Analyse des Verschlüsselungs-Trojaner zeigte uns, dass die schädlichen Dateien von einer unauffälligen Webseite geladen werden. Die Cyber-Kriminellen haben dabei fremde Webseiten, die mit Joomla!-CMS arbeiten, gehackt und nutzen sie nun für ihre Zwecke.

Stichwort Joomla!-CMS-Webseiten Joomla!-CMS-Webseiten werden häufig nicht mit den neuesten Updates versorgt und sind so ein leichtes Ziel für Angreifer. Sehr häufig nutzen die Kriminellen die "entführten" Webseiten anschließend als Schadcodeverteiler - ohne das Wissen des Besitzers der Webseite. In Deutschland betreute Webseiten, die zwar ungewollt aber doch fahrlässig Schadcode durch Dritte verteilen, können sich sogar strafbar machen. Unwissenheit schützt hier nicht. Wer seine Webseite nicht pflegt und updatet handelt grob fahrlässig.

Anti-Viren-Programme machtlos

Einen Tag nach unserer "Erstinstallation" des high-speed Verschlüsselungs-Trojaners hatten die Cyber-Kriminellen den Schadcode bereits geändert. Von der "entführten" Joomla!-CMS-Webseite kam eine neue Version des Schadcodes, damit er von den neuesten Anti-Viren-Programmen auf unserem Computer nicht zu finden ist.

Dieser sehr schnell arbeitende Verschlüsselungs-Trojaner zeigt wieder einmal, dass die Cyber-Kriminellen ihren Code ständig weiterentwickeln und verbessern. Da nur die ersten zwei Kilobytes einer Datei verschlüsselt werden, können Anwender nicht mehr reagieren. Bevor sie überhaupt merken, dass sie befallen wurden, sind die Dateien schon verschlüsselt. Eine einfache Kosten-Nutzen-Rechnung zwingt das Opfer dieses Verschlüsselungs-Trojaners nahezu dazu, das Lösegeld zu bezahlen. Denn ein IT-Spezialist bräuchte je nach Datenlage Tage bis Wochen, um aus den halb-verschlüsselten Dateien noch Brauchbares zu extrahieren. 200 Euro Lösegeld zu zahlen scheint wesentlich einfacher zu sein. Doch kann man sich nie sicher sein, nach Zahlung auch tatsächlich an die Daten zu kommen, denn häufig verschwinden die Kriminellen einfach mit dem gezahlten Lösegeld.

Unser Produkt Türsteher ist wesentlich effizienter und schneller als es je ein Anti-Viren-Programm sein kann. Türsteher erkennt sofort, wenn statt einem Text-Dokument ein Schadcode gestartet wird und blockiert dieses augenblicklich. Wo Anti-Viren-Programme versagen oder ein Update ihrer Datenbank benötigen, schützt sie Türsteher direkt und damit auch vor hohem finanziellen Schaden.


« Ältere Einträge