L
ldasta
Gast
mhhh... z.b. bei allen PDF Dateien die Endung auf BPF umbennen und dann im windows einstellen das BDF Dateien mit dem PDF Viewer geöffnet werden. Nach BDF sucht locky ja nicht 
SCNR
SCNR
News Krypto-Trojaner: Locky weiterhin auf dem Vormarsch
- Ersteller Daniel
- Erstellt am
- Zur News: Krypto-Trojaner: Locky weiterhin auf dem Vormarsch
C
Creati
Gast
@Mikey158
Also wenn er soviel Schaden bei euch anrichten konnte, müsst ihr dringend euer Dateischerungskonzept/Rechtekonzept überarbeiten. Halbwegs aktuelle Backups müssen halt so ablegegt sein, dass Kryptotrojaner hier keine Möglichkeit haben, diese zu infizieren. Bei 10 Clients hört sich das ja nach einem sehr kleinen Netz an. Sofern die Sicherungen nur auf nem Server liegen, sollte der Server diese noch extra auf ein NAS regelmäßig kopieren, worauf nur der Server als Client Zugriff hat und die normalen PCs halt nicht. Aber es wird in eurer Firma wohl nun klar sein, dass bei den Arbeitnehmern auch mehr Sensibilität herrschen muss.
Also wenn er soviel Schaden bei euch anrichten konnte, müsst ihr dringend euer Dateischerungskonzept/Rechtekonzept überarbeiten. Halbwegs aktuelle Backups müssen halt so ablegegt sein, dass Kryptotrojaner hier keine Möglichkeit haben, diese zu infizieren. Bei 10 Clients hört sich das ja nach einem sehr kleinen Netz an. Sofern die Sicherungen nur auf nem Server liegen, sollte der Server diese noch extra auf ein NAS regelmäßig kopieren, worauf nur der Server als Client Zugriff hat und die normalen PCs halt nicht. Aber es wird in eurer Firma wohl nun klar sein, dass bei den Arbeitnehmern auch mehr Sensibilität herrschen muss.
Mikey158
Commander
- Registriert
- Juli 2010
- Beiträge
- 2.879
Ausgehend davon dass ich nicht weiß von wo er jetzt genau kam, war der Rechner vom Chef mit dem Hintergrund versehen, wie man das ganze entschlüsseln lassen kann. Da die lokalen Daten vom Chef seinem Rechner alle verschlüsselt sind nehme ich mal an dass es von ihm aus ging.
Leider Gottes bringt das aber jetzt alles nichts, denn die Sicherung ist auch befallen. Wie das geht weiß ich noch nicht.
Ich bin in unserem Unternehmen mit 10 PC Arbeitsplätzen und insgesamt 38 Personen nur ein Beobachter und Vor Ort Reparaturdienst da unser Admin nicht so richtig Zeit hat.
@Creati:
Ja wie gesagt sind wir ein nur kleines Unternehmen mit nicht unbedingt extrem erfahrenen Benutzern. Unser Admin hat noch einen zweiten Job, ist aber sehr bemüht.
Wir werden heute Abend mal die Rechner mit einem sauberen Image von Win7 Pro wieder neu aufsetzen dann noch den Server von Grund auf und das letzte Backup was nicht infiziert wurde einspielen. Danach die sauberen Rechner wieder ans Netz schließen.
Es waren nur 5 Rechner infiziert, doch nun ist noch einer hinzugekommen. Der Locky schwirrt irgendwo im Netzwerk rum. Ich möchte die Rechner die wir heute Abend nicht neu aufsetzen können nicht ans Netzwerk anschließen, denn ich weiß ja nicht ob die nicht auch infiziert sind. AVAST, ESET und Randomware von AntiMalwarBytes haben den Locky zwar entfernt, aber bei 2-3 Neustarts kommt er wieder.
Simpson474
Fleet Admiral
- Registriert
- Sep. 2006
- Beiträge
- 12.797
Wenn gar keine Sicherung vorhanden ist, so sollte man sich das mit dem Neuaufsetzen möglicherweise noch einmal überlegen bzw. vorher zumindest Images anfertigen: die günstigste Variante könnte die Zahlung des Lösegeldes sein.
Mikey158
Commander
- Registriert
- Juli 2010
- Beiträge
- 2.879
Naja, wir werden Freitags damit anfangen und Samstag wieder alles einrichten.
Es wird alles platt gemacht und die Sicherung vom 19.02.2016 einespielt. Mittlerweile habe ich alle Sicherungen von verschiedenen Datenbanken gefunden und gesichert. .ebk Dateien sind nicht angegriffen worden drum sind die Bankdaten auch noch verfügbar.
Der Locky richtet schon viel Schaden an, will garnicht wissen was bei anderen Firmen passiert wenn sie sich den einfangen.
@Simpson474:
Denke nicht das man die Daten noch entschlüsselt bekommt, auch nicht wenn man zahlt.
Es wird alles platt gemacht und die Sicherung vom 19.02.2016 einespielt. Mittlerweile habe ich alle Sicherungen von verschiedenen Datenbanken gefunden und gesichert. .ebk Dateien sind nicht angegriffen worden drum sind die Bankdaten auch noch verfügbar.
Der Locky richtet schon viel Schaden an, will garnicht wissen was bei anderen Firmen passiert wenn sie sich den einfangen.
@Simpson474:
Denke nicht das man die Daten noch entschlüsselt bekommt, auch nicht wenn man zahlt.
purzelbär
Admiral
- Registriert
- Feb. 2012
- Beiträge
- 8.736
Da könntest du falsch liegen, ich habe öfters gelsen das bei Locky nach Bezahlen ein Entschlüsselungstool zugeschickt wurde. Aber verlassen kann man sich nicht darauf, ob das auch bei euch der Fall wäre und die Erpresser hinter Locky verlangen ja auch richtig viel Kohle als zum Beispiel die von Teslacrypt. ichtig ist auch das du bzw die verantwortlichen in eurer Firma dafür sorgen das Locky wirklich überall auf den PC's und im Netzwerk gelöscht wurde und ich tendiere dazu, um das zu überprüfen und zu gewährleisten, das ihr einen EDV Dienstleister, also eine Firma von aussen, kommen lassen würdet die das überprüft und bei Bedarf auch durchführt.
Simpson474
Fleet Admiral
- Registriert
- Sep. 2006
- Beiträge
- 12.797
Es gibt durchaus einige Erfolgsmeldungen bezüglich Entschlüsselung nach Bezahlen: wenn jedoch noch ein Backup vom 19. Februar vorhanden ist (klang im vorherigen Post so, als wären alle Sicherungen betroffen), dann würde ich es wohl auch nicht machen. Wäre jedoch gar kein Backup vorhanden, dann sieht die Sache anders aus.
Mikey158
Commander
- Registriert
- Juli 2010
- Beiträge
- 2.879
Ja es wird das komplette Netzwerk neu aufgesetzt. Server und Clients werden natürlich formatiert.
Ich glaub nicht dass zahlen wirklich eine Lösung darstellt. Die Festplatten werden von unsererm IT-Dienstleister aufgehoben falls mal ein Tool kommen sollte das die Verschlüsselung aufheben kann.
Das ist jetzt unser Glück
Ich glaub nicht dass zahlen wirklich eine Lösung darstellt. Die Festplatten werden von unsererm IT-Dienstleister aufgehoben falls mal ein Tool kommen sollte das die Verschlüsselung aufheben kann.
Ja es sind auch mehr oder weniger alle Sicherungen betroffen; Aber da wir Ende Februar mit einer Cloudsoftware rumgetestet haben, sind wir kurzer Hand hergegangen und haben eine extra Sicherung auf ein USB Laufwerk geschoben. Testweise
Das ist jetzt unser Glück
purzelbär
Admiral
- Registriert
- Feb. 2012
- Beiträge
- 8.736
Das solltet ihr öfters tun, idealerweise täglich und die USB Festplatte(n)nur für den Zeitraum anschliessen in dem die Backup Software das Backup macht. Also kurz vorher erst anschliessen, Backup laufen lassen und gleich danach die USB Festplatte wieder wegnehmen so das die nicht im Netzwerk ist denn eines solltest du wissen: Locky und Konsorten verschlüsseln alles was die im Netzwerk erkennen und dazu gehören auch Dateien in Clouds hab ich gelesen. Aber bespreche das alles mit deinem Chef und mit eurem IT-Dienstleister.
Mikey158
Commander
- Registriert
- Juli 2010
- Beiträge
- 2.879
@ purzelbär:
Damit gebe ich dir vollkommen recht. Wir sind momentan gerade dabei eine sichere Lösung zu erarbeiten. Wir werden wohl nicht drum rum kommen zusätzliche Sicherungen auf Externe Platten zu schieben und die dann in einem sicheren Raum aufzubewahren.
Damit gebe ich dir vollkommen recht. Wir sind momentan gerade dabei eine sichere Lösung zu erarbeiten. Wir werden wohl nicht drum rum kommen zusätzliche Sicherungen auf Externe Platten zu schieben und die dann in einem sicheren Raum aufzubewahren.
purzelbär
Admiral
- Registriert
- Feb. 2012
- Beiträge
- 8.736
Ich bin nur ein einfacher User aber Meinung nach ist es wichtig das die Backups auf USB Festplatten bzw die USB Festplatten selbst nur dann genutzt werden sollten wenn man wieder ein Backup machen will oder eines damit einspielen muss. So lange die USB Festplatten nicht angeschlossen sind und somit auch in keinem Netzwerk oder Arbeitsplatz PC erscheinen, sind ja die Backups auf den USB Festplatten sicher vor Locky und Konsorten. Ob man/ihr die USB Festplatten in einen sicheren Raum bringen müsst oder nicht, kann ich nicht einschätzen.
Anderer zusätzlicher Ansatz zum Schutz vor Krytpo Trojanern bzw Ransoms wie es Locky ist: schaut euch mal Emsisoft für Unternehmen an, ist zur Zeit das führende eines der führenden AV(s) das vor Locky und Co. schützt: http://www.emsisoft.de/de/business/
Mikey158
Commander
- Registriert
- Juli 2010
- Beiträge
- 2.879
Ich habe zwar eine IT-Ausbildung in einer 2jährigen Abendschule gemacht, aber im Herzen bin ich immer noch Installateur deshalb bin ich auch noch im Betrieb wo ich gelernt habe. Ich zeichne Pläne für die Installationen und fahre zu den Häuslbauern um sie zu unterstützen.
Nebenbei bin ich halt auch für Kleinigkeiten an der EDV beteiligt. Software installieren, Rechte vergeben, Outlook Exchange und Smartphones einrichten; Laptops der Chefmädels reparieren usw.
Damals (11 Jahre her) habe ich gelernt dass man Backupplatten in einem Einbruchsicheren sowie Brandsicheren Raum unterbringen sollte.
Nebenbei bin ich halt auch für Kleinigkeiten an der EDV beteiligt. Software installieren, Rechte vergeben, Outlook Exchange und Smartphones einrichten; Laptops der Chefmädels reparieren
usw.Damals (11 Jahre her) habe ich gelernt dass man Backupplatten in einem Einbruchsicheren sowie Brandsicheren Raum unterbringen sollte.
Onatik
Lieutenant
- Registriert
- Sep. 2015
- Beiträge
- 617
Ist schon richtig @Mikey158. Da auf den physikalischen Backup-Medien Firmenwissen drauf ist, welches oft noch dem Datenschutz unterstellt ist (alleine schon Kundendaten) und auch die Firma selbst mehr oder weniger von den Daten abhängig ist, sollte natürlich größere Vorsorge vor eventuellen Schäden oder Diebstahl getroffen werden.
C
Creati
Gast
Solange es nur Bilder sind, nistet sich Locky da nicht ein.
Mikey158
Commander
- Registriert
- Juli 2010
- Beiträge
- 2.879
Okay und wie schaut es da bei anderen Daten aus. PDF, XLS, usw.?
Oder besser; Kann man Locky überhaupt kopieren, wenn man ganze Ordner auf die neu aufgesetzten Rechner zurückkopiert?
habe da echt ein bisschen Angst davor dass wir uns dann wieder unser neu aufgesetztes System zerschießen.
Oder besser; Kann man Locky überhaupt kopieren, wenn man ganze Ordner auf die neu aufgesetzten Rechner zurückkopiert?
habe da echt ein bisschen Angst davor dass wir uns dann wieder unser neu aufgesetztes System zerschießen.
Backes
Lt. Junior Grade
- Registriert
- Aug. 2008
- Beiträge
- 329
Ob sich Locky in die Dateien einnistet ist doch nichtmals 100% bekannt. Meines Wissens verschlüsselt er die Dateien doch nur und baut sich ins System Verzeichnis. Ob der Trojaner sich für neue Infektionen in jede Office Datei schreibt um bei der Ausführung wieder loslegen zu können bezweifle ich mal. Sonst belehrt mich gerne eines besseren.
Der eigentliche Trojaner wird doch meist über ne Office Datei (Excel, Word, etc.) und über versteckte Makros darin nachgeladen.
So war es jedenfalls bei einer Firma welche ich betreuen musst (~50 Mitarbeiter). Nach Säuberung im Netzwerk etc. habe ich von Malwarebytes Anti-Ransomware installiert auf allen Rechner. Aber hier läuft auch noch nicht alles rund. Manche Rechner starteten anschließend nicht mehr bzw. Symbole wurden nicht angezeigt.
O-Ton eines Mitarbeiters: "Da kam ne Rechnung. Kannte den Absender zwar nicht, aber Rechnungen soll man ja bezahlen!"
Das mann auch alles öffnen muss was rein kommt...
Nebenbei hier ein Hoch auf die gute alte Bandsicherung.
Der eigentliche Trojaner wird doch meist über ne Office Datei (Excel, Word, etc.) und über versteckte Makros darin nachgeladen.
So war es jedenfalls bei einer Firma welche ich betreuen musst (~50 Mitarbeiter). Nach Säuberung im Netzwerk etc. habe ich von Malwarebytes Anti-Ransomware installiert auf allen Rechner. Aber hier läuft auch noch nicht alles rund. Manche Rechner starteten anschließend nicht mehr bzw. Symbole wurden nicht angezeigt.
O-Ton eines Mitarbeiters: "Da kam ne Rechnung. Kannte den Absender zwar nicht, aber Rechnungen soll man ja bezahlen!"
Das mann auch alles öffnen muss was rein kommt...Nebenbei hier ein Hoch auf die gute alte Bandsicherung.
Zuletzt bearbeitet:
(Rechtschreibung...)
Onatik
Lieutenant
- Registriert
- Sep. 2015
- Beiträge
- 617
Ich möchte echt nicht mit Administratoren tauschen ;-)
Die menschliche Dummheit ist scheinbar wirklich unendlich... (frei nach Einstein).
Wenn ihr nicht soviel Arbeit mit den "sauren Früchten" dieser Dummheit hättet, müsste man schon mit einem Auge weinen und dem anderen lachen.
Ich merke diese grausame menschliche Eigenschaft sehr oft bei Fortbildungen und Seminaren )-;
Die menschliche Dummheit ist scheinbar wirklich unendlich... (frei nach Einstein).
Wenn ihr nicht soviel Arbeit mit den "sauren Früchten" dieser Dummheit hättet, müsste man schon mit einem Auge weinen und dem anderen lachen.
Ich merke diese grausame menschliche Eigenschaft sehr oft bei Fortbildungen und Seminaren )-;
Mikey158
Commander
- Registriert
- Juli 2010
- Beiträge
- 2.879
Ja so ähnlich ist es bei uns gewesen.
Dachte eventuell dass schon jemand damit Erfahrung gemacht hat und eventuell berichten könnte.
Wir werden es einfach mal versuchen.
Es ist ja momentan so dass AVAST Endpoint Protection den Locky findet
Backes
Lt. Junior Grade
- Registriert
- Aug. 2008
- Beiträge
- 329
Mikey158 schrieb:Es ist ja momentan so dass AVAST Endpoint Protection den Locky findet
Ja gut, immerhin einer. Aber ich werde kein komplettes Netzwerk nur wegen einem verschissenem Trojaner komplett umstellen. Zum einen sehe ich nicht ein dafür Geld auszugeben bzw. der Kunde wo andere Hersteller es eigentlich auch können müssten (Norton, TrendMicro, etc.) und zum anderen ist es mir der Aufwand nicht wert. Da bin ich fast immernoch schneller den Rechner vom Netzwerk zu nehmen, Backup vom Band zurückspielen und ne anständige "Sensibilisierungsmail" an alle Mitarbeiter schicken.