News Krypto-Trojaner: Locky weiterhin auf dem Vormarsch

[Mikey158]

Aber ich werde kein komplettes Netzwerk nur wegen einem verschissenem Trojaner komplett umstellen.

Bei großen Unternehmen wird das wohl auch nicht der Fall sein, dass man alles umstellen kann. Bei uns mit den 10 Rechnern ist es noch machbar.

Ja leider bleibt das bei uns nicht aus. Es hat auch noch 2 weitere Kunden unseres IT-Dienstleisters erwischt. Heute gerade mit einem Programmierer telefoniert der Heizungssteuerungen regelt, der hat mir gesagt dass auch das Netzwerk von der Firma Wolf angegriffen wurde.

Denke dass das mit Locky noch ein größeres Problem wird als es jetzt schon ist.

Backup vom Band zurückspielen und ne anständige "Sensibilisierungsmail" an alle Mitarbeiter schicken.

Sensibilisierungsmail?

 

[Backes]

Sensibilisierungsmail in dem Sinne, dass nicht alles guten Gewissens geöffnet werden soll und man Vorsicht walten lassen soll. Falls was unklar/unsicher ist, dann sollen sich die Mitarbeiter melden und man prüft ggf ob es sich um was schadhaftes handelt oder nicht.

 

[Mikey158]

Ah okay, dann hab ich auf das richtige getippt

Bei uns brauch ich sowas nicht, denn wir können uns fast alle sehen und sind in max. 8 m Reichweite bis auf den Chef - der auch das Mail geöffnet hat und dann auch noch die Makros eingeschaltet hat

 

[Backes]

Bei uns brauch ich sowas nicht, denn wir können uns fast alle sehen und sind in max. 8 m Reichweite bis auf den Chef - der auch das Mail geöffnet hat und dann auch noch die Makros eingeschaltet hat

Das klingt nach wenig Ruhe im Büro

Warum die Markos standardmäßig aktiviert sind weiß auch nur MS. Anstatt die einfach temporär über nen Update zu deaktivieren mit nem Hinweis bleiben die auch noch an...

 

[Mikey158]

Das klingt nach wenig Ruhe im Büro

kannst du laut sagen. Wenn da 2 Personen telefonieren, dann wird extrem. Da versteht man das eigene Wort nicht mehr

Ausserdem habe ich einen Sitzplatz wo mir ständig einer in Nacken hängt und genau meinen Monitor betrachten kann.

Warum die Markos standardmäßig aktiviert sind weiß auch nur MS. Anstatt die einfach temporär über nen Update zu deaktivieren mit nem Hinweis bleiben die auch noch an...

Meine sind in den Vertrauenseinstellungen auf Deaktiviert. Könnte sein dass ich das mal geändert habe. Sind nach Neuinstallation von Microsoft Produkten die Makros immer Aktiviert??

 

[Backes]

kannst du laut sagen. Wenn da 2 Personen telefonieren, dann wird extrem. Da versteht man das eigene Wort nicht mehr

Ausserdem habe ich einen Sitzplatz wo mir ständig einer in Nacken hängt und genau meinen Monitor betrachten kann.

Ich glaube da würde ich durchdrehen

Meine sind in den Vertrauenseinstellungen auf Deaktiviert. Könnte sein dass ich das mal geändert habe. Sind nach Neuinstallation von Microsoft Produkten die Makros immer Aktiviert??

Meines Wissens nach schon. Bin mir aber auch nicht 100% sicher. Werde ich heut Abend mal in Verbindung bringen bei ner Neuinstallation.

 

[Mikey158]

Ich glaube da würde ich durchdrehen

Irgendwie bin ich nach knapp 3 Jahren eh schon am überlegen ob ich nicht doch wieder auf die Baustelle gehe.

 

[Creati]

Makros sind standardmäßig in MS Office deaktiviert und werden nur auf Nachfrage aktiviert.

 

[mrieglhofer]

Hier ein netter Link, wie man die PCs ein wenig sicherer machen kann. Wenn man dann noch die Makros aus hat (so, dass der MA sie auch nicht aktivieren kann), den Scripting Host abdreht, dann wird es für Locky eher eng.
Ich habe bis nur den SRP aktiviert und die Verzeichnisse für die Portables sowie x86 Progs. dazugegeben.
Bei Virtualisierung muss man aufpassen. cameyo startet die Progs unter %Appdata%\VOS, das man z.B. auch freigeben muss.

http://mechbgon.com/srp/

 

[mrieglhofer]

Makros sind standardmäßig ab 2007 auf aus, können aber aktiviert werden. Da kann man manuell so abstellen, dass der User sie nicht aktivieren kann. Mit dem Ausschalten des Scripting Hosts sind sie aber m.W. nicht mehr ausführbar.

 

[WhyNotZoidberg?]

hatten gestern besuch von locky in der firma. zum glück schnell erkannt, netzlaufwerke getrennt, infizierte pcs gesäubert, backups eingespielt.

 

[Mikey158]

Wie gesäubert? Reicht ein Startup-Scan damit er wirklich weg ist?

Habe es selber bei meinem Rechner versucht. Anfangs gefunden dann gleich startup-Scan und weg war er, doch nach 3x Neustarten war er wieder da. Ohne Netzanbindung. Gefunden wurde er dann irgendwo in einer TimeDestination in einem Verzeichnis.

Also so schnell bekomme ich den nicht weg

 

[mrieglhofer]

Ein kompromittierter PC kann nicht 100% sicher gesäubert werden. Wer sagt, dass nicht außer Locky noch andere Malware nachgeladen wurde? Es bleibt immer ein Restrisiko, das man nicht eingehen sollte. Ein nachweislich sauberes Image raufsspielen und man kann sich sicher sein.
Notfalls kann man auch in einer kleinen Firma mit golden Image und MSI Verteilung die Maschinen von Null an aufsetzen.

Interessant wäre auch ein Info, wie die Infektionswege waren. Ich gehe davon aus, dass wohl mittlerweile jeder Admin das Autom. Ausführen von Makros unterbunden hat.

 

[WhyNotZoidberg?]

Wie gesäubert? Reicht ein Startup-Scan damit er wirklich weg ist?

wir sind auf nummer sicher gegangen und haben die pcs komplett plattgemacht. man weiß ja nie. danach ein sauberes image drauf.

 

[Mikey158]

wir sind auf nummer sicher gegangen und haben die pcs komplett plattgemacht. man weiß ja nie. danach ein sauberes image drauf.

So machen wir es auch. Dachte eventuell hättest du was probiert was auch funktioniert hätte


Na ich bin schon gespannt wie das weitergeht und hoffe dass unser IT-Dienstleister hier eine brauchbare Lösung vorschlägt wie man das in Zukunft unterbinden könnte bzw. besser sichern und auch die Sicherungen sicher bewahren.

 

[WhyNotZoidberg?]

@mikey
kein risiko eingehen, bei uns hängen sehr viele rechner im netzwerk. lieber die betroffenen pcs einkassieren und ersatz-pcs den betroffenen hinstellen, für die dauer des säuberns und neu einspielen eines images.

 

[mrieglhofer]

Wie habt ihr die Rechte vergeben. Bei mir hat niemand außer dem Admin RW Rechte via SMB auf dem Backup Share. Die Backup Software läuft ja auf dem NAS. Ich kann die ext. Disk nicht abhängen, weil ich Sie Remote nicht ab/anstecken kann. Wenn ich softwaremäßig entferne, muss ich hinfahren, um sie wieder zu aktivere. ;-) Gefällt mir nicht 100%, aber mir fällt nichts besseres ein.

 

[Mikey158]

Wie sieht es denn da bei großen Unternehmen mit der Backup Geschichte aus? Wie machen die das?

 

[Creati]

In großen Unternehmen musst Du idealerweise die Clients nicht sichern, weil alle die gleiche Software drauf haben. Nutzerdaten werden dann beispielsweise auf einem Netzlaufwerk abgelegt oder im eigenen Nutzerprofil, welches auf dem servergespeichert ist. Dann müssen nur noch die Server gesichert werden. Für sowas kann man Lösungen wie TSM von IBM dann verwenden. Gibt dann eine komplette eigene Infrastruktur zur Datensicherung. Die Clients (die normalen Server) sichern ihre Daten auf entsprechenden TSM-Servern bzw.die TSM-Server sichern diese auf Tape oder SANs.

 

[mrieglhofer]

Und nachdem man mittlerweile incremental forever fährt, kannst du die Daten jeden Tages wieder herstellen. Und das min. 1 Monat zurück. Früher ist meist monatlich.