ComputerBase Menü
Aktuelles

News Krypto-Trojaner: Locky weiterhin auf dem Vormarsch

Gutes haben sie zwar nicht ;-). Aber diese Bedrohung ist neu. Bis her war Deepfreeze oder sowas recht sicher, da jeder Trojaner, Keylogger usw. nach dem Neustart sicher weg war. In Konbination mit einem halbwegs aktuellen Backup konnte man die Maschine praktisch nicht umbringen. Das ging nur mit MS Updates.
Die Verschlüsselungstrojaner tun aber fast genau das, was jeder Benutzer auch tut oder tun darf. Da zu differenzieren ist schwierig. Daher denke ich schon, dass Sandboxen mehr und mehr allen von außen kommenden Verkehr abriegeln müssen, also e-Mail, Web und auch die Wechseldatenträger. Nur für DAUs ist das auch nicht so einfach.
Was noch hinzukommt, mir aber zu kompliziert ist, ist Application Whitelisting. Da werden alle Programme erfasst, mit Hash versehen und in einer Datenbank vorgemerkt und nur zertifizierte Programme werden gestartet. Die Win Enterprise haben den Applocker, die Pro oder Home kann man mit Jugendschutz rudimentär sperren. Da kann man die zugelassenen Programme auswählen und wenn man ein anderes startet, dann kann man Papa fragen ;-) Also damit kann man auch einiges machen, aber die Wartung lässt mich zurückschrecken.
Denke, so eine Konzept wie Selinux hätte etwas, ein unabhängiges Sicherheitssystem, das jeder App bestimmte Bereiche zum Schreiben vorgibt. Ohne Selinux Policy geht dort dann praktisch nichts.
 
Jep, Applocker wär echt gut. Da hast du dann 3 Stufen:

1. Per Hash jedes Programm freigeben
2. Per Signatur jeden Hersteller freigeben
3. Speicherorte freigeben (C:\Windows wär wohl toll *gg*).

Leider halt wie üblich nicht in den gängigen Windowsversionen. Das mit dem Jugendschutzfilter hab ich mir auch mal gedacht. Sowas wie SELinux wär halt echt spitze. Da hast du dann wirklich Einfluss auf das Programmverhalten.
 
Also ich hatte in den letzen Tagen einige Locky Varianten bei mir - schätzungsweise recht aktuell, da kaum/gar nicht von der Signatur erkannt worden.
Eine "gscheite" Verhaltenserkennung seitens der Antivirenschmiede ist da Pflicht - Malwarebyte versagt da (siehe auch den aktuelleren heise Text), empfehlen kann man da durchaus die HitmanPro.Alert Lösung.
Oder Emsisoft
 
Auf die Antivirenhersteller kann man sich nicht verlassen, da sie erst die neu auftauchenden Varianten einbauen muss, die Varianten aber sehr schnell geändert werden können. M.E. können solche Bedrohungen mittelfristig nur mit Sandboxing und/Application Whitelisting verhindern kann. Der Weg der nachträglich Erfassung von Signaturen ist eine Sackgasse. Denkbar wäre allenfalls, dass geschriebene Files mit gelesenen verglichen wird und eine Verschlüsselung erkannt wird. Dann machst ein rar mit Passwort und löscht die Originale. Ein völlig normaler Vorgang. Schwierig zu verhindern. Je näher man sich dem Verhalten der Mitarbeiter annähert, desto schwieriger.
 
Was mich noch beschäftigt: Kann man soetwas in einer VM "gefahrlos" öffnen?

Im Prinzip dürfte das doch nur das gast-system angreifen, oder?
(Da ich trotz einiger Versuche noch keine Möglichkeit gefunden habe, von Windows-Host in den Ubuntu-Gast irgendelche Daten zu befördern, kann man davon ausgehen, dass der Zugriff in keine Richtung funktioniert)

Ja, ich habe mir nicht alles durchgelesen. Sorry falls schon beantwiortet wurde
 
Zuletzt bearbeitet:
Kommt halt drauf an, wie du es machst. Wenn du in der VM Netzlaufwerke verbunden hast, ist das schlecht. Wenn du als durchgereichten Ordner einen Ordner mit Daten des Hosts verbunden hast, ebenfalls. Wenn du keine Netzlaufwerke hast (vielleicht sogar eigenes Subnetz bzw. den Netzzugang isolierst) und keine Ordner durchreichst solltest du sicher sein.
 
purzelbär schrieb:
das beste Virenschutz Programm gibt es nicht aber den derzeit wohl besten Schutz vor Locky und co bieten Hitman Pro: http://www.chip.de/downloads/Hitman-Pro_21842475.html
Zum Vergrößern anklicken....

Das ist Quark hoch 3.

Von Chip lade ich nix, - der Installer jubelt einem Adware unter -.

Der HitmanPro.Alert ist wohl gemeint.
-> https://blog.botfrei.de/2013/04/mit-hitmanpro-alert-das-browsen-sicher-machen/

Der Hersteller -> http://www.surfright.nl/en/alert

Ich habe noch keinen Ransom-Mist gesehen, wenn der HitmanPro.Alert lief.

Das ist aber mein persönlicher Eindruck.

Tschau
Ergänzung ()

Mort626 schrieb:
Was mich noch beschäftigt: Kann man soetwas in einer VM "gefahrlos" öffnen?

Im Prinzip dürfte das doch nur das gast-system angreifen, oder?
(Da ich trotz einiger Versuche noch keine Möglichkeit gefunden habe, von Windows-Host in den Ubuntu-Gast irgendelche Daten zu befördern, kann man davon ausgehen, dass der Zugriff in keine Richtung funktioniert)

Ja, ich habe mir nicht alles durchgelesen. Sorry falls schon beantwiortet wurde
Zum Vergrößern anklicken....
Ich würde den Krempel nicht in einer VM öffnen die auf einem produktiv System läuft.

Bei einer speziellen Kiste die als Experimentalsystem ausgelegt ist, da schon.

Tschau
 
Oldi-40 schrieb:
Von Chip lade ich nix, - der Installer jubelt einem Adware unter -.
Zum Vergrößern anklicken....
Dafür gibt es den Link "manuelle Installation". Oder, was bei mir der Fall ist, taucht die Option gernicht erst auf wenn noScript aktiviert ist. Da mus man zwar den download manuell starten, aber bissel komfort kann man für einen sicheren Rechner schon aufgeben.
 
Mort626 schrieb:
Was mich noch beschäftigt: Kann man soetwas in einer VM "gefahrlos" öffnen?

Im Prinzip dürfte das doch nur das gast-system angreifen, oder?
(Da ich trotz einiger Versuche noch keine Möglichkeit gefunden habe, von Windows-Host in den Ubuntu-Gast irgendelche Daten zu befördern, kann man davon ausgehen, dass der Zugriff in keine Richtung funktioniert)
Zum Vergrößern anklicken....

Naja, wenn Du den Gast ins Netzwerk hängst und er Schreibrechte auf evtl. Shares hat, sind die auch aus der VM raus weg. Daher von dieser auf jeden Fall die Netzwerkverbindung trennen oder sicherstellen, dass die VM nicht auf dein normales Netz zugreifen kann. Gilt natürlich auch für Durchgeschleifte USB-Geräte etc.

Über den Hypervisor <-> Gast Dateitransfers direkt gehts wohl nicht, wobei es da theoretisch über Sicherheitslücken genauso möglich sein kann:
http://blogs.gartner.com/neil_macdonald/2011/01/26/yes-hypervisors-are-vulnerable/

Locky aber wiederum wird sowas nicht können.
 
Wenn ich richtig sehe, wird der Trojaner also von anfänglichen versteckten Word-Makros inzwischen über offensichtliche Batch-Dateien verbreitet.
Das erkennen das es ein Virus ist wird immer leichter für den Nutzer und trotzdem wird er gestartet.

Irgendwie sollte man langsam mal dafür sorgen, das gerade in Firmen wo sensible und wichtige Daten liegen die Mitarbeiter richtig geschult werden.

Ich habe schon eine Version als offensichtliche ZIP-Datei mit js-Datei gesehen, wer das öffnet dem ist nun wirklich nicht mehr zu helfen.
 
Sehe ich auch so, ich hatte auf meinen Windows Systemen noch nie eine Infektion mit Malware. Mit der hier hochgelobten Software Brain.exe lässt sich schon viel erreichen aber genau diese stellt wohl das Hauptproblem dar :evillol:

Nichtsdestotrotz habe ich mal ein paar SRP's zur Anwendung gebracht - sicher ist sicher und ausführbare Dateien müssen nicht von überall ausgeführt werden dürfen.
 
Das ist Quark hoch 3.

Von Chip lade ich nix, - der Installer jubelt einem Adware unter -.

Der HitmanPro.Alert ist wohl gemeint.
-> https://blog.botfrei.de/2013/04/mit-...sicher-machen/

Der Hersteller -> http://www.surfright.nl/en/alert

Ich habe noch keinen Ransom-Mist gesehen, wenn der HitmanPro.Alert lief.

Das ist aber mein persönlicher Eindruck.

Tschau
Zum Vergrößern anklicken....
Punkt 1: bei dem Download den ich verlinkt habe, wird die Variante mit sicherem Chip Imnstaller der Adware mitinstallieren will gar nicht angeboten bei mir im Firefox ausserdem kann man dei jedem Chip Download manuerlle installaton wählen und man bekommt den Installer vom Hersteller.
Punkt 2: was Hitman betrifft hast du recht: Hitman pro Alert und nicht Hitman Pro ohne Alert hat die Schutzfunktion die auch vor Infektionen wie Locky schützt, hab das heute in einem anderen Forum erfragt.
 
purzelbär schrieb:
Punkt 1: bei dem Download den ich verlinkt habe, wird die Variante mit sicherem Chip Imnstaller der Adware mitinstallieren will gar nicht angeboten bei mir im Firefox ausserdem kann man dei jedem Chip Download manuerlle installaton wählen und man bekommt den Installer vom Hersteller.
Zum Vergrößern anklicken....
Ja, ist wohl ein Irrsinn, der "Sichere Installer" ist per se verseucht. Der manuelle Download ist sicherer.

purzelbär schrieb:
Punkt 2: was Hitman betrifft hast du recht: Hitman pro Alert und nicht Hitman Pro ohne Alert hat die Schutzfunktion die auch vor Infektionen wie Locky schützt, hab das heute in einem anderen Forum erfragt.
Zum Vergrößern anklicken....
Es gibt ja auch ein Video : -> https://hitmanpro.wordpress.com/

hrafnagaldr schrieb:
... Daher von dieser auf jeden Fall die Netzwerkverbindung trennen oder sicherstellen, dass die VM nicht auf dein normales Netz zugreifen kann. Gilt natürlich auch für Durchgeschleifte USB-Geräte etc. ...
Zum Vergrößern anklicken....
Ich würde würde die VM nur auf einer Experimentier-Kiste testen. Zugang zum "Internetz" braucht man damit die Malware geladen wird. Wenn nur die Testmaschine läuft wird die Gefahr wohl gering sein.

Tschau
 
Zuletzt bearbeitet: (Die Ediht)
Sollte man dieses Hitman.Alert mal installieren? Alles was ich bisher nutze ist
BitDefender und MalewareBytes Anti Maleware. Hoffe auf kurzes Feedback.
Falls ja sollte ich maximalen Schutz in den Einstellungen oder nur gegen Ransomware
auswählen (während der Hitman Installation)?
 
Zuletzt bearbeitet:
CroniC schrieb:
Sollte man dieses Hitman.Alert mal installieren? Alles was ich bisher nutze ist
BitDefender und MalewareBytes Anti Maleware. Hoffe auf kurzes Feedback.
Zum Vergrößern anklicken....
Schau mal hier:
Alert wurde bisher noch nicht von einem Ransom umgegangen. Nachgewiesen wurde vielmehr, das selbst alte Versionen hiervor vor neuen Ransoms und Exploits schützen. Weil es eben an den Mechanismen ansetzt. wink.gif Beim ganzen Malwarebytes Zeug, was der ehemalige Panda Supporter derzeit in Einzeltools verzapft und veröffentlicht ist das Gegenteil der Fall. Zeigt u.a. auch Heise.
Zum Vergrößern anklicken....
Quelle: http://www.rokop-security.de/index.php?s=&showtopic=24464&view=findpost&p=396861 Der User der das geschrieben hat, kennt sich ziemlich gut aus.
Unabhängig davon ob man solche Tools als Schutz vor Locky und Co. nutzt, ist es ratsam das man Systembackups und Sicherungen Eigener wichtiger Dateien wie Fotos, Dokumente, Filme, Musik usw. auf einer zum Beispiel USB Festplatte hat die nur bei Bedarf an den PC angeschlossen wird.
 
Zuletzt bearbeitet:
Danke also werde ich es installieren. Jetzt bleibt nur noch die Frage nach welcher Option:
a. maximaler Schutz (was auch immer das bedeutet) oder
b. nur gegen Ransomware.

PS: Was wäre eine gute Lösung für Backup-Software? Ich habe hier noch eine Lizenz von Arconis
True Image rumliegen (allerdings nur True Image HD). Bringt mir die was? Habe erst kürzlich ein neues System aufgesetzt.
 
Zuletzt bearbeitet:
Mit Acronis kenne ich mich nicht aus, aber man liest manchmal von Bugs mit denen. Ich selbst nutze seit Jahren Paragon, hab mehrere sog. Heft Vollversionen und aktuell benutze ich eine etwas ältere Version von Paragon Backup & Recovery Free 2014: http://www.paragon-software.com/de/home/br-free/download.html Du könntest aber auch alternativ Aomei Backupper Standard: http://www.backup-utility.com/de/free-backup-software.html Macrium Reflect Free: http://www.macrium.com/reflectfree.aspx oder Easeus Todo Backup Free: http://www.todo-backup.com/products/home/free-backup-software.htm benutzen. Zu Hitman Pro Alert kann ich dir keine Tipps geben, verwende weder das Hitman Tool noch die Ransomware Schutz Tools von Malwarebytes oder BitDefender und ich mach mich wegen Locky nicht verrückt. Würde der zuschlagen, hätte ich genug Backups meiner Partitionen von der Festplatte im Computer auf der USB Festplatte da zum einspielen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz