Cheetah1337 schrieb:
Also das mit den Mails verstehe ich immer noch nicht ... wenn ich etwas nicht bestellt habe oder dergleichen, dann rufe ich bei der entsprechenden Stelle an und erkundige mich und mache nicht irgendwelche Anhänge auf. O.o
Typischer Computerbase Tellerrand. Dem gemeinen Mitarbeiter-DAU ist das vollkommen egal. Hab auch einen mittelständischen Kunden, 50 PC-Arbeitsplätze, VMware Essentials mit drei Hosts Cluster samt FC-SAN und Sophos UTM.
Bereits im Dezember kam eine der täglichen 500+ Spam Emails durch, Worddokument mit Makros im Anhang. Englischer Text, blind geöffnet von der Dame in der Verwaltung. War zum Glück nur ihr Rechner betroffen, dazu hab ich dann eine Rundmail geschrieben, in der ich das Szenario geschildert hab.
Makros müssen leider mit Sicherheitsabfrage erlaubt sein (es werden zwei steinalte Systeme mit Access Frontend genutzt, Access 2003 und 2010, die werden erst im Laufe des Jahres abgeschafft).
Letzte Woche Dienstag kamen ca. 60 Mails mit Locky an die Firma. Eine von einer Firma in Las Vegas. Invoice blabla, keine direkte Anrede, Worddokument. RDNS / Helo Checks ok, noch auf keiner Blacklist. Zwei Scanengines, keine kannte Locky (erst ab ca. 18 Uhr erkannte Sophos den).
Mitarbeiterin öffnet Anhang, leeres Dokument mit Makrowarnung... bestätigt Sie blind. Zack waren zwei Netzwerkshares und ihr Rechner großteils verschlüsselt. Anruf bei mir (die haben keinen festen Admin, mir zahlen die nur einen Tag pro Woche), die MDB-Datei für deren Dispo ist weg.
Denk mir erst nix Böses bis ich auf die Shares kucke. Locky-entsperr .txt überall. Rechtsklick - Besitzer, dann wusste ich auch gleich welche Dame das wieder war (schafft nichtmal ein iOS Update ohne fremde Hilfe).
Naja gut, die haben Backups auf ner per FC angebundenen (an Phys. Medienserver) Tapelibrary mit 10GBe LAN. Da hab ich die Shares stündlich auf Band und hatte auch nach 2h wieder alles am Laufen.
Trotzdem musste ich aufgrund wiederkehrender Blödheit sämtliche Officedokumente an Mails sperren, gebe ich nun 2x täglich per Hand frei. Müssen se halt warten. Außerdem neue Rundmail, dass auch eine Infektion über manipulierte Webseiten möglich ist.
Helfen wirds eh nix.
Freitag kam sogar ne neue Welle, Emails in perfektem Deutsch, inkl. korrekter Anrede. Angeblich engagieren die inzwischen auch Übersetzer.
Maxx2332 schrieb:
Ist locky nicht total langsam? AES wird ja schon durch die Festplatte abgebremst, aber RSA? Wie lange soll ich den Rechner denn bei Volllast laufen lassen damit auch wirklich was weg ist.
Rechner war ein i5 der ersten Generation, aber den Shares liegen 24x 15k SAS Platten über Fibrechannel 16G zugrunde, war ne Sache von ein paar Minuten.
Sturmwind80 schrieb:
Für die IT ist das in Firmen auf jeden Fall ein sehr großes Problem. Gerade in kleinen Firmen haben viele Nutzer Adminrechte und sind dann oft noch unbedacht.
Unerheblich, das Ding läuft auch im Userkontext und verschlüsselt alles lokal und im Netzwerk, wo es Schreibrechte vorfindet. Man muss nur alle Warnungen wegklicken.
