News Locky: Mit Backups vor den Krypto-Trojanern schützen

Andy

Tagträumer
Teammitglied
Registriert
Mai 2003
Beiträge
7.938
In den letzten Wochen kursieren vermehrt Krypto-Trojaner wie Locky und TeslaCrypt. Daher gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun einige Tipps, wie sich Nutzer und Unternehmen vor den Trojanern schützen können. Der zentrale Hinweis: Backups erstellen.

Zur News: Locky: Mit Backups vor den Krypto-Trojanern schützen
 
Interessante Thematik aktuell.

Spam Wellen mit Locky und TeslaCrypt und die Administratoren kommen ins Schwitzen.

Leider rennen die Security Hersteller mehr hinterher als Sie nützen... Schade!
 
Also das mit den Mails verstehe ich immer noch nicht ... wenn ich etwas nicht bestellt habe oder dergleichen, dann rufe ich bei der entsprechenden Stelle an und erkundige mich und mache nicht irgendwelche Anhänge auf. O.o
 
Ich erstelle regelmäßig Backups mit Clonezilla und speichere wichtige Daten (ggf. verschlüsselt) bei Dropbox oder GoogleDrive. Wären also nur ein paar Klicks und ne halbe Stunde warten bis das System wieder läuft, sollte mich das eines Tages betreffen.
 
Irgendwie kann ich nicht verstehen, warum die Leute im Jahr 2016 immernoch auf eMail-Anhänge klicken. Hat sich das Problem mit denen nicht mittlerweile herumgesprochen?

Und dann noch so offensichtlich wie "Rechnung", "Mahnung",....der übliche Virenspam halt.

Scan gmail eigentlich nach Viren? Ich weiß, dass GMX das macht. Fallen die Anhänge da nicht auf? Weiß das jemand?
 
Genscher schrieb:
Irgendwie kann ich nicht verstehen, warum die Leute im Jahr 2016 immernoch auf eMail-Anhänge klicken. Hat sich das Problem mit denen nicht mittlerweile herumgesprochen?

Und dann noch so offensichtlich wie "Rechnung", "Mahnung",....der übliche Virenspam halt.

Scan gmail eigentlich nach Viren? Ich weiß, dass GMX das macht. Fallen die Anhänge da nicht auf? Weiß das jemand?


Die "Betreiber" dieser Krypto Locker verändern permanent die Signaturen und testen mit allen bekannten Virenenginen, ob diese Viren erkannt werden. Erst wenn niemand die neuen Signaturen erkennt, werden die Mails losgeschickt.

Aktuell hilft hier als Mail Provider Checks wie:

SPF
Greylisting (Eingeschränkt)
RDNS

Gegen die Virus Mails ist man nur eingeschränkt geschützt, da die Viren erst beim Ausführen des Macros herunterladen werden. Bedeutet die Macros müssen überprüft werden: Kann nicht jede Engine.
 
manchmal ist es nicht so leicht, wie "mahung" oder "rechnung".

bereits im oktober vergangenen jahres hat unsere IT alle standorte gewarnt, dass getarnte bewerbungen im umlauf sind die systeme verschlüsseln. damals ging es um zip datein. wenn ich jetzt lese, dass die das auch in word dateien packen und ein personalsachbearbeiter kurz vorm ersten kaffe nen anschreiben öffnet....

also, mit sonem mist kann man mehr als nur den dummen michel als privaten anwender ärgern.
 
Offenbar bin ich einfach zu blöde um mir sowas einzufangen. Jedenfalls hab ich mit sowas noch nie Probleme gehabt. Wie machen andere das?
 
Die Systeme von Privatanwendern lassen sich da sehr leicht schützen. Makros komplett deaktivieren (so das auch nicht die Meldung erscheint, Makros seien deaktiviert, die Ausführung von JS-Dateien "verhindern" (Änderung des Standardprorammes zum Öffnen von JS-Dateien) und den Browser härten (Werbeblocker installieren, Javaplugin und Flasgplugin deinstallieren). Das reicht zumindest für Locky.
 
FAT B schrieb:
manchmal ist es nicht so leicht, wie "mahung" oder "rechnung".

bereits im oktober vergangenen jahres hat unsere IT alle standorte gewarnt, dass getarnte bewerbungen im umlauf sind die systeme verschlüsseln. damals ging es um zip datein. wenn ich jetzt lese, dass die das auch in word dateien packen und ein personalsachbearbeiter kurz vorm ersten kaffe nen anschreiben öffnet....

also, mit sonem mist kann man mehr als nur den dummen michel als privaten anwender ärgern.

ja, die eMails sind sehr gut gemacht und personalisiert,
dazu ist neu dass sie in sehr gutem Deutsch geschrieben sind, und PDF ist auch nicht sicher
 
Ich bin schon ganz froh, dass mein Mac mich bereits anblökt wenn ich mal zwei Wochen kein TimeMachine-Backup gemacht habe. Auch wenn ich bisher Virenfrei unterwegs bin.

Auch Wissen über gute Prozesse (Backups, Security...) schützt nicht 100%ig vor solchen Sachen - Fremdgeräte, Kollegen, Unachtsamkeit, neue Verbreitungswege oder einfach eigene Dummheit.
 
Für die IT ist das in Firmen auf jeden Fall ein sehr großes Problem. Gerade in kleinen Firmen haben viele Nutzer Adminrechte und sind dann oft noch unbedacht. Außerdem kommen die Mails oft auch von bekannten Absendern und gerade zwischen Unternehmen werden auch viele Office Dateien verschickt. Ist wirklich gar nicht so einfach dem ganzen entgegenzuwirken.
 
Tyrosh22 schrieb:
Ich erstelle regelmäßig Backups mit Clonezilla und speichere wichtige Daten (ggf. verschlüsselt) bei Dropbox oder GoogleDrive. Wären also nur ein paar Klicks und ne halbe Stunde warten bis das System wieder läuft, sollte mich das eines Tages betreffen.

Es befällt auch deine Dropbox :)
 
Hatte vor paar Tagen auch eine Mail angeblich von Paypal. Täuschend echt, richtige Paypal Mailadresse und voller Name stand drin (und der war nicht Bestandteil der Mailadresse).
Angeblich was gekauft, ne Jacke für 2100 €, und wenn ich stornieren will soll ich einen Button klicken in der Mail. Dennoch sollte man heute so schlau sein und nicht auf sowas reinfallen.
Und wenn man unsicher ist, mit dem Browser über die original Webseite z.B. bei Paypal anmelden und schauen ob da wirklich was ist, bevor man irgendwo in einer Mail was anklickt.
Aber man sollte die Leute nicht nur durch Krypto-Trojaner zu Backups bewegen, denn Backups sind immer sinnvoll. Immerhin ist eine Festplatte, ob HDD oder SSD, auch nie 100% Ausfallsicher. Und wenn so eine hinüber ist, ist alles weg. Und je größer die Platten werden und Daten gespeichert werden, umso größer ist der Verlust.
 
Zuletzt bearbeitet:
@Tralx: Dann würde ich wohl den Laptop ohne Internetverbindung starten und die Daten von dort rauskopieren. :D
 
Zuletzt bearbeitet:
Morrich schrieb:
Wie machen andere das?
Alle Warnungen ignorieren und anklicken / aktivieren, was bei 3 nicht auf dem Baum ist.
 
Ist locky nicht total langsam? AES wird ja schon durch die Festplatte abgebremst, aber RSA? Wie lange soll ich den Rechner denn bei Volllast laufen lassen damit auch wirklich was wichtiges weg ist.
 
Cheetah1337 schrieb:
Also das mit den Mails verstehe ich immer noch nicht ... wenn ich etwas nicht bestellt habe oder dergleichen, dann rufe ich bei der entsprechenden Stelle an und erkundige mich und mache nicht irgendwelche Anhänge auf. O.o

Typischer Computerbase Tellerrand. Dem gemeinen Mitarbeiter-DAU ist das vollkommen egal. Hab auch einen mittelständischen Kunden, 50 PC-Arbeitsplätze, VMware Essentials mit drei Hosts Cluster samt FC-SAN und Sophos UTM.

Bereits im Dezember kam eine der täglichen 500+ Spam Emails durch, Worddokument mit Makros im Anhang. Englischer Text, blind geöffnet von der Dame in der Verwaltung. War zum Glück nur ihr Rechner betroffen, dazu hab ich dann eine Rundmail geschrieben, in der ich das Szenario geschildert hab.
Makros müssen leider mit Sicherheitsabfrage erlaubt sein (es werden zwei steinalte Systeme mit Access Frontend genutzt, Access 2003 und 2010, die werden erst im Laufe des Jahres abgeschafft).

Letzte Woche Dienstag kamen ca. 60 Mails mit Locky an die Firma. Eine von einer Firma in Las Vegas. Invoice blabla, keine direkte Anrede, Worddokument. RDNS / Helo Checks ok, noch auf keiner Blacklist. Zwei Scanengines, keine kannte Locky (erst ab ca. 18 Uhr erkannte Sophos den).

Mitarbeiterin öffnet Anhang, leeres Dokument mit Makrowarnung... bestätigt Sie blind. Zack waren zwei Netzwerkshares und ihr Rechner großteils verschlüsselt. Anruf bei mir (die haben keinen festen Admin, mir zahlen die nur einen Tag pro Woche), die MDB-Datei für deren Dispo ist weg.

Denk mir erst nix Böses bis ich auf die Shares kucke. Locky-entsperr .txt überall. Rechtsklick - Besitzer, dann wusste ich auch gleich welche Dame das wieder war (schafft nichtmal ein iOS Update ohne fremde Hilfe).

Naja gut, die haben Backups auf ner per FC angebundenen (an Phys. Medienserver) Tapelibrary mit 10GBe LAN. Da hab ich die Shares stündlich auf Band und hatte auch nach 2h wieder alles am Laufen.

Trotzdem musste ich aufgrund wiederkehrender Blödheit sämtliche Officedokumente an Mails sperren, gebe ich nun 2x täglich per Hand frei. Müssen se halt warten. Außerdem neue Rundmail, dass auch eine Infektion über manipulierte Webseiten möglich ist.
Helfen wirds eh nix.

Freitag kam sogar ne neue Welle, Emails in perfektem Deutsch, inkl. korrekter Anrede. Angeblich engagieren die inzwischen auch Übersetzer.

Maxx2332 schrieb:
Ist locky nicht total langsam? AES wird ja schon durch die Festplatte abgebremst, aber RSA? Wie lange soll ich den Rechner denn bei Volllast laufen lassen damit auch wirklich was weg ist.

Rechner war ein i5 der ersten Generation, aber den Shares liegen 24x 15k SAS Platten über Fibrechannel 16G zugrunde, war ne Sache von ein paar Minuten.

Sturmwind80 schrieb:
Für die IT ist das in Firmen auf jeden Fall ein sehr großes Problem. Gerade in kleinen Firmen haben viele Nutzer Adminrechte und sind dann oft noch unbedacht.

Unerheblich, das Ding läuft auch im Userkontext und verschlüsselt alles lokal und im Netzwerk, wo es Schreibrechte vorfindet. Man muss nur alle Warnungen wegklicken.
 
Zuletzt bearbeitet:
Wir haben den auf der Arbeit selbst oft erhalten. Ich hab mir dann den VBA-Code bei verschiedenen Versionen in einer Online-Sandbox genauer angesehen und der war, wenn überhaupt, jeweils nur geringfügig verändert.

Absolutes Unverständnis für die Security Fimen, verstehe nicht was so schwer daran sein soll die Heuristik auf das Downloadscript hin anzupassen.

Der Virus selbst scheint übrigens Modular aufgebaut zu sein und je nach OS und Updates werden verschiedene Teile geladen. Das macht die eigentliche Erkennung des Virus natürlich schwer.

Aber wie gesagt, null Verständnis dafür, warum nicht zumindest der VBA-Code heuristisch erkennant wird.
 
Zuletzt bearbeitet:
Klonky schrieb:
Leider rennen die Security Hersteller mehr hinterher als Sie nützen... Schade!

Dies stimmt schon, aber ohne Sicherheitssoftware wäre es noch "viel" schlimmer, die gefühlten ~99,x% die man erkannt und bekämpfen kann müssen dennoch beseitigt werden, sie verschwinden nicht von einem Tag auf den anderen, es sind noch genug Schädlinge im Umlauf die relativ gesehen schon uralt sind und dennoch in freier Wildbahn anzutreffen sind, Airbags schützen einem auch nicht wenn ein betrunkener LKW Fahrer mit seinem zig Tonnen Gefährt frontal in einem hinein fährt, aber dennoch hilft der Airbag gegen viele andere Dinge, mir ist klar dass dies kein adäquater Vergleich war.
 
Zurück
Oben