News Locky: Mit Backups vor den Krypto-Trojanern schützen

--> schrieb:
Dies stimmt schon, aber ohne Sicherheitssoftware wäre es noch "viel" schlimmer

Exakt. Gegen ganz frische Bedrohungen helfen die auch nur selten, aber die Leute schleppen auch soviel altes Zeug ein, dass ich ohne Antivirensoftware (und Device Control) überhaupt nicht mehr nachkommen würde.
 
Ich mache es kurz: ich mache nicht erst seit Teslacrypt und Locky Backups mit Paragon von meinen Partitionen auf eine USB Festplatte die nur für die Backups und für Kopien mir wichtiger Dateien/Daten da ist. Untergekommen sind mir bis jetzt auch nicht Teslacrypt oder Locky, bekam aber mal Teslacrypt3 und ein paar Tage später Locky jeweils als 7Zips mit Passwortschutz von einem User eines anderen Forums.
 
Maxx2332 schrieb:
Ist locky nicht total langsam? AES wird ja schon durch die Festplatte abgebremst, aber RSA? Wie lange soll ich den Rechner denn bei Volllast laufen lassen damit auch wirklich was wichtiges weg ist.
Zumindest die Vorgänger von Locky waren hier sehr gut gemacht, es werden nämlich nur Teile der Datei verschlüsselt - reicht aus, um die Datei nutzlos zu machen und geht viel schneller als die komplette Verschlüsselung.

--> schrieb:
Dies stimmt schon, aber ohne Sicherheitssoftware wäre es noch "viel" schlimmer
Glaubst du das wirklich - die Hauptaufgabe von Security-Anbietern ist heute neben Lobbyarbeit bei Testmagazinen wie AV-Test und OEM PC-Herstellern unter anderem auch der Verkauf von Daten auf den "geschützten" Systemen für Werbezwecke (einfach mal die Nutzungsbedingungen durchlesen). Fakt ist, jeder Schadcode der durch einen Virenscanner kommen will, kann das auch - wenn auch nur zeitlich begrenzt: die zeitliche Begrenzung ist jedoch das kleinste Übel, durch automatisierte Modifikation des Schadcodes ist in kürzester Zeit die Welt wieder in Ordnung und kein Virenscanner dieser Welt kennt den modifizierten Schadcode.
 
Zuletzt bearbeitet:
Na ja, so einfach wie gedacht ist das leider nicht, heute kam eine solche Mail in der Firma an, in der ich arbeite.
Die Mail hatte den Anhang / Absender unserer Webseite - also sah quasi so aus, als wäre es eine interne Mail.

Ferner war der Anhang als Bericht.doc.doc getarnt - wer da nicht genau aufpasst, öffnet so eine Mail halt!

Glücklicherweise hatte ich die Mail gesehen und kannte den Absender logischerweise nicht und konnte die Mail sofort löschen - war erst am überlegen, ob ich den Anhang mal an eine Antiviren-Firma schicke, aber war mir unter Outlook doch ein bisschen zu unsicher......

Augen auf beim PC nutzen.........

Edit: die Mail hatte einen kleinen Text in gutem und vor allem richtigen deutsch - schon selten das so etwas so professionell rüber kommt!
 
Zuletzt bearbeitet:
Könnte man die Trojaner nicht soweit entwickeln, dass diese erst aktiv werden, wenn ein grösserer externeres Laufwerk angeschlossen wird? Quasi eine Backup Erkennung, die dann die Verschlüsselung aktiviert? Damit wäre ein einfaches Backup auch ausgehebelt. Oder wäre die Zeitspanne zu groß und es würde dagegen Virensignaturen geben? Was meint ihr?
 
Cheetah1337 schrieb:
Also das mit den Mails verstehe ich immer noch nicht ... wenn ich etwas nicht bestellt habe oder dergleichen, dann rufe ich bei der entsprechenden Stelle an und erkundige mich und mache nicht irgendwelche Anhänge auf. O.o

Klar macht man das immer, selbst wenn man auf der Arbeit Stress hat.

Genscher schrieb:
Irgendwie kann ich nicht verstehen, warum die Leute im Jahr 2016 immernoch auf eMail-Anhänge klicken. Hat sich das Problem mit denen nicht mittlerweile herumgesprochen?

Weil E-Mail-Anhänge versendet und oftmals benötigt werden?

Morrich schrieb:
Offenbar bin ich einfach zu blöde um mir sowas einzufangen. Jedenfalls hab ich mit sowas noch nie Probleme gehabt. Wie machen andere das?

Sagt man so lange, bis man selbst betroffen ist.

Ich habe demletzt selbst mal einen Anhang mit Virus geöffnet.

Das hört sich so einfach an, ist es aber nicht.

Die Mail war täuschend echt als Bestellung eines Kunden deklariert. Mit persönlicher Anrede. Man hätte es nur am Absender erkennen können, welcher aber ebenfalls sehr gut mit einem passenden Namen deklariert war.

Und eben daran, dass der Anhang gezippt war. Da ich aber eben gerade gestresst war, habe ich diesen dennoch geöffnet.

Aber zum Glück hat der Virenscanner angeschlagen, von daher war alles gut...
 
Zuletzt bearbeitet:
Letzte Woche wurde dadurch ein komplettes Krankenhaus lahmgelegt:
RP-Online berichtet. Seit über einer Woche nehmen die jetzt deswegen keine neuen Patienten auf.
 
Krass, das Viren in den Firmen so flächendeckend durchschlagen. Vor den ganzen Kryptotrojanern hat man das nicht wirklich mitbekommen. Das letzte mal war vor den Kryptotrojanern ein Virus bei einem großen Konzern , der auf allen XP-Rechnern landete und alles mit dem shutdown Befehl heruntergefahren hat. De hatte ich privat am gleichen Tag auch. Muss so 2003 gewesen sein.
Und nun hat wieder ein Virus solch einen großen Impact.
 
Ich klinke mich hier mal ein. :rolleyes:
Am Sonntag war ich via TeamViewer "zu Besuch" bei einem guten Bekannten. Auf dessen Rechner war genau dieser hier beschriebene Krypto-Trojaner (entweder Teslacrypt oder Locky) in Aktion.

In jedem Ordner auf dem Rechner, in welchem sich Datendateien befanden (*.jpg, *.docx, *.pdf usw.), sind diese nun verschlüsselt und wurden mit der Endung *.micro versehen. Weiterhin befinden sich in jedem Ordner Dateien namens HELP_RECOVER_instruction+cgm im Text-, Bild- und HTML-Format.

" __!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!
NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW! , and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
...."


Die Daten sind erst mal "futsch", das ist klar (Zum Glück waren fast keine wichtigen Dinge gespeichert auf dem PC). Meine Frage aber nun, gibt es einen zuverlässigen Weg diesen Trojaner zu beseitigen ?
Avast als Virenscanner haben wir schon scannen lassen, er findet nichts verdächtiges, sicher weil Virenscanner eher auf Viren und nicht auf Trojaner / Ransomware spezialisiert sind.
Neu aufsetzen würde ich den Rechner für den Bekannten nur, wenn es keine andere sichere Option gibt, den Trojaner wieder los zu werden.
 
Zuletzt bearbeitet:
Wenn es locky wäre, dann hätten die Dateien eine .locky Endung.

Ich war heute auf einer Veranstaltung zu IT Sicherheit bei der unter anderem ein Vortrag von F-Secure kam (zur Abwechslung mal kein Marketing - Verkaufspowerpointbullshitbingo sondern echt ganz gut gemacht). Auf jeden Fall wird immer empfohlen den Rechner neu auf zu setzen - auch wenn du den Virus entfernen konntest. Du kannst nicht wissen was er nicht noch am OS verstellt hat oder welche weiteren Hintertüren nun vorhanden sind.
 
Schiller72 schrieb:
Meine Frage aber nun, gibt es einen zuverlässigen Weg diesen Trojaner zu beseitigen ?

Hallo,

ich würd ihn mit DBAN shreddern und dann Windows neu aufsetzen.

Nach drei mal 0/1 kann kein Trojaner mehr überleben.

Ne Rescue CD/ DVD bringt imho dort nicht viel.

Gruß
Casa
 
Zuletzt bearbeitet:
Okay, danke für die schnellen Antworten. Ich hatte das schon vermutet. Dann muss ich meinen Bekannten wohl zu mir bestellen und den Schleppi "plätten" und ganz neu aufsetzen.

Hier hatte ich gestern noch ein wenig gelesen ....
http://www.bleepingcomputer.com/for...ng-malware-removal-tools-and-requesting-help/

Aber ich denke, auch: a) nehmen "Herumbasteln" und Beseitigungsversuche mit diversen Scannern auch Zeit in Anspruch und b) hätte ich auch kein guten Gefühl, weil man nie weiß, ob - wenn überhaupt ein Tool den Trojaner erkennt und Löschversuche einleitet, alle Teile des Trojaners restlos gelöscht wurden.
 
Zuletzt bearbeitet:
@hrafnagaldr +1

Dito, bei uns (fast) genauso.

Du kannst schulen und predigen wie Du willst, es hilft nicht(s).

Casa
 
Zuletzt bearbeitet:
Maxx2332 schrieb:
Ist locky nicht total langsam? AES wird ja schon durch die Festplatte abgebremst, aber RSA? Wie lange soll ich den Rechner denn bei Volllast laufen lassen damit auch wirklich was wichtiges weg ist.

Bei uns im Firmennetzwerk ist Locky auf einen der Terminalserver gelangt. Dort hat er mehr als 100k Dateien verschlüsselt in einer Spanne von etwa 2h - erst dann viel es auf. Also schnell genug um Schaden anzurichten ist der schon.

Da haben sich die täglichen Backups des Servers ausgezahlt. Ein Punkt der auch viel Wert war: Jeder Wochentag hat eine eigene Festplatte. Somit war es nicht schlimm, dass Locky auch externe Datenträger befällt.

Besonders fatal ist, dass auf dem Rechner mehrere kostenpflichtige Antivirenprogramme (auf neustem Stand) installiert waren. Schützen kann man sich tatsächlich nur noch durch Sicherheitskopien. Leider ist es immernoch viel zu üblich, dass auch .doc dateien versendet werden. Aber wenn man dann darum bittet, dass zukünftig nur noch Daten per PDF geschickt werden kommt sehr oft lediglich eine Bekundung der Unfähigkeit dem nachzukommen.
 
Cheetah1337 schrieb:
Also das mit den Mails verstehe ich immer noch nicht ... wenn ich etwas nicht bestellt habe oder dergleichen, dann rufe ich bei der entsprechenden Stelle an und erkundige mich und mache nicht irgendwelche Anhänge auf. O.o

Ja, das würde sich jeder Admin wünschen. Die Realität sieht leider ganz anders aus, erlebe ich Tag für Tag...
 
Fehlermeldung schrieb:
Besonders fatal ist, dass auf dem Rechner mehrere kostenpflichtige Antivirenprogramme (auf neustem Stand) installiert waren.
Es ist schon traurig zu sehen, dass ein Schadprogramm scheinbar über mehrere Wochen hinweg noch nicht einmal die Dateiendung der verschlüsselten Dateien ändern muss, um die laut zahlreichen Tests so zuverlässigen Virenscanner auszutricksen. Eine einfache Verhaltensanalyse würde es Locky und Co. schon deutlich schwerer machen, denn dann würde es zumindest nicht mehr ausreichen, die ausführbare Datei neu zu verschlüsseln. Irgendwie haben andere Firmen deutlich mehr Beitrag zu sichereren IT geleistet wie die Hersteller von Security-Lösungen: ohne Apple wäre das Ende von Adobes Flash wohl noch nicht absehbar und ohne die Blocklisten bzw. NPAPI-Sperren von Mozilla und Google wäre Java und Silverlight nicht so schnell verschwunden.
 
Zurück
Oben