ComputerBase Menü
Aktuelles

News Locky: Mit Backups vor den Krypto-Trojanern schützen

Also bei uns in der Firma kommen jeden Tag mehrere Mails mit Rechnungen im Anhang rein. Genauso kam auch Locky letzte Woche rein. Unsere Bürodame hat die Datei geöffnet, weil Sie immer alle Rechnungen öffnet. Eset hat reagiert und schlimmeres verhindert.Wir haben sicherheitshalber alle Systeme überprüft und konnten noch Reste von Locky beim Heuristik Scan auf dem Rechner unserer Bürodame finden.

Der Angriff wurde sauber abgewehrt.
 
Ich frage mich eben , warum immer so viel predigen wie man so dumm sein kann und sich sowas einfangen kann , ist das Anmaßung ? Hochnäsigkeit ? Warum immer diese Verurteilung , wenn ich jemanden sehe der mit einer Bohrmaschine nicht richtig umgehen kann lache ich ihn nicht aus sondern zeige es ihm wie man diese richtig bedient

Von diesen Verschlüsselungs vieren wissen die meisten erst was wenn sie ihn sich eingefangen haben , so medial ist der nun wirklich nicht , nicht jeder treibt sich auf Computerbase und co rum
 
Naja ... ich denke mal, dass in 99% der Fälle die Nutzer schon aufgeklärt worden sind (bzw. sie das bei uns z. B. auch per Unterschrift bestätigt haben). Man hat ihnen also gezeigt, wie mit der "Bohrmaschine" umzugehen ist.

Trotzdem kann man nicht erwarten, dass es immer und überall vom Hausmeister bis zum obersten Chef eingehalten wird ...
 
scryed schrieb:
Von diesen Verschlüsselungs vieren wissen die meisten erst was wenn sie ihn sich eingefangen haben , so medial ist der nun wirklich nicht , nicht jeder treibt sich auf Computerbase und co rum
Zum Vergrößern anklicken....
Hallo,

das mag schon stimmen, nur es wird alles beklickt, was nicht bei drei auf den Bäumen ist.

Da kann man auch soviel informieren und Negativbeispiele aufführen, manche lernen es nie.
Eben weil Internet für viele "Neuland" ist.

Meine Bekannten sehen im Internet den Teufel und erlauben ihren Kindern nicht mal ein Smartphone zu besitzen.
Was will man dort in Zukunft von den Kindern erwarten? Verantwortungsvoller Umgang hört sich anders an.

Vor jedem Klick auf einen Link oder einen Anhang - Gehirn benutzen.
Leider können manche, die ja ohne Internet aufgewachsen sind, das nicht verstehen.

Diesen Benutzern müsste man dort eigentlich eine Sandbox hinstellen, oder einen Kiosk PC, (beides ohne Internetzugang) damit sie nichts falsch machen können, aber manchmal hilft nicht mal mehr das.

Casa
 
scryed schrieb:
Ich frage mich eben , warum immer so viel predigen wie man so dumm sein kann und sich sowas einfangen kann , ist das Anmaßung ? Hochnäsigkeit ? Warum immer diese Verurteilung...
Zum Vergrößern anklicken....

Es mag ja bei dem einen oder anderen etwas selbstgefällig oder OMG! - arrogant - rüberkommen, aber sei doch mal ehrlich: die Tipps, um Malware zu vermeiden, sind doch nicht erst seit zwei Wochen bekannt, sondern seit 20 Jahren. Und egal, wie oft erklärt, gewarnt und "belehrt" wird, ignorieren das viele oder hören nicht zu, verdrehen die Augen, denken sich "jaja, blahblah, passiert mir eh nicht" und schalten auf Durchgang. Und wenn dann doch was passiert, tun sie so, als hätte sie nie jemand gewarnt.
Wer das jahrelang miterlebt hat, bringt dafür eben irgendwann kein Verständnis mehr auf.

Wer einen PC nutzt und bis heute weder per Internet noch über TV und Zeitschriften von aktuellen Malwareplagen etwas mitbekommen hat, der muss schon sehr, sehr, SEHR unaufmerksam durch die Welt stolpern.
 
Um aber auch mal einige Personen zu verteidigen: Es soll ja da draußen in der Wirtschaft tatsächlich Personen geben, welche täglich dutzende (echte) Rechnungen von verschiedensten Firmen per Mail erhalten. Wenn dann so eine E-Mail perfekt gefälscht ist d.h. mit perfektem Deutsch etc. wie soll dieses Mädel in der Buchhaltung das denn spontan unterscheiden? Und spontan muss sie sein, denn der Chef will klarer Weise, dass abends die Arbeit erledigt ist. Da bleibt halt keine Zeit, um über jedes E-Mail mehrere Minuten lang nachzudenken. Makro-Warnung? Tja, bei vielen Anhängen, die sie bekommt, muss sie die Warnung halt bestätigen, damit der Anhang korrekt dargestellt wird. Dies nur mal so ein Beispiel, dass nicht alle Menschen völlig doof sind, die auf sowas reinfallen.

Kann man die Makro Funktion in Office eigentlich vollständig deaktivieren, sodass sie der User garnicht aktivieren kann?

Und wenn man dann noch Java deinstalliert, ist man eigentlich relativ sicher vor den aktuellen Bedrohungen, oder?
 
lordZ schrieb:
Wenn dann so eine E-Mail perfekt gefälscht ist d.h. mit perfektem Deutsch etc. wie soll dieses Mädel in der Buchhaltung das denn spontan unterscheiden? Und spontan muss sie sein, denn der Chef will klarer Weise, dass abends die Arbeit erledigt ist. Da bleibt halt keine Zeit, um über jedes E-Mail mehrere Minuten lang nachzudenken. Makro-Warnung?
Zum Vergrößern anklicken....

Gerade im Geschäftsumfeld sollte eben weder etwas verschickt noch geöffnet werden, was nur mit Makros richtig funktioniert. Davon abgesehen kommt die Malware mittlerweile auch auf anderen Wegen und mal ehrlich: Ne Mail mit ZIP-Anhang, in dem eine JS-Datei steckt? Wie unvorsichtig muss man sein, um das trotzdem zu öffnen?

Und wenn man dann noch Java deinstalliert, ist man eigentlich relativ sicher vor den aktuellen Bedrohungen, oder?
Zum Vergrößern anklicken....

Nein. Erstmal: Java hat nichts mit JavaScript zu tun, auch wenn in beiden "Java" vorkommt (siehe Gummibaum und Gummibärchen).

Das Java-Plugin im Browser ist allerdings eine verzichtbare Sicherheitslücke.
 
lordZ schrieb:
Kann man die Makro Funktion in Office eigentlich vollständig deaktivieren, sodass sie der User garnicht aktivieren kann?
Zum Vergrößern anklicken....
Hallo,

ja kann man, in der Domäne per Richtlinie ( GPO) oder am lokalen PC, über die lokalen Richtlichen, als Admin.

Aber mal ehrlich, ich bekomme auch Rechnungen per E-Mail, alle immer im PDF Format.

Casa
 
hrafnagaldr schrieb:
...
Zum Vergrößern anklicken....
Schöner Bericht.

Uns hat es am Freitag erwischt, wie du schon sagtest, mit einer auf deutsch übersetzten Mail.
Eine Anwenderin war es, Mailanhang mit irgendeinem Makro. Ihre Zugriffsrechte auf dem zentralen File Server waren zum Glück sehr überschaubar und die "Attacke" ist schnell aufgefallen. Es hat einen zentralen Abteilungsordner getroffen, Datensumme ca. 300 GB.
Sophos hat die betroffene Executable noch nicht erkannt.

Letztendlich werden seit letzten Freitag typische Office Makrodokumente, die per Mail reinkommen, von der IronPort durch ein nettes Textfile ersetzt und auf dem File Server wurde ein File Screening eingerichtet - da gibt es im Netz ein gutes "Tutorial" für Admins, welches speziell auf Locky ausgerichtet ist.

Am Ende wurde besagter Abteilungsordner aus dem (Veeam)Backup restored.

Eine Sauerei den Admins gegenüber sowas Freitag mittag/nachmittag loszutreten. :D
 
Was für eine voll-automatische Backup-Lösung würdet ihr in diesem Fall den empfehlen?
 
Morrich schrieb:
Offenbar bin ich einfach zu blöde um mir sowas einzufangen. Jedenfalls hab ich mit sowas noch nie Probleme gehabt. Wie machen andere das?
Zum Vergrößern anklicken....
Meine Mutter hatte meinem Schwager per E-Mail ein Foto geschickt und einen Text dazu. Jetzt erhielt sie Antwort: Auch ein "lockerer" Text und dann irgendwie ein Hinweis, "schau dir den Anhang an" oder so ähnlich. Der Anhang war dann eine ZIP-Datei. (Soweit auch nicht ungewöhnlich, weil ein anderer Bekannter von meinen Eltern die Angewohnheit hat, seine Bilder, die er verschickt, immer in ZIP-Dateien zu packen.)
Das ungewöhnliche war nur, dass die E-Mail von meiner Mutter vor ca. 5 Jahren versendet wurde (und auch schon lange von meinem Schwager beantwortet wurde). Des Weiteren fand meine Mutter die Versandzeit um ca. 06:00 Uhr morgens ungewöhnlich. Und später stellte sich noch heraus, dass der E-Mail-Account von meinem Schwager gar nicht mehr benutzt wird (wäre meiner Mutter aber nicht aufgefallen, weil als Absender nur der Name angezeigt wurde).
Im Klartext: Da wurde tatsächlich der alte Account von meinem Schwager gehackt und wird jetzt als "Viren-Schleuder" missbraucht!
Wenn jetzt zufällig nicht der alte Account, sondern der aktuelle gehackt worden wäre und auf eine Mail von vielleicht gestern Abend geantwortet worden wäre ... dann hätte meine Mutter vermutlich ganz locker auf den Anhang geklickt ... :freak:
 
Ich bin vorerst bis auf weiteres oder langfristig auf Ubuntu 15.10 Wily Werewolf umgestiegen.

Und da ich kein Spieler und Zocker bin,und hauptsächlich im Internet surfe sowie auf Youtube und anderen Musik,-und Videoplattformen
Videos anschaue,sowie etwas Office etc.mache,ist Ubuntu vollkommen ausreichend.

Wer weiß,was sich die Kriminellen noch einfallen lassen.
 
Wenn irgend ein Depp das in unserem Schulnetzwerk ausführt wären 700Accounts tot. Denke nämlich nicht, dass die dort ein Backup haben. Naja, mit Ubuntu bin ich ja vorerst noch sicher unterwegs
 
@njchw
Wieso wären die Accounts dann alle tot? Sowas wie ne Rechteverwaltung sollte ja auch vorhanden sein. Oder habt ihr alle einen gemeinsamen shared Ordner?
 
Also,was paypal Junk Mails anbelangt,muß ich sagen, die Absender werden immer besser um
täuschend ähnliche paypal Mails zu generieren.
Allerdings haben sie teilweise Gauner Jargon
drin. Z.B. mit der Überschrift :Was ist los !So
spricht paypal keinen Kunden an ! Außerdem,
würde paypal nie die IP Adresse eines vermutlichen Hackers, der am xx.xx.xx eine
Transaktion auf meinem Konto getätigt hat,an mich weiterleiten.Diesen miesen Rattefängern,die sich meine email Adresse aus einem gahackten Server besorgt haben ,auf ihre Seite folgen und dort sicherheits relevante Daten einzugeben,wär mehr als dumm!
Dazu noch den genetierten Login Key,das wär
extreme Dummheit.
 
Zuletzt bearbeitet:
Verbreitet hat sich Locky zunächst per E-Mail. Im Anhang befindet sich ein Office-Dokument mit einem Makro-Code, der den Schadcode ausführt. Für Office-Nutzer empfiehlt es sich daher, die automatische Ausführung von Makro-Codes zu deaktivieren. In der Grundeinstellung ist dies auch der Fall, allerdings fordert Locky die Nutzer dann auf, die Makro-Funktion zu aktivieren.
Zum Vergrößern anklicken....

Sorry aber wer da drauf reinfällt ist einfach selbst schuld. Da fällt mir nur ein breites Grinsen ein :-) :-)

Dass der Virus jetzt auch über Javascript verteilt wird, ist dann natürlich eine andere Sache, da wird's schon gefährlicher, jenachdem wie die Attacke aussieht.

Edit: Ok wohl doch nicht^^ So sieht die Attacke aus: (copy von Heise)

Der variierende Betreff lautet etwa Rechnung Nr. 2016_131, der Absender zum Beispiel fueldner6D@lfw-ludwigslust.de. Der Empfänger wird im Namen der Ludwigsluster Fleisch- und Wurstspezialitäten GmbH in einwandfreiem Deutsch aufgefordert, die angehängte Rechnung zu öffnen und den Adressaten zu korrigieren. Im Anhang findet sich ein ZIP-Archiv nach dem Muster RG843841155137-SIG.zip, das eine Javascript-Datei enthält. Wer neugierig geworden ist und das Skript ausführt, fängt sich umgehend den Verschlüsselungs-Trojaner ein.
Zum Vergrößern anklicken....

Da muss ich echt nur lachen :)
 
Sempervideo hat da ein sehr informatives Video gemacht, wie Locky im genauen Arbeitet.

https://www.youtube.com/watch?v=331Fzhc_6nM

Zusammenfassung:
Das Marko erstellt eine batch-Datei und führst diese aus. Über diesen Weg wird die eigentlich .exe-aus dem Netz geladen (unter anderem z.B. von irgendwelchen gehackten Webseiten und Blogs) und _dann_ wird verschlüsselt.
Da der eigentliche Schadcode zum zeitpunkt des Öffnens noch gar nicht in der Datei enthalten war, lassen sich Virenscanner dadurch natürlich entspannt umgehen.

Was Viren an sich angeht: ich bin bisher auch verschont geblieben, aber es ist doch ein nicht unerheblicher Aufwand, jede potenziell schädliche Mail erst zu untersuchen, was man im Geschäftlichen Umfeld auch einfach nicht machen kann. zumindest ohne zusatzaufwand.
brain.exe ist halt immernoch der beste Schutz (bzw. Grundlage für jeden effektiven).
 
So einfach ist das leider nicht, Amazon, Telekom, usw. verschicken ihre echten Rechnungen auch als Email Anhang. Ebay, Paypal, usw. haben in ihren echten Mail auch Links die für Aktivitäten ins eigene Konto führen.
Wenn so was dann zeitlich zusammen mit einer getätigten Bestellung fällt, können durchaus auch nicht Neuländer draufklicken/öffnen.
Cloudbackup kann man bei 200-2000GB und DSL6000 auch mehr als vergessen und auch nicht bezahlen…

Hoffe künftig gibt es brachbare Methoden gegen Ransomware, vielleicht eine Heuristik die merkt wenn etwas plötzlich den ganzen Pc verschlüsselt und vorher fragt ob man das wirklich möchte. Nur über Checksummen wird es nicht gehen, da es jedes Kind millionenfach vollautomatisch umgehen kann.
 
Wie ist das, wenn man im unternehmen bzw. dann im Home Office gemeinsame Ordner in der Cloud hat.
Würde sich der Trojaner über die geteilten Ordner auf alle Rechner verbreiten?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

David7
Wie effektiv vor Malware schützen?
2
Antworten
20
Aufrufe
10.509
sandreas
S
Andy
News Krypto-Trojaner WannaCry: Weltweite Attacke betrifft auch Deutsche Bahn
9 10 11
Antworten
217
Aufrufe
34.229
andy_m4
andy_m4
Andy
News Krypto-Trojaner WannaCry: Microsoft kritisiert Behörden, die Exploits horten
3 4 5
Antworten
98
Aufrufe
11.393
andy_m4
andy_m4
Andy
News Krypto-Trojaner WannaCry: Deutschland mit „blauem Auge“ davon gekommen
2 3 4
Antworten
70
Aufrufe
12.135
Fellor
F
M
News Krypto-Trojaner WannaCry: Experten uneins über Herkunft
2
Antworten
21
Aufrufe
4.141
syntax868
S
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz