News Locky: Mit Backups vor den Krypto-Trojanern schützen

[Computerfuchs]

Es befällt auch deine Dropbox

Dropbox hat den riesengroßen Vortel, eine Versionsverwaltung zu besitzen.
Die Dropbox wir befallen, das stimmt, aber wenn man hinterher schnell ist (in der kostenlosen Version hat man glaube 14 Tage Zeit, wenn ich mich richtig erinnere), kann man auf der Dropbox Webseite die alte, unverschlüsselte Version seiner Dateien wiederherstellen.

Wurde selbst erst kürzlich von einem Bekannten wegen Ransomeware zu Hile gerufen. Dort war alles verschlüsselt, inklusive der Backups auf externen USB-Festplatten. Dropbox war das einzige, was sich retten ließ.

 

[hrafnagaldr]

Eine Sauerei den Admins gegenüber sowas Freitag mittag/nachmittag loszutreten.

Also bei uns erkannte Sophos den Dienstagabend (16.02.), Angriff war am Vormittag.

Ergänzung (24. Februar 2016)

Wie ist das, wenn man im unternehmen bzw. dann im Home Office gemeinsame Ordner in der Cloud hat.
Würde sich der Trojaner über die geteilten Ordner auf alle Rechner verbreiten?

Der Trojaner an sich hatte zumindest in der ersten Version noch keine Selbstverbreitung. Er schaut nur, wo er in dem Zugriffskontext, in dem er aufgeführt wird, Schreibrechte hat und verschlüsselt dort. Hat er Schreibrechte auf einen Cloudordner, dann verschlüsselt er auch dort.

 

[Rubbiator]

Hallo zusammen,
Ich habe mich zu meiner Schande bisher noch nicht sonderlich um Backups etc gekümmert im Schatten der Ereignisse wird dies wohl aber fällig. Was ist denn die sicherste und bequemste Variante? Ein NAS, das man nur bei Bedarf einschaltet oder doch eine einfache USB Platte?

Edit: Gesichert werden soll ein Rechner und ein Laptop

 

[Inxession]

Das die Coder von solchen Teilen nie gefunden werden ... in einer Gesellschaft der totalen Überwachung.

Ich laufe seit einem Jahr nach Release von Windows 7 sogar ohne Windows Updates Virenfrei.
Windows 7 + Kaspersky AntiVirus
- solche eMails erkennt man schon ... aber ja, es braucht Zeit und Geduld um zB meiner Frau oder meiner Mutter zu erklären, das der Absender xem.vsdfr@paypl.de, oder die Versandzeit 3:53 Uhr ... irgendwo einen Haken haben.

Man wünscht sich eigentlich die Zeiten zurück, ... Rechnung immer in Papierform im Paket.

@Rubbiator ... in deinem "kleinen" Szenario würde eine Sicherung der wichtigsten Daten auf eine USB Platte reichen.

 

[Rubbiator]

Okay vielen Dank! Habe auch gesehen, dass ein NAS fast immer unnötige Medien Features hat, da es wirklich nur als Datengrab dienen soll.

 

[Sturmwind80]

Das Marko erstellt eine batch-Datei und führst diese aus. Über diesen Weg wird die eigentlich .exe-aus dem Netz geladen (unter anderem z.B. von irgendwelchen gehackten Webseiten und Blogs)

Wie schaut es mit einer guten Hardwarefirewall mit Webfilter usw. aus? Müsste die nicht die .exe rausfiltern? Securepoint und Co. haben ja sehr gute Firewalls und man zahlt auch ein paar 100€ im Jahr für die Updates und den Webfilter usw.

 

[Freak_On_Silicon]

Wie hoch sind eigentlich die Preise die gefordert werden?

 

[maloz]

Was für eine voll-automatische Backup-Lösung würdet ihr in diesem Fall den empfehlen?

Das kann, würde ich jetzt mal behaupten, so gut wie jede Backup Software im privaten Umfeld.
Wichtig ist, dass das Medium, auf welches gesichert wird, nicht permanent mit dem PC verbunden ist. Ansonsten besteht die Gefahr bei einem Befall von Ransomware, dass das Backup gleich mitverschlüsselt wird, und dann hat man am Ende gar nichts gewonnen.

@ hrafnagaldr
Hab gelesen, dass Locky immer wieder minimal modifiziert wird, damit dieser nicht vom Virenscanner erkannt wird. So wird das wohl bei uns gewesen sein.

 

[Kowa]

ich würd ihn mit DBAN shreddern und dann Windows neu aufsetzen.

Nach drei mal 0/1 kann kein Trojaner mehr überleben.

Ne Rescue CD/ DVD bringt imho dort nicht viel.

Du überschreibst die Firmware Deiner SSD 3x mit 0/1 ? Ich denke 1x sollte ausreichen.

 

[trollseidank]

Besonders fatal ist, dass auf dem Rechner mehrere kostenpflichtige Antivirenprogramme (auf neustem Stand) installiert waren. Schützen kann man sich tatsächlich nur noch durch Sicherheitskopien.

Als stiller Leser sei mir eine Frage gestattet. mehrere Virenscanner auf einem gewöhnlichen Home& Office Rechner?? Welche denn?

 

[Autokiller677]

Es befällt auch deine Dropbox

Nur wenn der Ordner gesynct wird. Man kann auch einmal pro Woche oder so von Hand hochladen.

Ist locky nicht total langsam? AES wird ja schon durch die Festplatte abgebremst, aber RSA? Wie lange soll ich den Rechner denn bei Volllast laufen lassen damit auch wirklich was wichtiges weg ist.

Wahrscheinlich wird mit AES verschlüsselt und der AES Key mit RSA. So gehts schön flott.

@Topic:
Naja, wer kein Backup hat... selbst schuld.

 

[Kowa]

Im Klartext: Da wurde tatsächlich der alte Account von meinem Schwager gehackt und wird jetzt als "Viren-Schleuder" missbraucht!

Man braucht keinen Mail-Account zu hacken, um eine beliebige Adresse als Absender zu verwenden.

 

[hrafnagaldr]

Wie schaut es mit einer guten Hardwarefirewall mit Webfilter usw. aus? Müsste die nicht die .exe rausfiltern? Securepoint und Co. haben ja sehr gute Firewalls und man zahlt auch ein paar 100€ im Jahr für die Updates und den Webfilter usw.

Theoretisch natürlich mit nahezu jeder Security Appliance und lizensiertem Webfilter möglich, aber wenn halt jede EXE blockst, die über Port 80 http gesaugt wird ist das auch kein Spaß und viel Administrationsaufwand.

So blöd es klingt: aber stündliche Backups machen da im Falle einer Infektion dem Admin am wenigsten Arbeit.

 

[Kowa]

Naja, mit Ubuntu bin ich ja vorerst noch sicher unterwegs

Diese Anhänge werden meist nicht nur versehentlich geöffnet. Viele Leute wiegen sich in Sicherheit, weil Windows ausgereift ist, weil ein Virenscanner läuft, weil man sehen will, was passiert, weil man jemanden kennt, der das ja sonst auch immer hinbekommen hat, weil einem sowas noch nie passiert ist, weil der Rechner erst neu ist und man selber ja nur am Rande steht und der Virus keinen Grund hat einen anzugreifen.

Läuft java oder JScript oder ein Office-Macro nicht unter Ubuntu?

 

[Creati]

@Kowa
Natürlich muss dazu kein mailaccount geknackt werden, um Mails mit gefälschtem Absender zu verschicken. Wie erklärst Du Dir dann aber, dass eine Mail von der Mailadresse vom Schwager an die Mutter gelangt ist. Wie soll der Absender von der Mailadresse und der Mail Kentniss haben, wenn er nicht den alten Mailaccount geknackt hat? Das ist es schon am wahrscheinlichsten, dass der alte Mailaccount verwendet wurde und die Mail in dem Sinne dann nicht gefälscht war.

Und zur Ubuntusicherheit: mit Ubuntu ist man vorerst sicher unterwegs, da Windows das Angriffsziel ist und nicht Linux. Java und Co laufen natürlich auch unter Ubuntu, aber dann wird halt ein Virus mit runtergeladen, der auf Windows zugeschnitten ist bzw. nur auf diesem läuft. Sicherheit definiere ich in diesem Zusammenhang mit der Wahrscheinlichkeit infiziert zu werden. Diese ist unter Windows um einiges höher als unter Linux.

 

[Autokiller677]

Läuft java oder JScript oder ein Office-Macro nicht unter Ubuntu?

Java und JScript laufen, Office bin ich mir nicht ganz sicher.
Ransomware ist auf jeden Fall genauso einfach unter Ubuntu möglich wie unter Windows (und gibt es auch schon). Solange der User dumm genug ist, die Datei zu starten hilft da nichts gegen.
Das unter Linux nicht so viel passiert liegt hier eher daran, dass viele Linux User etwas IT-bewandert sind und nicht alles aufklicken was blinkt.

 

[Kowa]

Diesen miesen Rattefängern,die sich meine email Adresse aus einem gahackten Server besorgt haben ,auf ihre Seite folgen und dort sicherheits relevante Daten einzugeben,wär mehr als dumm!

Niemand muß für Deinem email-Adresse einen Server hacken. Deine Adresse ist nur dann zu verwenden, wenn andere Bekannte von Dir diese haben, um Dich anzuschreiben.

Wem diese Leute die Adresse überlassen, kannst Du nicht beeinflussen. Ob sie die Kontakte zu FB, Goggle oder weihnachtsmann.de hochladen kannst Du nicht verhindern. Ob die für ein blödes Spiel auf dem Android-Phone Berechtigungen geben für Zugriff auf Kontakte und der Spielehersteller diese gleich weiterverkauft, inkl. der Info wer mit wem? Da kann man sicher sein.

 

[Creati]

Niemand muß für Deinem email-Adresse einen Server hacken. Deine Adresse ist nur dann zu verwenden, wenn andere Bekannte von Dir diese haben, um Dich anzuschreiben.

Die Wahrscheinlichkeit ist nur höher, dass diese aus entsprechenden gehackten Datenbanken kommt. Ich habe ein catchall-Postfach mit einer Domain und habe für jede Website eine eigene Mailadresse. Das System betreibe ich so seit 2005. In all der Zeit sind sämtliche Phishingmails nur auf Mailadressen gelandet, die ich bei Shops, etc. verwendet habe. Spammer kaufen sich die Mailadressen günstig von entsprechenden Leuten aus dem Milieu. Was denkst Du, was das für einen Imageschaden für ein Unternehmen bedeuten würde, wenn es Mailadressen an Spammer weiterverkauft.
Unternehmen handeln im großen Stil Adressdaten und Co. untereinander, aber nicht an Spammer (zumindest in DE).

 

[Mr.joker]

Man braucht keinen Mail-Account zu hacken, um eine beliebige Adresse als Absender zu verwenden.

Nein, das nicht. Wenn man aber die "Antworten-Funktion" nutzt und die Original-Mail mitschickt, dann schon. Es wurden anscheinend alle Mails, die auf dem Account noch vorhanden waren "beantwortet", da auch andere Leute aus dem Bekannten-/Verwandtenkreis die Mails mit den ZIP-Anhängen bekamen!

 

[Casa Deliziosa]

Du überschreibst die Firmware Deiner SSD 3x mit 0/1 ? Ich denke 1x sollte ausreichen.

Nein dafür nutze ich Blancco:

http://www.blancco.com

Es war auch von keiner SSD die Rede, oder es wurde nicht explizit erwähnt.

Casa