[eTP]AcCiDeNt schrieb:
Das bleibt sicher verschlüsselt.
Wenn jemand wirklich ein Tool bekommen würde, welches den Trojaner aushebelt und die Daten wieder lesbar macht, dann würde derjenige das Tool doch sofort weiter geben und Locky wäre obsolet.
Eine andere Variante ist im Prinzip nicht möglich ... denn wenn es ein Online Service machen würde, wären ja die Täter sofort bekannt.
Naja, sag das nicht. Es kann schon sein das die Daten wiederherstellbar sind. Die Verschlüsselung ist ja jedes Mal eine Andere. Du kannst das Tool natürlich öffentlich machen, bringt nur nix, da es eben nur für deine Infektion funktioniert.
Zum Thema Makros. Also wir haben Exceldateien mit Makros bekommen wo der Locky drinnen war. Ganz Lustig, da gerade Makros in Excel was ganz alltägliches sind. Tja, der Absender war korrekt, nur eben der Anhang nicht.
Zum Thema Geschwindigkeit: ca 3 Minuten, 6000 Files (SAS Array), nicht witzig. VSS half jedoch und somit war das ganze dann wieder "rettbar".
Zum Thema Backup: Tja, ein Backup ist halt leider auch keine 100%ige Lösung aller Probleme. Der Locky schnappte sich einen Share für das Buchhaltungsprogramm. Nun hatte ich von vor 3 Stunden einen Snapshot, doch keiner wusste mehr so gaaanz genau was er denn heute schon gebucht hatte. Ende vom Lied, Backup der Nacht und den halben Tag als "is halt so" abgeschrieben. Nur weil man die Daten hat, heißt es noch lange nicht das sie brauchbar sind
.
Zum Thema Jscript: Jscript hat NICHTS mit Java zu tun und Jscript hat NICHTS mit JAVASCRIPT zu tun. JScript ist "Windows Scripting Host"-Files
https://de.wikipedia.org/wiki/JScript .
Der Locky hat übrigens auch Shares erwischt, die nicht über ein Netzlaufwerk verbunden waren. Man sollte also mit "net share" ganz genau mal nachsehen, welche Shares denn der Server so wirklich hat und dann halt, soweit es geht, einschränken. VSS einschalten und MEHRERE Versionsstände haben. Es gab schon Gerüchte das es eine schlummernde Verision des Locky geben soll, die erst zeitverzögert zuschlägt.
