Neuer Verschlüsselungstrojaner im Umlauf

qlubtempo

Lieutenant
Registriert
Dez. 2007
Beiträge
950
Heute aktuell einen Kunden gehabt.. Virenschutz kannst du einstellen wie du willst, das Ding ist in Makros versteckt.. Rechner ist mittlerweile neu installiert :D..
 
Haben auch gerade einen in der Werkstatt vom Kunden. Schöner Trojaner. Hilft nur platt machen und neu installieren. AV-Lösungen hängen da naturgemäß immer hinterher. Is leider so....
 
Airman schrieb:
Haben auch gerade einen in der Werkstatt vom Kunden. Schöner Trojaner. Hilft nur platt machen und neu installieren. AV-Lösungen hängen da naturgemäß immer hinterher. Is leider so....
Wie immer bei solchen Verschlüsselungstrojanern ist der beste Schutz bzw die beste Vorbeugemassnahme, wenn man auf einer externenen offline Festplatte ein möglichst aktuelles Systembackup und Backups von Dateien hat die nicht verloren gehen sollen.
 
Bei sowas bin ich immer wieder froh, dass ich im Bekanntenkreis die Makros auf den Rechnern komplett deaktiviert habe. Braucht da keiner und so kann auch keiner was falsch anklicken. In der Firma bei uns hat es aber auch einen Rechner erwischt. irgendjmd. von den Nicht-ITlern klickt dann halt doch den Anhang an...
 
purzelbär schrieb:
Wie immer bei solchen Verschlüsselungstrojanern ist der beste Schutz bzw die beste Vorbeugemassnahme, wenn man auf einer externenen offline Festplatte ein möglichst aktuelles Systembackup und Backups von Dateien hat die nicht verloren gehen sollen.

Ja das ist mit die beste Möglichkeit. Bei dem PC ist es egal da es nur ein reiner Arbeitsplatzrechner ist und alles über nen Server läuft. Zum Glück war nur der Rechner betroffen und nicht der Server. Da hätten wir aber nen Backup. Wobei ich bei einigen Kunden auch schon gesehen habe das Sie ihre BackUp-Platte immer dran lassen. Ist natürlich Suboptimal wenn ein Verschlüsselungstrojaner das mit Verschlüsselt. Aber wenn der Kunde nicht hören will muss er es fühlen.
 
Hatte heute auch mehrere Fälle in der Firma.
Scheinbar hat das Teil ziemliche Bugs (zum Glück).

Wir haben nach derzeitigem Kenntnisstand 7 betroffene User in der Firma, alle mit W7 x64 und Office 2010:
Fall1: Es ist schlichtweg garnichts passiert trotz Makro Aktivierung
Fall2: XLS und PDF geöffnet aber Makro nicht aktiviert, nichts passiert
Fall3: Makro aktiviert, Die Exe Dateien wurden erzeugt, aber weiter nichts
Fall4: Makro aktiviert, Rechner und Netzlaufwerke verschlüsselt
Fall5: Makro aktiviert, Rechner verschlüsselt, aber nichts auf den Netzlaufwerken
Fall6+7: Makro aktiviert, Rechner verschlüsselt, Ransom Note auf den Netzlaufwerken ohne dass dort etwas verschlüsselt wurde

Aktuelle Backups selbstverständlich vorhanden und Rechner werden neu installiert.
 
Hatte heute auch mehrere von den neuesten Locky-Samples unter der Lupe - recht interessant.
Der Dropper im Makro ist recht clever, der nutzt mittlerweile Sandbox Evasion.
Er läd die Malware runter (gexorte DLL), xort wieder und füttert rundll32 mit dem Ergebnis. Nach nem Reboot finde ich nur noch die Temp-Files, sprich das gexorte Sample und die fertige DLL.
Die haben den früheren Completion Registrykey gestrichen, und es gibt keine Reboot-Persistence.
 
Wir hatten nun bisher 2 Kunden die betroffen waren, der Schaden hält sich aber bisher in grenzen. Client Neuinstallation und Wiederherstellung von ein paar Netzlaufwerken die verschlüsselt wurden, mehr nicht bisher -> zum Glück!
 
Ich habe so eine Email am 6.12. selbst erleben dürfen.
Das Tool lief einige Minuten, bevor ich den Rechner ausgeschaltet habe.
Dank Backup konnten die verschlüsselten Dateien komplett wiederhergestellt werden, die Platte war (noch) nicht komplett verschlüsselt. Ein Hoch auf langsame HDDs und inkrementelle Backups.
 
Zuletzt bearbeitet:
Zurück
Oben