Windows 7 Virenfund und merkwürdige Anmeldemaske

[t0x]

Habe hier in der Firma einen Rechner mit merkwürdiger Anmeldemaske.
Zuvor wurde vom Virenscanner eine Ransomware gefunden (unbekannt welche).
Verschlüsselt wurde offenbar (noch?) nichts.
Es ist auch nicht bekannt ob diese ausgeführt oder komplett abgefangen wurde.
Hat diese merkwürdige Anmeldemaske etwas mit Eingabehilfen zu tun oder ist das vom Virus manipuliert?

Ich habe das in der Form noch nicht gesehen.

Windows 7 Pro x64

Bitte keine Kommentare wie einfach plattmachen und neuinstallieren. Wird sowieso gemacht.
Es geht mehr darum den Virus zu identifizieren damit ich die anderen Mitarbeiter über den Verbreitungsweg aufklären kann.

Denn wie der auf den Rechner kam ist unklar.

 

[cyberpirate]

Dann mach doch einfach einen Scan mit Kaspersky Rescue oder ähnlichem Programm.
Dies sollte doch die Ransom Ware erkennen.

 

[t0x]

Ist bereits geschehen. Es wurden 3 EXE Dateien gelöscht.

 

[firexs]

https://www.administrator.de/frage/windows-7-prof-neue-anmeldemaske-anderer-benutzer-282499.html

HP PC?

 

[t0x]

Dell. Aber danke für den Hinweis. Dann ist das vermutlich normal.

Name des Fundes bei TrendMicro:
Ransom_HPLOCKY.SMBOS2

 

[purzelbär]

Ist bereits geschehen. Es wurden 3 EXE Dateien gelöscht.

Wenn du eh den Rechner neu aufsetzt(was du hoffentlich auch machst)dann ist es eigentlich sinnfrei mit einer Antivirus Live CD den noch bereinigen zu wollen ist aber deine EntscheidungFür die Zukunft: investiert etwas Geld in der Firma, kauft zum Beispiel USB Festplatten und macht darauf Systembackups der Mitarbeiter PC's und Datensicherungen wichtiger Daten und sorgt dafür das die USB Festplatten offline sind wenn sie nicht gebraucht werden.

 

[|SoulReaver|]

Also ich bin mir nicht ganz sicher, schaut aus wie von HP eine Anmeldeseite. Hatte meine Lady bei ihrem "Arbeitsgerät" auch. Aber in der heutigen Zeit machen das die Bösen Jungs gut nach. Werde das hier neugierig mitverfolgen.

Servus Purzelbär, geht doch darum zu wissen was es war oder würdest du das nicht auch gerne wissen bei dir?

 

[cyberpirate]

Es geht mehr darum den Virus zu identifizieren damit ich die anderen Mitarbeiter über den Verbreitungsweg aufklären kann.

Name des Fundes bei TrendMicro:
Ransom_HPLOCKY.SMBOS2

?? Dann weißt Du doch wie er heißt: Versteh die Frage jetzt irgendwie nicht.
Was möchtest Du denn jetzt genau an Hilfe von uns?

 

[Smily]

Verstehe es auch nicht ganz. Den Virus hast doch. Und der Verbreitungsweg ist eigentlich immer der selbe.
Dubiose Seiten angesurft, dubiose Sachen runter geladen. Tolle Bildschirmschoner oder so.
Und der Klassiker, Email auf gemacht, Anhang geöffnet.

 

[purzelbär]

Servus Purzelbär, geht doch darum zu wissen was es war oder würdest du das nicht auch gerne wissen bei dir?

Wenn ich es in Erfahrung bringen könnte, würde mich es auch interessieren was für ein Ransomware Trojaner da aktiv war, aber egal welcher Ransomware Trojaner aktiv war, einem solchen System würde ich nicht mehr vertrauen und wie schon gesagt schleunigst ein Systembackup einspielen denn das überlebt kein Schädling(wenn das Systembackup gemacht wurde als der PC clean war).

 

[cyberpirate]

Keiner weiss alles. Kein Problem also. Aber was möchtest Du jetzt?

 

[t0x]

Ich möchte den Verbreitungsweg wissen. Bzw. wie der Nutzer sich den eingefangen hat.
Außerdem wusste ich ja zu Beginn des Threads nicht was es mit der Anmeldemaske auf sich hat.

Dass es einer der bekannten Wege ist (Anhang, Drive-by-Download, usw...) ist ja klar. Es gibt in jeder größeren Firma ein paar Spezialisten die man explizit vor bestimmten E-Mails usw. warnen muss, sonst fruchtet es nicht.

 

[|SoulReaver|]

Bei uns im Betrieb ist man den Weg gegangen, dass Mitarbeiter Berechtigungsschlüssel haben. Auf diese Art und weise wird schon mal gut ausgeschlossen, dass Mitarbeiter die es nicht brauchen ins Netz gehen, sich XY anschauen oder laden usw. Weiters ist festgelegt, dass Mitarbeiter die Berechtigt sind ins Netz zu gehen verantwortlich dafür sind wenn festgestellt wird das der Mitarbeiter durch "Spielereien" das Betriebssystem infiziert hat heran gezogen wird. Das hört sich jetzt total schlimm an war aber eine Maßnahme, weil in einem Betrieb indem es auch Patente, Entwicklungen usw. gibt der Schaden einfach immense ist.

Das alles schützt natürlich nicht, wenn Personen im Betrieb ohne nach zu denken Mails mit Anhang usw. blind aufmachen. Hier muss man die Leute sensibilisieren ganz klar.

 

[purzelbär]

Und weiterhin wird reininterpretiert es gäbe keine Backups und keine IT usw...
Einfach unmögliches Verhalten einiger Nutzer hier.

keiner von uns wusste nach deinem ersten Posting das du in deiner Firma für die IT zuständig bist und wir wussten auch nichts davon ob es Backups gibt oder nicht. Es gibt ja genug Firmen, gerade kleinere Betriebe, die sich nicht oder unzureichend um Backups kümmern und dann losheulen wenn Locky, Cerber, Goldeneye oder ähnliche Ransomware bei denen "einbricht".

 

[firexs]

Oben steht doch Locky. Also normalerweise per Email den Anhang geöffnet und blind den Anweisungen gefolgt und Makros aktiviert. Dabei einen schwachen Virenscanner verwendet, der dies nicht verhindert hat, das man soweit erst kommt als Benutzer.

lg
fire

 

[IRON67]

....Dabei einen schwachen Virenscanner verwendet, der dies nicht verhindert hat...

Das klappt auch mit "starken" Virenscannern. Muss man wissen, will es aber nicht glauben, gelle?

 

[firexs]

@IRON67: Mein Mailsicherheitssystem filtert täglich bis zu 10 Viren heraus, davon im Schnitt 1-2 Locky Varianten und seit September etwa 15 verschiedene. Sollte die Email dann immer noch beim Benutzer ankommen, dann definitiv OHNE Anhang. Und als letztes: Nur Benutzerrechte für Benutzer.
Mit 'starkem Virenscanner' war nicht nur eine Software gemeint, hab mich da evtl ungenau ausgedrückt.

 

[t0x]

Ja die Virenscanner präsentieren sich gerade allesamt nicht von der Schokoladenseite. Auch Goldeneye hat letztens kräftig zugeschlagen.
Wir haben derzeit einen Schnitt von ungefähr 1200 Virenmails am Tag welche ausgefiltert werden. Größtenteils Locky Varianten. Warum einer wohl durchkam konnten wir bisher nicht klären.

 

[IRON67]

...Warum einer wohl durchkam konnten wir bisher nicht klären.

Kann ich dir sagen. Die Filter haben versagt. Kommt jetzt nicht wirklich überraschend, oder etwa doch?