alle infos hier
http://www.heise.de/newsticker/meldung/Krypto-Trojaner-Locky-wuetet-in-Deutschland-Ueber-5000-Infektionen-pro-Stunde-3111774.html
Bin mal gespannt was die großen Virenscanner dazu sagen (Norton, Kaspersky, Bitdefender usw...)
5.000 pro Stunde ist schon sehr viel, wenn die Zahl stimmt.
Schlimm ist, dass man recht machtlos ist, gegen diesen Mist. Wenn jemand mehrere hundert Emails pro Tag vorselektiert, danach weiterleitet...einfach weil es seine Aufgabe ist, dann ist die Gefahr auch entsprechend groß, dass solch ein Mist passiert. Das Betriebssystem selbst bietet recht wenig Schutzmöglichkeiten. Da müssen intelligente verhaltensbasierende Programme her. Aber keine eierlegenden Wollmilchsäue, welche schon bei einfachen Aufgaben versagen, oder den Nutzer extrem einschränken.
...und die Virenscanner sagen immer das selbe...Zweiter
Ein Semper-Video dazu
https://www.youtube.com/watch?v=331Fzhc_6nM
Ich bekam gestern auf Anfrage per PN von einem User des TB ein Locky File in eine ZIP gepackt und es wurde sowohl beim entpacken als auch beim Ausführen von Avast erkannt: http://abload.de/image.php?img=bild1fdkjw.png http://abload.de/image.php?img=bild249knh.png http://abload.de/image.php?img=bild3atjye.png Man sollte sich aber nicht darauf verlassen ob das installierte AV eine Ransomware Variante erkennt oder nicht und das System davor schützt oder nicht: Wichtiger ist es keine unbekannten E-Mail Anhänge zu öffnen, das System mit den installierten Programmen möglichst immer up to date zu haben und Sicherungen vom System sowie von wichtigen persönlichen Daten auf zum Beispiel einer USB Festplatte zu haben. Hab dann auch ein zuvor erstelltes Komplettbackup mit allen 3 Partitionen mit der Paragon Boot CD eingespielt.
Ich habe auch ganz schön Schiss, muss ich schon gestehen, wer nicht.
Man hat alles mögliche installiert, und da kommen solche Banden und zerstören alles,
es ist bald wie Krieg, echt. Bewege mich schon im Internet nur noch auf bestimmte Seiten, und lese bei
bekannten Foren, die mir vertrauenswürdig , sowie Nachrichten bei t online.
ps. übrigens : ich habe was in meiner Signatur von Zemana und da habe ich einen Tread eröffnet. http://www.rokop-security.de/index.php?s=&showtopic=24460&view=findpost&p=396686 hat aber nichts mit dem hier zu tun.
Homepages traue ich mich bald auch nicht mehr zu klicken, da ich ja beim BA vote. usw.... ich habe regelrecht Schiss.
Ich sehe für Heimanwender überhaupt keinen Grund zur Panik. Unbekannte Email-Anhänge werden eben generell nicht angerührt. Office-Programme lassen sich im Bezug zu Makros mittlerweile wunderbar und sicher konfigurieren. Flashplayer und Java kommen auf dem Heim-PC sowieso nicht mehr auf die Platte - wozu auch? Ich habe keines der beiden Programme jemals für meine umfangreichen Internetaktivitäten gebraucht. Ein ordentlich konfigurierter Browser mit umfänglichen Skriptschutz und Sandbox sollte mittlerweile auch Standard sein. Dazu ein ordentliches AV-Programm sowie eine saubere Rechte-Policy auf dem Benutzerkonto einrichten. Dass das System komplett auf dem aktuellen Stand sein muss, ist doch auch eine Selbstverständlichkeit.
Da können noch so viele Lockys pro Stunde kommen, es passiert einfach nichts.
Für Unternehmen ist die Sache sicherlich wesentlich prekärer. Da kann man solche Dinge nicht so leicht eindämmen, wie auf Heim-PCs. Generell gibt es aber auch gute Möglichkeiten, ein schädliches Nutzerverhalten zu kompensieren. Für mich ist das alles halb so wild, nicht wirklich neu und auch kein Grund zur Sorge. Auch die Erkenntnis, dass AV-Programme "Zweiter" schreien, ist ja seit Jahren hinlänglich bekannt. Bevor ich mir aber irgendwelche pseudoprofessionellen Anti-Locki-Programme oder sonst etwas auf dem PC installiere, mache ich ihn lieber selbst fitt gegen solche Infektionen.
Spannend finde ich an dieser sache eigentlich nur, ob Wege und Mittel der Entschlüsselung gefunden werden können und wie AV-programme auf unterschiedliche Varianten reagieren.
@Schattenfang
ich finde das Du das sehr gut geschrieben hast und sehr beruhigend für mich, danke ! Für andere sicherlich auch.
Ist eine Infektion auch über WPS Office oder dem einfachen Wordpad möglich ?
Nein, können weder Makro noch VBS.
Danke
Alles richtig und auch sehr schöne und informative Grafik für den gesamten Infektionsprozess. Die Kette könnte in der Regel aber bei Punkt 4 immer unterbrochen werden. Und zwar ohne jegliche Zusatzsoftware.
@SLE
Oh sry, ich habe mich mit den Zahlen vertan (Punkt 5 statt 4). Ich meinte eigentlich das Öffnen des Nutzers des Anhangs. Mit diesem Punkt steht und fällt die gesamte Prozesskette - unabhängig von AV- oder Spezialprogrammen.
Ja aber wie gesagt nur in diesem Falle. Der Infektionsweg kann ja kürzer sein und beim Download beginnen oder bei der fail.exe.
Laut Heise wird Locky nun auch über Js-Dateien verschickt. Aber es bleibt das gleiche Spiel: Rühre ich nichts an, passiert auch nichts.
Zwei kleine Unternehmen in meinem Umfeld hat es heute aber erwischt. Die gesamte IT-Infrastruktur ist den Bach heruntergegangen. Wir brauchen einfach mehr Aufklärung. Insbesondere für Menschen, die sich mit PCs nur beschäftigen, weil sie sie auf der Arbeit hier und da brauchen. Und ordentliche Admins natürlich auch
Nun, z.B. Bewerbungen werden in entsprechenden Formaten geliefert, somit auch als Anhang geöffnet. Und wenn dann etwas passiert, sehe ich die Schuld schon beim Admin, der Software/respektive deren Konfiguration, der MA-Schulung... *.js oder gar *.exe gehören gebannt. ZIPs, RARs, 7zips erlaubt, verschlüsselte Archive verboten. Word-Makros auf dem Email-empfangenden PC gebannt, Acrobat ähnlich konfiguriert, alles per Gruppenrichtlinienverwaltung. Der Email empfangende PC sollte vom Rest entsprechend abgekoppelt funktionieren... Es gibt tausende Möglichkeiten. Dazu bitte aktuelle Software, einen Topp-Admin und kein Windows POS XP mit Hobby-Admins.
Es gibt Konzerne, welche von Außen keine Anhänge erlauben. Andere wiederum, da kann der Nutzer tun und lassen, wie er Lust hat. Käse so was. Klar, am Ende gibt es immer noch den Menschen.
[OT
SMS am Steuer gibt es nicht, sind doch wichtige Facebook-, bzw. WhatsApp-Chats....<grins>... Ich höre hinter mir (obwohl ich da schon sehr oft darauf achte, was wenn vorhanden, meine Hinterfrau macht) regelmäßig quietschende Reifen von tippernden 20-jährigen Girlies. Und die denken gar nicht http://www.mopo.de/hamburg/surfen--simsen--telefonieren-der-irrsinn-am-steuer-4866798 [/OT]
Wieder was interessantes von Semper über den Locky und die Cloud
umbenannte Dateien (.dll) nicht verschlüsselt, sowie verschobene Dateien in's Windows-System auch nicht (noch)
https://www.youtube.com/watch?v=gdMN4pZG-a8
http://www.heise.de/security/meldung/Admins-aufgepasst-Krypto-Trojaner-befaellt-hunderte-Webserver-3116470.html
Kann Locky beim Ausführen in einem eingeschränkten Benutzerkonto Schaden anrichten ?
Inwieweit könnte sich Locky im Netzwerk über ein Smartphone (Android) verbreiten ?
Im Netzwerk könnte ein infizierter PC eigentlich auch Dateien auf dem Smartphone verschlüsseln, oder ?
und noch die Frage, wie weit er sich im eingeschränkten Benutzerkonto breit machen kann
http://www.rokop-security.de/index.php?s=&showtopic=24373&view=findpost&p=396936
Neben http://www.surfright.nl/en/alert mir das bisher einzige Schutzprogramm, welches verlässlich arbeitet.
Ist etwas bekannt in welchem Dateiformat Locky verteilt wird ? Sind das .exe Dateien oder auch andere ?
Bisher war mein Postfach von infektiösen Mails immer verschont geblieben, heute habe ich nun auch etwas bekommen. Ob es sich nun konkret um Locky handelt weiß ich nicht und kann ich auf meinem Gerät auch nicht ausprobieren.
Die Datei ist zweimal gezippt und die letztendliche Datei um die es sich handelt heißt Anwaltskanzlei X & Y bla bla.com, so fällt die .com Dateiendung natürlich weniger auf.
Mein aktuelles Antiviren Programm Emsisoft Anti-Maleware erkennt die Datei nicht als Schädling, weder gezippt noch die .com Datei.
Bei Virustotal erkennen Eset, GData und McAffe die gezippte Datei als Trojaner, bei der entpackten .com Datei Eset, GData und Qihoo-360.
Ansonsten ist die E-Mail in fehlerfreien deutsch geschrieben mit richtiger Anrede und kommt von der Adresse inkasso@giropay.de.
BKA-Warnung vor Locky enthält Virus: http://www.heise.de/security/meldung/BKA-Warnung-vor-Locky-enthaelt-Virus-3125820.html?wt_mc=rss.security.beitrag.atom Wetten das auch auf diese perverse Variante wieder genug unbedarfte User reinfallen und sich so erst recht ihren PC mit Locky infizieren
Sämtliche Varianten arbeiten im Benutzer-Modi, laden irgendeinen Warz kurz herunter und verschlüsseln dann auf Nutzerebene die Daten. Angegeben wird oft....der verschlüsselt auch dein Backup. Ja, aber nur, wenn der Benutzer selbst herankommt. Kann man auf das Backup nur mit Administratorrechten zugreifen, macht Locky nüscht.
Nur, weil ja viele ihre Daten als Image sichern (Programm muss dann eben vor Sicherung als Admin aufgerufen werden), oder eben mit Personal-Backup als normale Daten. Auch hier lässt sich das Programm als Admin starten und sichert in ein Verzeichnis, welches nur mit Admin-Rechten erreichbar ist.
Aktuell gibt es aufgrund der Benutzerrechte keinen Locky, welcher sich in den Arbeitsspeicher schaufelt und dann alles was greifbar ist, verschlüsselt. Es sind immer nur Daten betroffen, welche der "Benutzer" ändern kann.
Die Verwaltung hier hat wohl ein größeres Problem. Aber man hat bezahlt!!
http://www.stern.de/digital/computer/erpressungs-trojaner-legt-kleinstadt-lahm---und-die-zahlt-das-loesegeld-6731618.html
So langsam krieg ich die Krise. Jeder, aber wirklich ausnahmslos jeder, Malware-Trend geht an mir vorüber. Und Locky hab ich jetzt auch keinen!!
Da wütet so ein Teil regelrecht wie eine Naturgewalt über Deutschland und was passiert?? Was?????? Nix!
Menno!
...schrieb er und war fortan offline...
Mitnichten. Da jedoch nicht nur Locky über Deutschland wütet, sondern auch der Mod über Rokop, sind nachfolgende Beiträge in der Schnuddelecke versenkt worden.
Wie man auf verschiedenen Portalen lesen kann, gibt es nun auch einen Schädling für Mac OSX der dort verschlüsselt: OS X: Ransomware KeRanger infiziert Mac-Plattformen: Zum Beispiel bei Computerbase gibt es einen Bericht dazu: http://www.computerbase.de/2016-03/os-x-ransomware-keranger-infiziert-mac-plattformen/
Okay, also dass das Ding erst ein paar Tage später aktiv wird, das hat schon RootKit-Qualität Ansonsten wurde mal wieder was mit geklauten Zertifikaten veranstaltet. Das kennen wir ja schon von anderer Seite her (AVs als Beispiel).
Zur Sicherheit, vielleicht habt ihr die WEB-Seite schon aus den Kommentaren...
http://www.cvedetails.com/vulnerability-list/vendor_id-49/product_id-156/year-2016/Apple-Mac-Os-X.html
https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-32238/Microsoft-Windows-10.html
Prinzipiell müsste aufgrund des permanenten SandBox-Verhaltens Apples OS das sicherere Betriebssystem sein. Theoretisch. Na, wenigstens bleibt Linux bisher ausgespart. Bleibt eben ein Frickel-System (was eine blöde Tipperei, nur um ein paar VMware-Utilities ins Linux zu installieren...eben getan..Opa Beimer hätte da keine Chance gehabt)...für besondere Nutzer.
Wieviele ernsthafte Schädlinge gibt es für OS X? 60? 70? Mehr kann es fast nicht sein.
Was aber viele verdrängen: Windows-Malware ist für Apfelianer zwar harmlos; gleichwohl können Mac & Co. zur reinsten Virenschleuder werden. Quasi der Überträger, der selbst nicht erkrankt.
6500 mal heruntergeladen über einen BitTorrent-Client
http://www.heise.de/security/meldung/Mac-Ransomware-6500-Mal-heruntergeladen-3130169.html
Ich kenne vier Apple-User. Drei können nichts, haben sich dieses aus Lifestyle-Gründen erworben. Am iPhone bekommen sie nichts außer WhatsApp hin. Wenn was nicht klappt, drücken sie mir (WindowsPhone-Nutzer) das Teil in die Hand und ich soll es konfigurieren. Der Mac wird zum Surfen genutzt, oder ein paar Fotos vom Handy einladen, bissel Musik abspielen. Wenn ich ihnen dann ein Photoshop-Bild zusende, wird sofort gefragt...wie hast das gemacht.
Soll heißen, ob Apple-User oder Windows-User...kein Unterschied. Lediglich ist Apples OS von Grund auf etwas sicherer gestaltet, wenn es nicht gerade einige Exploits in OnThird-Software gibt. Aber selbst dann funktioniert ein Apple noch kindersichererer. Ich muss zugeben, ich finde das Mac-OS/OSX bescheiden. Nicht wegen des sicheren Unterbaus, sondern aufgrund der Bedienung. OS/2 war damals der Knaller. Wenn das weiterentwickelt ins Jahr 2017 gebeamt würde...auweia. Das wäre ein Konkurrent.
Aber jetzt hat jemand es geschafft, Apples Welt auf den Boden der Tatsachen zurückzuholen. Wobei wie beim Windows-Image/Dateiversionsverlauf, das Time-Machine-Backup aufgrund der Readonly-Rechte nicht betroffen ist. Nur, unter Windows... Wer nutzt das Windows-Image? Die meisten ONUs kommen nur mit Anleitung in die Systemsteuerung. Selbst auf "Erste Schritte" wird nicht geklickt. Ist ja viel zu viel Text. Es wird gerne irgendwelche Dritt-Images genutzt, diese aber in Verzeichnissen mit Nutzerrechten abgespeichert...Tolle Wurst. Das macht Windows selbst schon besser. So, mit der Drittsoftware im offenen Verzeichnis, da freut sich der Malware-Autor, wird direkt alles mitverschlüsselt.
Und deswegen haben Malware-Programmierer so viel Erfolg. Generation Facebook bis ins höhere Alter.
Ich kenne einige Mineralwassertrinker in meinem Umfeld. Grundsätzlich muss man ja nichts können, um Mineralwasser zu trinken......
Neuer Stoff in Sachen KeRanger:
Neue Locky-Variante scheitert grandios an Faulheit der Entwickler: Den Bericht gibt es bei winfuture.de: http://winfuture.de/news,91484.html
winfuture.de scheitert grandios an Faulheit des Redakteurs: wenn man schon einen Artikel abschreibt, ohne die Quelle zu nennen, sollte man wenigstens selbst ab und zu nachschauen, ob das Original angepasst wurde. Nix mit Locky...
Servus,
eine gute Frage??
http://blog.avira.com/de/locky-dridex-osterferien/
https://blogs.technet.microsoft.com/mmpc/2016/03/22/new-feature-in-office-2016-can-block-macros-and-help-prevent-infection/
Makros können blockiert werden, welche eine Verbindung ins Internet aufbauen wollen. Administratoren können bestimmen, dass per Mail oder Download erhaltene Makros aus dem Firmennetz grundsätzlich Daten aus dem Internet nachladen dürfen, andere jedoch nicht.
Makros aus dem Internet blockieren, in Microsoft Office 2016
Windows-Taste+R %systemroot%\PolicyDefinitions
Dort folgende Dateien hinzufügen
http://abload.de/image.php?img=aufnahme1vdqkx.gif
Anschließend den Gruppenrichtlinien-Editor öffnen. In der Suche die Buchstaben "Grup" eingeben schon seht ihr "Gruppenrichtlinien bearbeiten".
http://abload.de/image.php?img=aufnahme2ifj38.gif
http://abload.de/image.php?img=aufnahme3grsc6.gif
Petya Ransomware gegen 3 Anti-Ransomware Tools
https://www.youtube.com/watch?v=3YXYnAiSYrY
Nutzer von Avira haben sicher vor einigen Monaten diese Stellungnahme zum Erkennen von Locky gelesen: https://blog.avira.com/de/locky-in-the-cloud-with-ransomware/
Gestern hab ich zum ersten mal bewusst in der gratis Version von Avira an dem Rechner eines Kollegen die Werbung gesehen, mit einem Button "Jetzt vor Locky" schützen. Er hat sie leider so schnell weggeklickt, dass ich das Element nicht näher betrachten konnte, hat da jemand was von gehört bzw. ist obige Meldung inzwischen überholt in Sinne, dass es jetzt einen Schutz von Avira gegen Locky gibt?
Alles klar danke für die Antwort und Aufklärung. Kenne mich selbst nicht mit Avira aus, da ich es selbst nicht nutze. Die Einblendung hat mich nur aufhorchen lassen und große Fragezeichen bei mir erzeugt
Servus,
zur Info ein Video von Cerber2 Ransomware, einer von vielen!!
https://malwaretips.com/threads/cerber2-ransomware-the-latest-version-demonstration-of-attack-video-review.62088/#post-530864
schönen Tag euch allen
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)