Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

4 Seiten V  < 1 2 3 4 >  
Reply to this topicStart new topic
> Locky wütet in Deutschland, 5k infektionen pro Stunde
SLE
Beitrag 21.02.2016, 15:19
Beitrag #21



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.991
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(Schattenfang @ 21.02.2016, 15:16) *
Alles richtig und auch sehr schöne und informative Grafik für den gesamten Infektionsprozess. Die Kette könnte in der Regel aber bei Punkt 4 immer unterbrochen werden. Und zwar ohne jegliche Zusatzsoftware.


Ja, wenn man REAKTIV denkt (dann sogar eher, da viele Provider scannen). Aber Signaturen lassen immer wieder mal was durch: alter Hut. smile.gif


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Schattenfang
Beitrag 21.02.2016, 15:40
Beitrag #22



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.639
Mitglied seit: 25.10.2010
Mitglieds-Nr.: 8.227

Betriebssystem:
Windows 10 Pro | x64
Virenscanner:
Emsisoft Anti-Malware 11
Firewall:
Windows Firewall



@SLE

Oh sry, ich habe mich mit den Zahlen vertan (Punkt 5 statt 4). Ich meinte eigentlich das Öffnen des Nutzers des Anhangs. Mit diesem Punkt steht und fällt die gesamte Prozesskette - unabhängig von AV- oder Spezialprogrammen.

Der Beitrag wurde von Schattenfang bearbeitet: 21.02.2016, 15:40
Go to the top of the page
 
+Quote Post
SLE
Beitrag 21.02.2016, 15:42
Beitrag #23



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.991
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



Ja aber wie gesagt nur in diesem Falle. Der Infektionsweg kann ja kürzer sein und beim Download beginnen oder bei der fail.exe.


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Schattenfang
Beitrag 21.02.2016, 16:26
Beitrag #24



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.639
Mitglied seit: 25.10.2010
Mitglieds-Nr.: 8.227

Betriebssystem:
Windows 10 Pro | x64
Virenscanner:
Emsisoft Anti-Malware 11
Firewall:
Windows Firewall



ZITAT(SLE @ 21.02.2016, 15:42) *
Ja aber wie gesagt nur in diesem Falle. Der Infektionsweg kann ja kürzer sein und beim Download beginnen oder bei der fail.exe.

Definitiv. Aber ausführen muss man schon irgendwas. Außer es kommt über Exploitweg. Aber auch das kann man zu 99% selbst steuern, indem man auf gewisse anfällige Anwendungen einfach verzichtet.
Go to the top of the page
 
+Quote Post
Solution-Design
Beitrag 21.02.2016, 16:43
Beitrag #25



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 11.168
Mitglied seit: 28.11.2004
Mitglieds-Nr.: 1.621

Betriebssystem:
Windows 10 pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Sandboxie | cFos



ZITAT(Rene-gad @ 21.02.2016, 14:15) *
wieso "machtlos"?
1) Einfach E-Mail-Inhalt (TEXT) lesen und verstehen - dann wird es in 99% der Fälle klar, dass es keine Leistungen der Fa.Schnitt und Co. in Anspruch je genommen worden waren und die Rechnung ein Irrläufer ist und gelöscht werden soll.
2) für das restliche 1% gilt: Anhang erst speichern, dann in Sandbox/VM öffnen.
Schwierig ohne Ende ist das Ganze, oder... ph34r.gif


Aus dem Kontext reißen, dass kannte ich bisher nur bei den Öffentlich Rechtlichen. whistling.gif

Wer hunderte Emails liest, begibt sich auch in Gefahr, mal den falschen Knopf zu drücken. Zumal es sich nicht bei allen ankommenden Mails um Word-Dateien handelt. Privat sehe ich die "Gefahr" eher als "nicht vorhanden".

Berufliches Umfeld... sind bei einigen Firmen Anhänge direkt verboten; andere Firmen verbieten ausführbare Dateien bzw. gefährliche Anhänge auch innerhalb eines Archivs. Letzteres dürfte eher der Standard sein. Makro-Funktionen bzw. deren Einstellungen werden in vielen Firmen dem Nutzer überlassen.

Das Ergebnis, dass mal eben 48 Krankenhäuser lahmgelegt werden, ist nicht so ganz ungewöhnlich. Sicherlich wäre da etwas zu vermeiden gewesen (bessere Admins, bessere Software, Schulung...), aber es ist passiert und wird so immer wieder passieren. Jetzt ist die Sicherheitssoftware gefragt.


--------------------
Yours sincerely

Uwe Kraatz
Go to the top of the page
 
+Quote Post
simracer
Beitrag 21.02.2016, 20:02
Beitrag #26



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.852
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 Prof.
Virenscanner:
Avast



ZITAT(Rene-gad @ 21.02.2016, 14:15) *
wieso "machtlos"?
1) Einfach E-Mail-Inhalt (TEXT) lesen und verstehen - dann wird es in 99% der Fälle klar, dass es keine Leistungen der Fa.Schnitt und Co. in Anspruch je genommen worden waren und die Rechnung ein Irrläufer ist und gelöscht werden soll.
2) für das restliche 1% gilt: Anhang erst speichern, dann in Sandbox/VM öffnen.

Schwierig ohne Ende ist das Ganze, oder... ph34r.gif

Rene-gad, Locky wird anscheinend nicht nur per E-Mail Anhänge verteilt:
ZITAT
Nachtrag vom 19. Februar 2016, 20:28 Uhr

Wie das Sicherheitsunternehmen Kaspersky berichtet, verbreitet sich das Erpresserprogramm nicht nur über infizierte E-Mails. "Zudem haben wir auch einige legitime Websites entdeckt, auf denen die Locky-Schadsoftware platziert wird. Besucht ein Nutzer - mit entsprechenden Software-Schwachstellen auf seinem Rechner - eine solche Seite, versucht sich Locky automatisch auf diesem Rechner zu installieren", teilte das Unternehmen am Freitag mit.

Nach Angaben eines Golem-Lesers lädt die infizierte Excel-Version das Programm eiasus.exe nach. Auch dieses befinde sich im Verzeichnis C:\Users\USERNAME\AppData\Local\Temp.
Quelle: golem.de


--------------------
Go to the top of the page
 
+Quote Post
Schattenfang
Beitrag 21.02.2016, 21:02
Beitrag #27



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.639
Mitglied seit: 25.10.2010
Mitglieds-Nr.: 8.227

Betriebssystem:
Windows 10 Pro | x64
Virenscanner:
Emsisoft Anti-Malware 11
Firewall:
Windows Firewall



ZITAT(simracer @ 21.02.2016, 20:02) *
Rene-gad, Locky wird anscheinend nicht nur per E-Mail Anhänge verteilt:

Ich liebe solche Statements, wie die von Kaspersky. Statt zu sagen, auf welchen Webseiten welche Software-Schwachstellen ausgenutzt werden und wie genau sich der Infektionsweg gestaltet, lese ich aus so etwas immer heraus: Das Internet ist so ein gefährlicher Ort, kaufen sie Kaspersky. Wir wissen bescheid ph34r.gif
Go to the top of the page
 
+Quote Post
Rene-gad
Beitrag 22.02.2016, 09:35
Beitrag #28



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.928
Mitglied seit: 14.08.2003
Wohnort: Linz
Mitglieds-Nr.: 149

Betriebssystem:
Windows 10 Home x64
Virenscanner:
Windows Defender
Firewall:
Router+Windows Firewall



ZITAT(Solution-Design @ 21.02.2016, 16:43) *
Aus dem Kontext reißen, dass kannte ich bisher nur bei den Öffentlich Rechtlichen.

jetzt weißt du, dass es noch ein paar Menschen gibt, die so was tun biggrin.gif
ZITAT(Solution-Design @ 21.02.2016, 16:43) *
Wer hunderte Emails liest, begibt sich auch in Gefahr, mal den falschen Knopf zu drücken.

wer hunderte E-Mails LIEST begibt sich in keine Gefahr. Wer diese zuerst öffnet, führt Anhang aus und erst dann LIEST - schon.
ZITAT(Solution-Design @ 21.02.2016, 16:43) *
Das Ergebnis, dass mal eben 48 Krankenhäuser lahmgelegt werden, ist nicht so ganz ungewöhnlich. Sicherlich wäre da etwas zu vermeiden gewesen (bessere Admins, bessere Software, Schulung...), aber es ist passiert und wird so immer wieder passieren. Jetzt ist die Sicherheitssoftware gefragt.

ich kenne die Ransom-Problematik aus dem russischen Kaspersky-Forum; in den ehem. UdSSR-Ländern ist die Plage schon seit Jahren weit verbreitet und die entsprechenden Hilfe-Anfragen im Forum liegen bei gefühlten 99% aller Anfragen.
Die Admins können hier gar nichts, alles liegt am Benutzer.
Und wer öffnet die E-Mail-Attachments? I.d.R. die Azubis der Smartphone-Generation, die heilig daran glaubt, dass alles, was ihm geschickt wurde ist für ihn/sie bestimmt oder aus der purer Neugier. Das ist m.E. mit dem SMS-Am-Steuer-Schreiben vergleichbar: mir passiert ja gar nichts, da ich ein Super-Fahrer bin.

Der Beitrag wurde von Rene-gad bearbeitet: 22.02.2016, 09:36


--------------------
Gruß
Rene-gad

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.
Roesen's Law
Go to the top of the page
 
+Quote Post
Schattenfang
Beitrag 22.02.2016, 18:53
Beitrag #29



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.639
Mitglied seit: 25.10.2010
Mitglieds-Nr.: 8.227

Betriebssystem:
Windows 10 Pro | x64
Virenscanner:
Emsisoft Anti-Malware 11
Firewall:
Windows Firewall



Laut Heise wird Locky nun auch über Js-Dateien verschickt. Aber es bleibt das gleiche Spiel: Rühre ich nichts an, passiert auch nichts.

Zwei kleine Unternehmen in meinem Umfeld hat es heute aber erwischt. Die gesamte IT-Infrastruktur ist den Bach heruntergegangen. Wir brauchen einfach mehr Aufklärung. Insbesondere für Menschen, die sich mit PCs nur beschäftigen, weil sie sie auf der Arbeit hier und da brauchen. Und ordentliche Admins natürlich auch ph34r.gif
Go to the top of the page
 
+Quote Post
Solution-Design
Beitrag 22.02.2016, 19:00
Beitrag #30



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 11.168
Mitglied seit: 28.11.2004
Mitglieds-Nr.: 1.621

Betriebssystem:
Windows 10 pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Sandboxie | cFos



Nun, z.B. Bewerbungen werden in entsprechenden Formaten geliefert, somit auch als Anhang geöffnet. Und wenn dann etwas passiert, sehe ich die Schuld schon beim Admin, der Software/respektive deren Konfiguration, der MA-Schulung... *.js oder gar *.exe gehören gebannt. ZIPs, RARs, 7zips erlaubt, verschlüsselte Archive verboten. Word-Makros auf dem Email-empfangenden PC gebannt, Acrobat ähnlich konfiguriert, alles per Gruppenrichtlinienverwaltung. Der Email empfangende PC sollte vom Rest entsprechend abgekoppelt funktionieren... Es gibt tausende Möglichkeiten. Dazu bitte aktuelle Software, einen Topp-Admin und kein Windows POS XP mit Hobby-Admins.

Es gibt Konzerne, welche von Außen keine Anhänge erlauben. Andere wiederum, da kann der Nutzer tun und lassen, wie er Lust hat. Käse so was. Klar, am Ende gibt es immer noch den Menschen.


[OT
SMS am Steuer gibt es nicht, sind doch wichtige Facebook-, bzw. WhatsApp-Chats....<grins>... Ich höre hinter mir (obwohl ich da schon sehr oft darauf achte, was wenn vorhanden, meine Hinterfrau macht) regelmäßig quietschende Reifen von tippernden 20-jährigen Girlies. Und die denken gar nicht whistling.gif http://www.mopo.de/hamburg/surfen--simsen-...-steuer-4866798 [/OT]


--------------------
Yours sincerely

Uwe Kraatz
Go to the top of the page
 
+Quote Post
citro
Beitrag 27.02.2016, 11:06
Beitrag #31



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.768
Mitglied seit: 06.10.2005
Mitglieds-Nr.: 3.709

Betriebssystem:
Win 10 x64
Virenscanner:
Avira free
Firewall:
Comodo



Wieder was interessantes von Semper über den Locky und die Cloud

umbenannte Dateien (.dll) nicht verschlüsselt, sowie verschobene Dateien in's Windows-System auch nicht (noch)

https://www.youtube.com/watch?v=gdMN4pZG-a8
Go to the top of the page
 
+Quote Post
Solution-Design
Beitrag 27.02.2016, 20:29
Beitrag #32



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 11.168
Mitglied seit: 28.11.2004
Mitglieds-Nr.: 1.621

Betriebssystem:
Windows 10 pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Sandboxie | cFos



http://www.heise.de/security/meldung/Admin...er-3116470.html


--------------------
Yours sincerely

Uwe Kraatz
Go to the top of the page
 
+Quote Post
citro
Beitrag 27.02.2016, 21:31
Beitrag #33



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.768
Mitglied seit: 06.10.2005
Mitglieds-Nr.: 3.709

Betriebssystem:
Win 10 x64
Virenscanner:
Avira free
Firewall:
Comodo



Kann Locky beim Ausführen in einem eingeschränkten Benutzerkonto Schaden anrichten ?

Inwieweit könnte sich Locky im Netzwerk über ein Smartphone (Android) verbreiten ?
Go to the top of the page
 
+Quote Post
blueX
Beitrag 27.02.2016, 21:45
Beitrag #34



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.003
Mitglied seit: 18.06.2005
Mitglieds-Nr.: 3.025



ZITAT(citro @ 27.02.2016, 21:31) *
Inwieweit könnte sich Locky im Netzwerk über ein Smartphone (Android) verbreiten ?


Locky für Windows kann auf deinem Android Smartphone keinen Schaden anrichten. Eine "Infektion" unter Android ist ja nur durch Installation einer App möglich. Die Skripte sind für Android absolut unschädlich.

Allerdings gibt es selbstverständlich auch Ransomware und Locker für ein Android System.

Die Gefahr für Android halte ich generell für überschaubar.

Go to the top of the page
 
+Quote Post
citro
Beitrag 27.02.2016, 21:54
Beitrag #35



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.768
Mitglied seit: 06.10.2005
Mitglieds-Nr.: 3.709

Betriebssystem:
Win 10 x64
Virenscanner:
Avira free
Firewall:
Comodo



Im Netzwerk könnte ein infizierter PC eigentlich auch Dateien auf dem Smartphone verschlüsseln, oder ?

und noch die Frage, wie weit er sich im eingeschränkten Benutzerkonto breit machen kann
Go to the top of the page
 
+Quote Post
Solution-Design
Beitrag 27.02.2016, 21:58
Beitrag #36



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 11.168
Mitglied seit: 28.11.2004
Mitglieds-Nr.: 1.621

Betriebssystem:
Windows 10 pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Sandboxie | cFos



ZITAT(citro @ 27.02.2016, 21:54) *
Im Netzwerk könnte ein infizierter PC eigentlich auch Dateien auf dem Smartphone verschlüsseln, oder ?
und noch die Frage, wie weit er sich im eingeschränkten Benutzerkonto breit machen kann


Wurde alles schon beantwortet. rolleyes.gif Die Malware kann alles das, was ein Benutzer kann. Kannst du eine Datei umbenennen? Er kann es auch. Hat man Angst vor sich selbst? Dann hilft nur noch dies: http://mechbgon.com/srp/


--------------------
Yours sincerely

Uwe Kraatz
Go to the top of the page
 
+Quote Post
blueX
Beitrag 27.02.2016, 21:59
Beitrag #37



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.003
Mitglied seit: 18.06.2005
Mitglieds-Nr.: 3.025



ZITAT(citro @ 27.02.2016, 21:54) *
Im Netzwerk könnte ein infizierter PC eigentlich auch Dateien auf dem Smartphone verschlüsseln, oder ?


Dies ist aufgrund der Struktur von Android ausgeschlossen. Es gibt keine Malware, die auf Android Schaden anrichten kann, wenn man nicht explizit die App installiert.

Go to the top of the page
 
+Quote Post
Solution-Design
Beitrag 28.02.2016, 17:39
Beitrag #38



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 11.168
Mitglied seit: 28.11.2004
Mitglieds-Nr.: 1.621

Betriebssystem:
Windows 10 pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Sandboxie | cFos



http://www.rokop-security.de/index.php?s=&...st&p=396936

Neben http://www.surfright.nl/en/alert mir das bisher einzige Schutzprogramm, welches verlässlich arbeitet.


--------------------
Yours sincerely

Uwe Kraatz
Go to the top of the page
 
+Quote Post
benjii
Beitrag 02.03.2016, 09:17
Beitrag #39



War schon mal da
*

Gruppe: Mitglieder
Beiträge: 10
Mitglied seit: 26.01.2016
Mitglieds-Nr.: 10.148

Betriebssystem:
Windows7



ZITAT(Schattenfang @ 21.02.2016, 21:02) *
Ich liebe solche Statements, wie die von Kaspersky. Statt zu sagen, auf welchen Webseiten welche Software-Schwachstellen ausgenutzt werden und wie genau sich der Infektionsweg gestaltet, lese ich aus so etwas immer heraus: Das Internet ist so ein gefährlicher Ort, kaufen sie Kaspersky. Wir wissen bescheid ph34r.gif


Deswegen denken auch alle, dass die Verbreiter von Viren dabei Skimützen tragen... unsure.gif


--------------------
"Before software can be reuseable it first has to be usable."
(Ralph Johnson)
Go to the top of the page
 
+Quote Post
Andy89
Beitrag 02.03.2016, 16:39
Beitrag #40



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 319
Mitglied seit: 18.08.2010
Mitglieds-Nr.: 8.162

Betriebssystem:
Win 10 64bit
Virenscanner:
Kaspersky 17 / Sandboxie
Firewall:
Win 10 Firewall



Ist etwas bekannt in welchem Dateiformat Locky verteilt wird ? Sind das .exe Dateien oder auch andere ?

Bisher war mein Postfach von infektiösen Mails immer verschont geblieben, heute habe ich nun auch etwas bekommen. Ob es sich nun konkret um Locky handelt weiß ich nicht und kann ich auf meinem Gerät auch nicht ausprobieren.
Die Datei ist zweimal gezippt und die letztendliche Datei um die es sich handelt heißt Anwaltskanzlei X & Y bla bla.com, so fällt die .com Dateiendung natürlich weniger auf.

Mein aktuelles Antiviren Programm Emsisoft Anti-Maleware erkennt die Datei nicht als Schädling, weder gezippt noch die .com Datei.
Bei Virustotal erkennen Eset, GData und McAffe die gezippte Datei als Trojaner, bei der entpackten .com Datei Eset, GData und Qihoo-360.

Ansonsten ist die E-Mail in fehlerfreien deutsch geschrieben mit richtiger Anrede und kommt von der Adresse inkasso@giropay.de.

Der Beitrag wurde von Andy89 bearbeitet: 02.03.2016, 16:48
Go to the top of the page
 
+Quote Post

4 Seiten V  < 1 2 3 4 >
Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 25.02.2017, 12:14
Impressum