Locky wütet in Deutschland, 5k infektionen pro Stunde Einstellungen

[SLE]

Alles richtig und auch sehr schöne und informative Grafik für den gesamten Infektionsprozess. Die Kette könnte in der Regel aber bei Punkt 4 immer unterbrochen werden. Und zwar ohne jegliche Zusatzsoftware.

Ja, wenn man REAKTIV denkt (dann sogar eher, da viele Provider scannen). Aber Signaturen lassen immer wieder mal was durch: alter Hut.

[Schattenfang]

@SLE

Oh sry, ich habe mich mit den Zahlen vertan (Punkt 5 statt 4). Ich meinte eigentlich das Öffnen des Nutzers des Anhangs. Mit diesem Punkt steht und fällt die gesamte Prozesskette - unabhängig von AV- oder Spezialprogrammen.

Der Beitrag wurde von Schattenfang bearbeitet: 21.02.2016, 15:40

[SLE]

Ja aber wie gesagt nur in diesem Falle. Der Infektionsweg kann ja kürzer sein und beim Download beginnen oder bei der fail.exe.

[Schattenfang]

Ja aber wie gesagt nur in diesem Falle. Der Infektionsweg kann ja kürzer sein und beim Download beginnen oder bei der fail.exe.

Definitiv. Aber ausführen muss man schon irgendwas. Außer es kommt über Exploitweg. Aber auch das kann man zu 99% selbst steuern, indem man auf gewisse anfällige Anwendungen einfach verzichtet.

[Solution-Design]

wieso "machtlos"?
1) Einfach E-Mail-Inhalt (TEXT) lesen und verstehen - dann wird es in 99% der Fälle klar, dass es keine Leistungen der Fa.Schnitt und Co. in Anspruch je genommen worden waren und die Rechnung ein Irrläufer ist und gelöscht werden soll.
2) für das restliche 1% gilt: Anhang erst speichern, dann in Sandbox/VM öffnen.
Schwierig ohne Ende ist das Ganze, oder...

Aus dem Kontext reißen, dass kannte ich bisher nur bei den Öffentlich Rechtlichen.

Wer hunderte Emails liest, begibt sich auch in Gefahr, mal den falschen Knopf zu drücken. Zumal es sich nicht bei allen ankommenden Mails um Word-Dateien handelt. Privat sehe ich die "Gefahr" eher als "nicht vorhanden".

Berufliches Umfeld... sind bei einigen Firmen Anhänge direkt verboten; andere Firmen verbieten ausführbare Dateien bzw. gefährliche Anhänge auch innerhalb eines Archivs. Letzteres dürfte eher der Standard sein. Makro-Funktionen bzw. deren Einstellungen werden in vielen Firmen dem Nutzer überlassen.

Das Ergebnis, dass mal eben 48 Krankenhäuser lahmgelegt werden, ist nicht so ganz ungewöhnlich. Sicherlich wäre da etwas zu vermeiden gewesen (bessere Admins, bessere Software, Schulung...), aber es ist passiert und wird so immer wieder passieren. Jetzt ist die Sicherheitssoftware gefragt.

[simracer]

wieso "machtlos"?
1) Einfach E-Mail-Inhalt (TEXT) lesen und verstehen - dann wird es in 99% der Fälle klar, dass es keine Leistungen der Fa.Schnitt und Co. in Anspruch je genommen worden waren und die Rechnung ein Irrläufer ist und gelöscht werden soll.
2) für das restliche 1% gilt: Anhang erst speichern, dann in Sandbox/VM öffnen.

Schwierig ohne Ende ist das Ganze, oder...

Rene-gad, Locky wird anscheinend nicht nur per E-Mail Anhänge verteilt:

Nachtrag vom 19. Februar 2016, 20:28 Uhr

Wie das Sicherheitsunternehmen Kaspersky berichtet, verbreitet sich das Erpresserprogramm nicht nur über infizierte E-Mails. "Zudem haben wir auch einige legitime Websites entdeckt, auf denen die Locky-Schadsoftware platziert wird. Besucht ein Nutzer - mit entsprechenden Software-Schwachstellen auf seinem Rechner - eine solche Seite, versucht sich Locky automatisch auf diesem Rechner zu installieren", teilte das Unternehmen am Freitag mit.

Nach Angaben eines Golem-Lesers lädt die infizierte Excel-Version das Programm eiasus.exe nach. Auch dieses befinde sich im Verzeichnis C:\Users\USERNAME\AppData\Local\Temp.

Quelle: golem.de

[Schattenfang]

Rene-gad, Locky wird anscheinend nicht nur per E-Mail Anhänge verteilt:

Ich liebe solche Statements, wie die von Kaspersky. Statt zu sagen, auf welchen Webseiten welche Software-Schwachstellen ausgenutzt werden und wie genau sich der Infektionsweg gestaltet, lese ich aus so etwas immer heraus: Das Internet ist so ein gefährlicher Ort, kaufen sie Kaspersky. Wir wissen bescheid

[Rene-gad]

Aus dem Kontext reißen, dass kannte ich bisher nur bei den Öffentlich Rechtlichen.

jetzt weißt du, dass es noch ein paar Menschen gibt, die so was tun

Wer hunderte Emails liest, begibt sich auch in Gefahr, mal den falschen Knopf zu drücken.

wer hunderte E-Mails LIEST begibt sich in keine Gefahr. Wer diese zuerst öffnet, führt Anhang aus und erst dann LIEST - schon.

Das Ergebnis, dass mal eben 48 Krankenhäuser lahmgelegt werden, ist nicht so ganz ungewöhnlich. Sicherlich wäre da etwas zu vermeiden gewesen (bessere Admins, bessere Software, Schulung...), aber es ist passiert und wird so immer wieder passieren. Jetzt ist die Sicherheitssoftware gefragt.

ich kenne die Ransom-Problematik aus dem russischen Kaspersky-Forum; in den ehem. UdSSR-Ländern ist die Plage schon seit Jahren weit verbreitet und die entsprechenden Hilfe-Anfragen im Forum liegen bei gefühlten 99% aller Anfragen.
Die Admins können hier gar nichts, alles liegt am Benutzer.
Und wer öffnet die E-Mail-Attachments? I.d.R. die Azubis der Smartphone-Generation, die heilig daran glaubt, dass alles, was ihm geschickt wurde ist für ihn/sie bestimmt oder aus der purer Neugier. Das ist m.E. mit dem SMS-Am-Steuer-Schreiben vergleichbar: mir passiert ja gar nichts, da ich ein Super-Fahrer bin.

Der Beitrag wurde von Rene-gad bearbeitet: 22.02.2016, 09:36

[Schattenfang]

Laut Heise wird Locky nun auch über Js-Dateien verschickt. Aber es bleibt das gleiche Spiel: Rühre ich nichts an, passiert auch nichts.

Zwei kleine Unternehmen in meinem Umfeld hat es heute aber erwischt. Die gesamte IT-Infrastruktur ist den Bach heruntergegangen. Wir brauchen einfach mehr Aufklärung. Insbesondere für Menschen, die sich mit PCs nur beschäftigen, weil sie sie auf der Arbeit hier und da brauchen. Und ordentliche Admins natürlich auch

[Solution-Design]

Nun, z.B. Bewerbungen werden in entsprechenden Formaten geliefert, somit auch als Anhang geöffnet. Und wenn dann etwas passiert, sehe ich die Schuld schon beim Admin, der Software/respektive deren Konfiguration, der MA-Schulung... *.js oder gar *.exe gehören gebannt. ZIPs, RARs, 7zips erlaubt, verschlüsselte Archive verboten. Word-Makros auf dem Email-empfangenden PC gebannt, Acrobat ähnlich konfiguriert, alles per Gruppenrichtlinienverwaltung. Der Email empfangende PC sollte vom Rest entsprechend abgekoppelt funktionieren... Es gibt tausende Möglichkeiten. Dazu bitte aktuelle Software, einen Topp-Admin und kein Windows POS XP mit Hobby-Admins.

Es gibt Konzerne, welche von Außen keine Anhänge erlauben. Andere wiederum, da kann der Nutzer tun und lassen, wie er Lust hat. Käse so was. Klar, am Ende gibt es immer noch den Menschen.


[OT
SMS am Steuer gibt es nicht, sind doch wichtige Facebook-, bzw. WhatsApp-Chats....<grins>... Ich höre hinter mir (obwohl ich da schon sehr oft darauf achte, was wenn vorhanden, meine Hinterfrau macht) regelmäßig quietschende Reifen von tippernden 20-jährigen Girlies. Und die denken gar nicht http://www.mopo.de/hamburg/surfen--simsen-...-steuer-4866798 [/OT]

[citro]

Wieder was interessantes von Semper über den Locky und die Cloud

umbenannte Dateien (.dll) nicht verschlüsselt, sowie verschobene Dateien in's Windows-System auch nicht (noch)

https://www.youtube.com/watch?v=gdMN4pZG-a8

[Solution-Design]

http://www.heise.de/security/meldung/Admin...er-3116470.html

[citro]

Kann Locky beim Ausführen in einem eingeschränkten Benutzerkonto Schaden anrichten ?

Inwieweit könnte sich Locky im Netzwerk über ein Smartphone (Android) verbreiten ?

[Gast_blueX_*]

Inwieweit könnte sich Locky im Netzwerk über ein Smartphone (Android) verbreiten ?

Locky für Windows kann auf deinem Android Smartphone keinen Schaden anrichten. Eine "Infektion" unter Android ist ja nur durch Installation einer App möglich. Die Skripte sind für Android absolut unschädlich.

Allerdings gibt es selbstverständlich auch Ransomware und Locker für ein Android System.

Die Gefahr für Android halte ich generell für überschaubar.

[citro]

Im Netzwerk könnte ein infizierter PC eigentlich auch Dateien auf dem Smartphone verschlüsseln, oder ?

und noch die Frage, wie weit er sich im eingeschränkten Benutzerkonto breit machen kann

[Solution-Design]

Im Netzwerk könnte ein infizierter PC eigentlich auch Dateien auf dem Smartphone verschlüsseln, oder ?
und noch die Frage, wie weit er sich im eingeschränkten Benutzerkonto breit machen kann

Wurde alles schon beantwortet. Die Malware kann alles das, was ein Benutzer kann. Kannst du eine Datei umbenennen? Er kann es auch. Hat man Angst vor sich selbst? Dann hilft nur noch dies: http://mechbgon.com/srp/

[Gast_blueX_*]

Im Netzwerk könnte ein infizierter PC eigentlich auch Dateien auf dem Smartphone verschlüsseln, oder ?

Dies ist aufgrund der Struktur von Android ausgeschlossen. Es gibt keine Malware, die auf Android Schaden anrichten kann, wenn man nicht explizit die App installiert.

[Solution-Design]

http://www.rokop-security.de/index.php?s=&...st&p=396936

Neben http://www.surfright.nl/en/alert mir das bisher einzige Schutzprogramm, welches verlässlich arbeitet.

[benjii]

Ich liebe solche Statements, wie die von Kaspersky. Statt zu sagen, auf welchen Webseiten welche Software-Schwachstellen ausgenutzt werden und wie genau sich der Infektionsweg gestaltet, lese ich aus so etwas immer heraus: Das Internet ist so ein gefährlicher Ort, kaufen sie Kaspersky. Wir wissen bescheid

Deswegen denken auch alle, dass die Verbreiter von Viren dabei Skimützen tragen...

[Andy89]

Ist etwas bekannt in welchem Dateiformat Locky verteilt wird ? Sind das .exe Dateien oder auch andere ?

Bisher war mein Postfach von infektiösen Mails immer verschont geblieben, heute habe ich nun auch etwas bekommen. Ob es sich nun konkret um Locky handelt weiß ich nicht und kann ich auf meinem Gerät auch nicht ausprobieren.
Die Datei ist zweimal gezippt und die letztendliche Datei um die es sich handelt heißt Anwaltskanzlei X & Y bla bla.com, so fällt die .com Dateiendung natürlich weniger auf.

Mein aktuelles Antiviren Programm Emsisoft Anti-Maleware erkennt die Datei nicht als Schädling, weder gezippt noch die .com Datei.
Bei Virustotal erkennen Eset, GData und McAffe die gezippte Datei als Trojaner, bei der entpackten .com Datei Eset, GData und Qihoo-360.

Ansonsten ist die E-Mail in fehlerfreien deutsch geschrieben mit richtiger Anrede und kommt von der Adresse inkasso@giropay.de.

Der Beitrag wurde von Andy89 bearbeitet: 02.03.2016, 16:48