Ransomware jeglicher Art

@Carbine

Carbine schrieb:Was ich auch erwähnen will, ist, dass es falsch ist, sein komplettes Vertrauen in AV-Software zu setzen. Denn ist man erstmal infiziert, hilft die installierte Antivirensoftware recht wenig, da man sich über die Schadensroutine der Malware meist nicht im Klaren ist.
Der Rechner ist somit als kompromittiert zu betrachten..

Von daher ist es nicht nur in größeren Unternehmen, sondern auch in Mittelständische- und Kleinunternehmen sinnig, den Server hinter einem Proxy laufen zu lassen.

@Micha007
Ich wollte meinen Post hauptsächlich an den Privaten richten, da ich irgendwie, warum auch immer, davon ausgehe, dass Firmen klug genug sind, das entsprechend geschulte Personal an ihre Server zu lassen :D

Ich bekomm nur häufig mit, wie man hier und da das Halbwissen verbreitet "Installier die Vollversion von XYZ und du bist sicher", was einfach schlichtweg naiv ist.

Ja toll jetzt ist er in meinem E-Mail Postfach auch. Habe gerade nachgeschaut Word Dokument ist angehängt. So eine Frechheit.

Jairo schrieb:Ist schwierig einer einfachen Büroangestellten zu sagen welche Dokumente geöffnet werden dürfen und welche nicht.

Die Firmen könnten mindestens sagen, dass man Makros nicht zulassen sollte. Das begreift denke ich jeder.
Und Makro-Viren sind schon seit ner Weile wieder im Umlauf.

Wenn man ein leeres Dokument sieht, dass ein Makro ausführen will...

Oder haben alle eingestellt, dass Makros sofort ausgeführt werden? Wäre ziemlich dumm.

Izaya schrieb:Die Firmen könnten mindestens sagen, dass man Makros nicht zulassen sollte. Das begreift denke ich jeder.
Und Makro-Viren sind schon seit ner Weile wieder im Umlauf.

Wenn man ein leeres Dokument sieht, dass ein Makro ausführen will...

Oder haben alle eingestellt, dass Makros sofort ausgeführt werden? Wäre ziemlich dumm.

Wenn nur ein leeres Dokument zu sehen ist und eine Meldung kommt Makros aktivieren dann wird man das auch machen.
Deswegen werden wahrscheinlich so viele infiziert.
Zumindest weiß ich in meiner Region von kleineren Unternehmen da sitzen Angestellte im Büro die machen ihre Arbeit gut aber wissen nicht einmal was Makros sind.
Man hat auch nicht die Zeit um sich bei jeder Mail Gedanken zu machen ist sie gut oder böse.

Die müssen schnell gecheckt werden 50 Mails jeden Tag unter Stress da wird automatisch einfach nur noch geöffnet.

Jairo schrieb:Wenn nur ein leeres Dokument zu sehen ist und eine Meldung kommt Makros aktivieren dann wird man das auch machen.

Nicht das Gegenteil?

Und wie gesagt, Makro-Viren sind seit neuster Zeit wieder "In". Da könnte man den Mitarbeitern schon sagen, was Makros sind bzw. das sie diese nicht unbedacht starten lassen sollten. Ist nicht besonders kompliziert.
Könnte man in einer Mail an alle Angestellten erklären.

Jairo schrieb:Die müssen schnell gecheckt werden 50 Mails jeden Tag unter Stress da wird automatisch einfach nur noch geöffnet.

Wer so routiniert ist, dass er 50 Mails am Tag schafft, wird auch zwischen "guten" und "bösen" Mails unterscheiden können.
Und was bringt es den Anhang zu öffnen, ohne die Mail richtig zu lesen? Und wer sie richtig liest und allein die 49 vorherigen Mails des Tages als Vergleich hat, wird die Mail wahrscheinlich verdächtig finden.

Außerdem, wenn man die Mails nur öffnet, kann man das nicht checken nennen.

Izaya schrieb:Nicht das Gegenteil?

Nein normaerweise nicht jeder wird im Internet so erzogen Aktivieren=Sehen
Wenn ich JavaScript nicht aktiviere sehe ich keine Bild. Flash, Cockies, muss Alles aktiviert werden um bestimmte Dinge zu sehen.
Bei Locky steht im Word "Inhalt aktivieren?"
Natürlich klickt man drauf man hat es doch nie anders gelernt.
Selbst wenn man ein ungutes Gefühl hat es zielt auch auf die Neugier ab bei Rechnungen will man das schon genau wissen.

@Jairo

also wenn ich mich richtig am das Video erinnere, steht da "SICHERHEITSWARNUNG makros deaktiviert Inhalt aktivieren?"

also wenn da in caps SICHERHEITSWARNUNG steht und ich keine Ahnung habe was makros sind, würde ich erst irgendjemandem fragen, was los sei.

jedenfalls wenn ich gerade an einem PC der Firma bin

Guten Morgen,

wer auf seinem Rechner wichtige Daten hat und nicht wenigstens einmal pro Tag eine Sicherungskopie macht ist selber schuld wenn die Daten verloren gehen. Aber ist ja alles Neuland. Genauso wie ein Virus der sich im Flash-Speicher des BIOS des Rechners oder im Flash-Speicher eines Laufwerkes einnistet.

Die Sicherungskopie muss auf einem externem Medium erstellt werden und wenigstens die Sicherungskopien der letzten 10 Tage enthalten.
Beispiel: Sicherungskopie 1 auf externem Laufwerk 1
Sicherungskopie 2 auf externem Laufwerk 2
u.s.w.
Sicherungskopie 11 auf externem Laufwerk 1
Sicherungskopie 12 auf externem Laufwerk 2
u.s.w.

Die externen Laufwerke dürfen nur für die Zeit der Sicherungskopie mit dem Rechner verbunden sein und der Rechner muss für diese Zeit vom Netzwerk getrennt sein.

Wer das nicht macht und sich Locky auf den Rechner geholt hat und seine Daten braucht muss halt zahlen.
Summe, Währung und Zahlungsweg steht ja dann auf dem Bildschirm.
Nach dem Zahlungseingang kommt dann auch sehr schnell das Programm zum entsperren.

Und ja die Leute liefern wirklich. Haben unter anderem schon Kliniken ausprobiert.
Sicherheit kostet halt Geld entweder vorher oder hinterher Geld und Ärger.


Venerdi

Es gibt keine Viren die sich in irgendwelche Flash-Speicher oder in ein BIOS "einnisten" können.
Mir ist nur ein Virus bekannt, wo das BIOS überschreiben konnte und der nennt sich CIH und das war vor 17 Jahren.
Wenn ich falsch liegen wollte, will ich Beweise mit Quellen.

Bei uns in der Firma ist Macro in Office aktiviert, deswegen weil zahlreiche Dokumente Makros verwenden die wir produktiv brauchen. Die Idee der Chef Leute entlassen sollte welchen eine solchen Anhang öffnen: Meiner Erfahrung nach läuft es andersrum; der Chef selbst öffnet solche Anhänge und pisst dann die IT an, weil die Malware durch das System kam.

Ausserdem ist nur Anhänge öffnen deren Absender man kennt in der Firma Utopie..wer weiss wie viele Aufträge dadurch durch die Lappen gehen. Natürlich ist mir auch klar, dass viele User manchmal dummes tun, auf alles klicken wie grad lustig und das gilt es natürlich abzustellen..aber mach das mal mit 12'000 Mitarbeitenden die wir sind..irgendwer klickt bestimmt. Lustig ist dann wenn die Mail Intern weitergeleitet wird an alle@Firma nur so "zur allgemeinen Info" ;)

mayday schrieb:Ausserdem ist nur Anhänge öffnen deren Absender man kennt in der Firma Utopie..wer weiss wie viele Aufträge dadurch durch die Lappen gehen.

Ist aber selten, dass bei einer ernsthaften Mail keine Kontaktadresse zur Rückfrage dabei ist.

Klickt da wirklich wer auf den Anhang einer textlosen Mail mit "Rechnung" im Betreff?

mayday schrieb:der Chef selbst öffnet solche Anhänge und pisst dann die IT an, weil die Malware durch das System kam

Klar muss der Chef bei solchem Verhalten in die Offensive gehen. Der wird wieder einen Chef haben, und wenn der erfährt ... dann sieht's blöd aus. Auch in Bezug auf Regressforderungen.

Obwohl ... die IT lässt den Chef mit Adminrechten am Terminal fuhrwerken?

Narrenschiffer schrieb:Klickt da wirklich wer auf den Anhang einer textlosen Mail mit "Rechnung" im Betreff?

Normalerweise nicht aber ist nicht ausgeschlossen..oft ist ja noch ein Text dabei und gefakte Signatur oder gar Absender..und ich muss sagen, manche Schadmails wirken sogar ziemlich seriös. Neulich war ein Kunde von uns infiziert und hatte ungewollt einen Mailbot am Laufen, der versendete dann frischfröhlich Malware an all seine Partner im Mailadressbuch.

Tipp: Bei Verdacht kann Anhang auch ungeöffnet gespeichert und bei Virustotal hochgeladen werden. Da wird es dann mit über 40 verschiedenen Virenscannern gescannt: https://www.virustotal.com/de/

Ja die Virenscanner, hatte auch mal versucht eine Viren verseuchte Festplatte an einem Testrechner mit aktuellem Virenscanner anzustecken. Ergebnis, kaum war die Festplatte angelaufen war der Testrechner übernommen und der Virenscanner platt.

@Carbine

Guten Morgen,

auf Deinen Wunsch hin hier eine Quelle.

http://www.heise.de/security/meldung/BIOS-Rootkit-LightEater-In-den-dunklen-Ecken-abseits-des-Betriebssystems-2582782.html

Weitere Quellen liefert sogar GOOGLE mit dem Suchbegriffen "Bios Virus" und "Bios Virus 2015" in großer Anzahl.


Venerdi

venerdi schrieb:...wer auf seinem Rechner wichtige Daten hat und nicht wenigstens einmal pro Tag eine Sicherungskopie macht ist selber schuld wenn die Daten verloren gehen...

Eine schöne Theorie aber nicht jeder Virus oder Trojaner zeigt sich gleich, bedeutet man sichert den Virus praktisch mit und falls es sich um eine externe Festplatte oder USB-Stick handelt dann werden diese ebenfalls infiziert. Einzig eine Sicherung auf CD, DVD oder andere nicht wiederbeschreibbare Medien sind im Prinzip sicher. Mal angenommen der Virus verändert Dateigröße und Dateinamen nicht, dann merkt man es erst wenn die Dateien auch tatsächlich verwendet werden.

Guten Abend

@all
Wer Locky noch nicht auf dem Rechner hat kann sich möglicherweise vor einem Befall schützen.
Einige Antivirusprogramme versprechen einen Schutz vor Locky.

Anbei ein Link zu CHIP wo es auch den entsprechenden Programme gibt.

http://www.chip.de/news/5.000-Infektionen-pro-Stunde-Trojaner-bedroht-deutsche-PCs_89915776.html



@taren
Ich hatte geschrieben das wenigstens Sicherungskopien der letzten 10 Tage vorhanden sein müssen und das für jeden tag eine eigene Festplatte zu verwenden ist.


Venerdi

oder Windows Schattenkopie! Das müsste auch gehen nachdem Locky gewütet hat. Diese Snapshots ersetzen zwar kein Vollbackup (HD Ausfall), aber das ist super praktisch fürs Tägeliche. Die meisten nutzen es nur nicht, warum eigentlich nicht? http://www.t-online.de/computer/software/windows/id_47727152/schattenkopien-die-unauffaellige-datei-reserve-in-windows.html

Das lässt sich dann auch im Windows Taskplaner eintragen, so dass periodisch automatisch Schattenkopien erstellt werden.

@mayday

mayday schrieb:oder Windows Schattenkopie!

Im Teil des Heise-Artikels den ich geschrieben habe, wurden Schattenkopien angesprochen:

Izaya schrieb:Windows legt automatisch Schattenkopien diverser Dateien an, aus denen man die bereits verschlüsselten Dateien mit etwas Glück wiederherstellen kann. Sie können versuchen, die Schattenkopien von einem sauberen System mit Tools wie ShadowExplorer zu retten. Allzu große Hoffnungen sollte man sich allerdings nicht machen, da Locky sämtliche Schattenkopien routinemäßig löscht. Allerdings sind heise Security einige Fälle bekannt, in denen dieser perfide Mechanismus nicht ausgelöst wurde. Ferner können Sie versuchen, die gelöschten Originale mit Forensik-Tools wie Recuva, Autopsy oder photorec zu rekonstruieren.

http://www.heise.de/security/meldung/Krypto-Trojaner-Locky-Was-tun-gegen-den-Windows-Schaedling-3112408.html

Aber praktisch ist es allemal. Das Stimmt.

@Izaya
ok die haben also doch an alles gedacht, perfides Ding :(