Ransomware jeglicher Art

Ich glaube, dass es ratsam ist ein Diskussion zu erstellen mit dem Thema des zurzeit wütenden Tojaners Locky.

Dies soll dazu dienen, egal wer an neue Informationen rankommt, dass auch alle hier schnellstens davon erfahren. Natürlich sollten auch erste Erfahrungen mit Tojaner nicht verheimlicht werden....

http://www.heise.de/security/meldung/Krypto-Trojaner-Locky-wuetet-in-Deutschland-Ueber-5000-Infektionen-pro-Stunde-3111774.html

@wydi
Naja, ich sag' mal so. Wenn solche Veröffentlichungen herauskommen, haben die großen Sicherheitsfirmen (Symantec, AVIRA, Kasperski, etc.) schon mind. drei, vier Tage vorher davon Wind bekommen und Updates rausgegeben, die von den div. Virenscannern eh im Hintergrund updaten.
Naja - und beim "normalen" surfen reichen normalerweise auch die windoofeigenen Schutzmechanismen. Wenn man sich natürlich auf irgendwelchen Drecksseiten rumtreibt, darf man sich nicht wundern, daß man sich dabei irgendeinen Dreck einfängt.

Naja, und als Linuxerin bin ich ja praktisch imunisiert gegen solcherlei Ungeziefer ;)

Hier ein Video dazu:

https://www.youtube.com/watch?v=331Fzhc_6nM (Video: Krypto-Trojaner Locky)

Hier sieht man auch ein bisschen vom Virus selbst. Er wird aktiv. Und er wird untersucht.

Ist Locky bereits aktiv, dann kann man nur noch versuchen, zu retten, was noch zu retten ist. Ertappt man den Schädling auf frischer Tat, sollte man Windows umgehend herunterfahren oder notfalls den Stecker ziehen, um die Verschlüsselung zu stoppen. Anschließend startet man den Rechner mit einer Antiviren-DVD wie Desinfec't und versucht den Schädling zu eliminieren.

Windows legt automatisch Schattenkopien diverser Dateien an, aus denen man die bereits verschlüsselten Dateien mit etwas Glück wiederherstellen kann. Sie können versuchen, die Schattenkopien von einem sauberen System mit Tools wie ShadowExplorer zu retten. Allzu große Hoffnungen sollte man sich allerdings nicht machen, da Locky sämtliche Schattenkopien routinemäßig löscht. Allerdings sind heise Security einige Fälle bekannt, in denen dieser perfide Mechanismus nicht ausgelöst wurde. Ferner können Sie versuchen, die gelöschten Originale mit Forensik-Tools wie Recuva, Autopsy oder photorec zu rekonstruieren.

Hilft das alles nichts, sollten Sie die verschlüsselten Dateien unbedingt aufheben. Oftmals wird nach einiger Zeit ein Weg bekannt, die Verschlüsselung der Erpressungs-Trojaner zu knacken – wie etwa im Fall von TeslaCrypt 2.

http://www.heise.de/security/meldung/Krypto-Trojaner-Locky-Was-tun-gegen-den-Windows-Schaedling-3112408.html

Neben dem, gibt es auf der Website auch Tipps zur vorsorge. Möchte nicht den ganzen Artikel Zitieren, also empfehle ich auf den Link zum Artikel zu klicken. (Ist sicher kein Virus *hust* :troll: )

Das ich mich als Ubuntu-User über einen Makro Virus informiere, der nur in Microsoft Office bzw. Word funktioniert :D

Was soll man dazu sagen, ich denke, Locky kann nur für größere Rechnernetzwerke (Firmen, etc.) gefährlich werden.
Aber auch das wird sich bald legen, sobald diverse AV-Hersteller die Signaturen in eure Heuristik aufgenommen haben, denn da werden (hoff ich doch) selbst hektische Emailanhangklicker gewarnt.

Natürlich haben die AV-Hersteller bessere Quellen bzw sind uns immer ein bisschen voraus. Geht nur darum, dass wenn die etwas rausbringen und nicht jeder täglich bei heise vorbeischaut, dass er dann vll. von hier die neusten News erfährt.
Klar, Linux ist da erstmal außen vor.

@Izaya
Danke für das Video, sehr interessant mal hinter die Kulissen zu schauen... ;)


Klar große Firmen sind natürlich sehr stark betroffen und kann echt ekelig werden, wenn plötzlich alle Netzlaufwerke verschlüsselt sind, nur kann man ja auch an die Privaten Haushalte denken. Deshalb sollte man sich irgendwo her ne externe Festplatte holen und alles wichtige sichern, damit wenn dann der Fall eintritt und man zu unvorsichtig war der "schaden" nicht allzugroß ist.

Die wichtigste Sicherheitsmaßnahme steht auch im Heise-Artikel:

Öffnen Sie keine Dateianhänge von Mails, an deren Vertrauenswürdigkeit auch nur der geringste Zweifel besteht.

http://www.heise.de/security/meldung/Krypto-Trojaner-Locky-Was-tun-gegen-den-Windows-Schaedling-3112408.html

Ich bin dennoch der Meinung, dass es Malware gibt, die weitaus größeren Schaden anrichten (können).
Ich mein, Ransomware gibts schon länger, ich hab früher die Erfahrung mit Gpcode gemacht. Ist zwar ärgerlich, noch ärgerlicher wäre ein leeres Konto, finde ich.

Bleibt abzuwarten, wie schwer es ist, diesen Trojaner zu entfernen und wer weiß, welche "Zusatzfunktionen" Locky mitbringt..

@Carbine

Wenn man als Privatperson so eine Scheiße aufn Rechner kriegt, keinesfalls zahlen sondern System neu aufsetzen. Natürlich sollte man vorher so schlau gewesen sein, Backups auf einer Externen angelegt zu haben.

@El_Gato

Ich weiß schon, ich hab mich mit Malware und deren Bekämpfung vor ein paar Jahren aus Interesse beschäftigt und war diesbezüglich auf Foren unterwegs, welche sich mit Malwarebekämpfung spezialisiert haben.
Daher bin ich auch indirekt mit Ransomware in Berührung gekommen.

warum Backups? man packt sein Gepäck ja auch nicht in den Motorraum sondern separat in den Kofferraum, dann fängt das Gepäck auch kein Feuer wenn der Motor hoch geht. Und man sollte eben immer 2 Unterhosen im Gepäck haben, eine sicher im Schrank und eine zum Tragen.

Würde auch kein Sinn ergeben, wenn die Externe mit Oma's Teneriffa-Urlaubsbilder permanent am Rechner hängt. :D

Wobei, habe jetzt nirgends rauslesen können, dass Locky auch nachträglich verschlüsselt, oder hab ichs überlesen?

@Micha007

Micha007 schrieb:Wenn man sich natürlich auf irgendwelchen Drecksseiten rumtreibt, darf man sich nicht wundern, daß man sich dabei irgendeinen Dreck einfängt.

Das ist aber jetzt schon ein bisschen einfach, oder? Was sind denn "Drecksseiten"? Treibt sich ein Fraunhofer-Institut in Bayreuth da auch rum?

@wydi
Soweit ich gehört habe, wird der Trojaner über Mail und einen Dateianhang verbreitet.
Die Idee ist ja nun so neu nicht und jeder PC-Anfänger lernt, keine Dateien unbekannter Herkunft zu öffnen.
Aber wie man sieht bleibt die Masche weiterhin erfolgreich. Leider.

Naja wenigstens bleiben dieses Mal die ganz Armen verschont.
Die meisten dieser Erpresser Trojaner zielten bisher auf die Unerfahren Nutzer ab.

Da der dieses Mal über ein Dukument daher kommt falls es passiert ist.. man auch als erfahrener Nutzer keine Chance mehr hat kann man sich die Zielgruppe denken.
Finde ich schon arg kriminell.

Micha007 schrieb:Naja - und beim "normalen" surfen reichen normalerweise auch die windoofeigenen Schutzmechanismen. Wenn man sich natürlich auf irgendwelchen Drecksseiten rumtreibt, darf man sich nicht wundern, daß man sich dabei irgendeinen Dreck einfängt.

Der kommt auch über E-Mails mit scheinbaren Rechnungen.
Als Unternehmen wo man ständig mit Rechungen zu tun hat kann man da schon neugierig werden was da noch zu bezahlen wäre.

@Jairo

Als Unternehmen wo man ständig mit Rechnungen zu tun hat

Also ich als Chef würde jeden fristlos entlassen, der Rechnungen (im Zip,Exe,doc-Format) per Mail (!) ernst nimmt und neugierig drauf los klickt. Die Firmen, die ich kenne, haben nur mit Rechnungen in Schriftform zu tun.

Wer auf alles klickt was nicht bei drei auf die Bäume ist hat selbst schuld.

Blöd nur wenn es ein Krankenhaus erwischt wie in den Nachrichten erwähnt.
Den Schuldigen der das KH lahmgelegt hat würde ich höchstpersönlich mit Anlauf in den allerwertesten treten.

Carbine schrieb:Also ich als Chef würde jeden fristlos entlassen, der Rechnungen (im Zip,Exe,doc-Format) per Mail (!) ernst nimmt und neugierig drauf los klickt. Die Firmen, die ich kenne, haben nur mit Rechnungen in Schriftform zu tun.

Glaube aber trotzdem das man in Unternehmen mit Dokumenten zu tun hat.

Und sei es nur selten der Lebenslauf von einem Bewerber der komischerweise in einem Dokument daher kommt.

Ist schwierig einer einfachen Büroangestellten zu sagen welche Dokumente geöffnet werden dürfen und welche nicht.

@DiePandorra

DiePandorra schrieb:Das ist aber jetzt schon ein bisschen einfach, oder? Was sind denn "Drecksseiten"?

Mein post ist eigentlich nicht zwingend an den hier genannten Trojander gerichtet, sondern soll eher an das eigene Surfverhalten appelieren und daran erinnern, wo man sich denn im Netz herumtreibt.
Sicher, hier geht's um einen Trojaner, welcher beim öffnen der Mail eigentlich erst aus dem Netz heruntergeladen wird (wie im Video auch sehr gut dargestellt wird). Und wie auch im Video gesagt wird, das man eben keine mails öffnet, deren Absender man nicht kennt.




@Carbine

Carbine schrieb:Also ich als Chef würde jeden fristlos entlassen, der Rechnungen (im Zip,Exe,doc-Format) per Mail (!) ernst nimmt und neugierig drauf los klickt.

Stimmt, denn

1. wird man in der mail entweder persönlich oder als Firmenname angesprochen
2. In der mail taucht die Kundennummer auf und

3. Rechnungen kommen vorzugsweise immer im PDF-Format

Und wenn die Buchhaltung da einfach alle mails öffnet, ohne den Absender oder die mail selbst zu kontrollieren ist schon mal schlampig. Dann aber noch den Anhang öffnen - obwohl die Buchhaltung wissen müßte, daß Rechnungen stets im PDF-Format angehängt werden, wäre dann wohl tatsächlich ein Kündigungsgrund (oder zumindest eine Abmehnung)

Naja gut, wer weiß schon, welche Hansel auf dem Bürostuhl hocken.
Trotzdem erstaunlich, wieviele Menschen doch noch auf diese Tour reinfallen, ich kann's einfach nicht nachvollziehen.
Ich dachte eigentlich, nach spätestens der Conficker-Geschichte sind die meisten für das Thema Malware sensibilisiert worden.


Edit:
Vorallem, ich weiß von einem Kollegen, dass in einer (gut organisierten) Firma klar ersichtlich ist, von wem man Rechnungen zu erwarten hat.
Was ich auch erwähnen will, ist, dass es falsch ist, sein komplettes Vertrauen in AV-Software zu setzen. Denn ist man erstmal infiziert, hilft die installierte Antivirensoftware recht wenig, da man sich über die Schadensroutine der Malware meist nicht im Klaren ist.
Der Rechner ist somit als kompromittiert zu betrachten..

@Jairo

Jairo schrieb:Und sei es nur selten der Lebenslauf von einem Bewerber der komischerweise in einem Dokument daher kommt.

Den man aber als PDF anhängen sollte. Denn dieses Format gewährleistet, das es so beim Empfänger angezeigt wird, wie man es auch verfaßt hat (was bei anderen Dokumentformaten nicht zwingend der Fall ist). Denn viele Unternehmen nutzen für Ihre Korrespondenz Open-(Libre-)Office (oder arbeiten unter Mac oder Linux) und da kann es nun mal zu Formatierungsproblemen bei der Anzeige kommen weshalb man sich (im Büroalltag) inoffiziell auf das PDF-Format geeinigt hat.