Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Habt Ihr auch schon Mails mit Locky Virus bekommen ?

Mitglied: 1Werner1

1Werner1 (Level 1) - Jetzt verbinden

22.02.2016, aktualisiert 04.03.2016, 3994 Aufrufe, 23 Kommentare, 1 Danke

Moin,

wir haben jetzt auch eine Mail mit Locky Virus bekommen.



9d910dbd9289642d6ae8b89a40a6c3da - Klicke auf das Bild, um es zu vergrößern


Die Absenderadresse hat immer die Absenderadresse der Firmendomän von eurer Firma !!

Die Word Datei ist 47 KB groß ( sehr unwahrscheinlich für eine Rechnung !)


Ich habe in allen Word und Excel Programme die Macrofunktion in unserer Firma deaktiviert !



http://www.heise.de/newsticker/meldung/Krypto-Trojaner-Locky-Was-tun-ge ...

Gruss

Werner
Mitglied: Valexus
LÖSUNG 22.02.2016, aktualisiert 04.03.2016
Ja natürlich, kommen leider sehr oft bei unserem Provider durch...

Die mit einem Makro versehen Word Datei wird nur leider von kaum einem Antiviren Programm erkannt:
https://www.virustotal.com/en/file/46afa0ba3452ffc886e03de80ef26844458da ...

VG
Val
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 22.02.2016, aktualisiert 04.03.2016
Zitat von 1Werner1:

Habt Ihr auch schon Mails mit Locky Virus bekommen ?

Keine Ahnung. Alle "bösartigen" Mails, die mir irendwelche unerwarteten Rechnungen bringen, werden bei mir gleich in der Rundablage entsorgt. Ab und zu, wenn ich neugierig bin, fische ich da eines raus und werfe es virutotal vor, um zu schauen, welches Schlangenöl es erkennt.

lks
Bitte warten ..
Mitglied: 126919
LÖSUNG 22.02.2016, aktualisiert 04.03.2016
Hi,
Mails mit Anhängen werden hier bei uns grundsätzlich alle von Attachments gestrippt. Wenn ein Kunde etc. pp Dateien übermitteln möchte bekommt dieser einen temporären einmaligen Upload-Link von uns für einen Upload zugeschickt (Das kann der User per Funktion in Outlook triggern). So besteht für die User in dieser Hinsicht keine Gefahr mehr sich mit Mails irgendetwas derartiges einzufangen.

fk
Bitte warten ..
Mitglied: 118080
LÖSUNG 22.02.2016, aktualisiert 04.03.2016
Wenn ich nur schon die Mailadresse im Zusammenhang mit dem Inhalt der Mail sehe wandert sowas bei mir direkt in den Papierkorb.
Wenn ich dann noch eine Rechnung für bestellte Reifen bekomme und ein Finanzdienstleister bin erst recht :D
Bitte warten ..
Mitglied: Looser27
LÖSUNG 22.02.2016, aktualisiert 04.03.2016
Bisher hat ESET da gute Arbeit geleistet und alles rausgefischt. Trotzdem habe ich alle Mitarbeiter sensibilisiert auf das zu achten, was da in den Posteingang geschneit kommt.
Bitte warten ..
Mitglied: beidermachtvongreyscull
LÖSUNG 22.02.2016, aktualisiert 04.03.2016
Darf ich Dich mal fragen, welche Lösung Ihr dafür einsetzt?
Ich suche tatsächlich etwas ähnliches auf OpenSource-Basis.

Mir ist OwnCloud als Möglichkeit bekannt, aber etwas simpleres wäre schön.
Bitte warten ..
Mitglied: 126919
LÖSUNG 22.02.2016, aktualisiert 04.03.2016
Zitat von beidermachtvongreyscull:
Darf ich Dich mal fragen, welche Lösung Ihr dafür einsetzt?
Ist alles selbst programmiert und an die Umgebung angepasst. Addon für Outlook ist ebenfalls customized und von uns selbst programmiert.
Bitte warten ..
Mitglied: Dani
LÖSUNG 22.02.2016, aktualisiert 04.03.2016
Moin,
Darf ich Dich mal fragen, welche Lösung Ihr dafür einsetzt?
Bei uns ist es ähnlich wie bei Kollege @Flachkoepper. WIr nutzen dazu ein Modul des Produkts NoSpamProxy?


Gruß,
Dani
Bitte warten ..
Mitglied: beidermachtvongreyscull
LÖSUNG 22.02.2016, aktualisiert 04.03.2016
Nicht schlecht.
Danke für Eure Antworten.
Bitte warten ..
Mitglied: the-buccaneer
LÖSUNG 22.02.2016, aktualisiert 04.03.2016
Hi Werner!

Die Absenderdomain ist meines Wissens nicht immer die Absenderdomain der eigenen Firma.

Ich kenne die mit der eigenen Domain aber auch und habe mir mal die Kopzeilen angesehen. Da taucht vor dem Mailserver mail.meinedomain.de nix anderes auf, sondern nur die IP des einliefernden Hosts. Kein Mailserver, der sich da verwewigt hätte. Das hat mich zu der Annahme geführt, dass die Mail direkt am Kundenmailserver eingeliefert wurde und dann habe ich den mal per Telnet getestet. Siehe da: Der Server akzeptiert ohne Authentifizierung Mails von jeder beliebigen IP solange sie an vom ihm verwatete Domains gehen...

Ein Hinweis meinerseits an den Provider hat zu keiner Reaktion geführt, der Kunde hat nun gewechselt zu einem Anbieter, der Authentifizierung für den Mailversand auch Ernst nimmt.

Buc
Bitte warten ..
Mitglied: kaiand1
LÖSUNG 23.02.2016, aktualisiert 04.03.2016
Ich bekomme nur 1-4 Spammails pro Woche derzeit was schon viel ist *g*
Aber wenn die neue Server zum Versenden haben gehen die ja erstmal durch die ganzen Prüflisten durch bevor die auf der Schwarzen Liste landen wegen Spam...
Dazu sind di Anhänge sicherlich Infifiert mit Irgendwas aber ka um was es sich genau Handelt da ich es nicht Ausprobiere...
Bitte warten ..
Mitglied: manu90
LÖSUNG 23.02.2016, aktualisiert 04.03.2016
hi zusammen,

Frage: läuft das Teil eigentlich nur als "Benutzer" ohne Adminrechte?
und gibts kein Tool, das mal sämtliche Ordner wo keine exe, dll etc. zu laufen hat sperrt?
und in den regulären Programmen "Neulinge" nur gegen "Erlaubnis" zulässt...

bye,
Bitte warten ..
Mitglied: Valexus
LÖSUNG 23.02.2016, aktualisiert 04.03.2016
Frage: läuft das Teil eigentlich nur als "Benutzer" ohne Adminrechte?
Ja. Alles worauf der User Zugriff hat wird dadurch verschlüsselt.

und gibts kein Tool, das mal sämtliche Ordner wo keine exe, dll etc. zu laufen hat sperrt?
"Software Restriction Policys" oder "Applocker" sind hier interessant.

und in den regulären Programmen "Neulinge" nur gegen "Erlaubnis" zulässt...
Dort kommen doch eh nur Programme rein welche vom Admin installiert wurden!

VG
Val
Bitte warten ..
Mitglied: hildefeuer
LÖSUNG 23.02.2016, aktualisiert 04.03.2016
In den letzten Wochen gefühlte 50 Stück. War alles dabei, vom DHL-Paktet mit Gebühren, bis zum Paypal Account der verifiziert werden soll, bis zum verifizieren von Amazon Account alles dabei und natürlich die Bestellungen die noch storniert werden können über tausende Euros. Gewonnen habe ich auch noch.
Schwierig wirds erst wenn die Rechnung der Telekom kommt.
Aber würde es denn helfen das nachladen des Trojaners im Router zu sperren? Die URL ist ja bekannt: hypertextprotokoll://WWW.bag-online.com
Oder ist das zu einfach? Kann ja nicht schaden!
Bitte warten ..
Mitglied: 1Werner1
23.02.2016 um 15:57 Uhr
Moin !

ich habe jetzt von Malwarebyte Anti-Ransomware auf jeden Pc installiert.
Die Software kann zwar nicht den Virus verhindern, aber soll in den Lage sein, sobald dieser Virus startet, das sie ihn stoppt.
So gehen vielleicht 1-2 Mails verloren, aber nicht alle Daten vom PC.
Immer noch besser als nichts zu machen !

https://blog.malwarebytes.org/news/2016/01/introducing-the-malwarebytes- ...

Gruss

Werner
Bitte warten ..
Mitglied: TuXHunt3R
LÖSUNG 23.02.2016, aktualisiert 04.03.2016
Moinsen

Jep, hatte in der Firma auch beinahe eine Infektion.
Einer meiner User hat eine Exceldatei geöffnet, die als Rechnung getarnt einem Mail angehängt war.
Mein Trendmicro kannte den aber schon. Er hat mir ca. 600 Mails geschickt . Er hat edel gekämpft.

Ich bin zum Rechner hingerannt, habe den Stromstecker gezogen und die Kiste frisch aufgesetzt.
Danach ein Vollscan über alle Server und PCs im Netz. Hat zum Glück keinen weiteren Schaden angerichtet.
Bitte warten ..
Mitglied: MrHToast
LÖSUNG 24.02.2016, aktualisiert 04.03.2016
Hallo,
wir hatten bisher einen Fall. Benutzer hat Stromstecker gezogen. Es wurden nur ein paar GB an Daten verschlüsselt. Alles wiederherstellt aus Backups. Es war eine Word Datei mit Makro und wurde vom Virenscanner nicht erkannt. Danach habe ich Makros per Gruppenrichtlinie deaktiviert in Word. Alles noch recht gut gelaufen durch schnelle Reaktion des Nutzers.
Bitte warten ..
Mitglied: babylon05
13.03.2016 um 20:33 Uhr
Hallo,
mich würde mal intressieren, was er alles verschlüsselt. Bei uns hat auch der Chef diesen Trojaner ins System verbreitet. Er hat auch ein paar GB auf dem Server verschlüsselt. Hatte noch ein großes Backup, was ich vor 3 Tagen gemacht hatte. Ich konnte nur erkennten, wenn ich mal einen Ordner verglichen hatte (dort waren Bilder, PDF's und Office Dokumente abgelegt), das der Trojaner nur Office Dokumente verschlüsselt hat. Unsere Datenbanken liefen zum Glück auf anderen Laufwerken, die kein Mitarbeiter auch Chef nicht Zugriff haben.

Da ja in den 3 Tagen auch noch andere Daten auf den Server neu dazu kamen, wäre mir dies sehr hilfreich, wenn einer eine Aussage treffen könnte, was er alles an Endungen befällt.

Danke
Bitte warten ..
Mitglied: kaiand1
13.03.2016 um 21:02 Uhr
Nun es gibt ja nun schon einige Versionen davon und jede ist da was anders...
Wenn du weißt welche Version dich/euch befallen hat kannst du nachschauen was alles Verschlüsselt wurde.
ABer so erstmal die Üblichen Dokumentenfiles...
Bitte warten ..
Mitglied: babylon05
13.03.2016, aktualisiert um 21:55 Uhr
Wie gesagt, mir sind aktuell nur Office Dokumente wie *.xls, *.xlsx, *.doc, *.docx, *.ppt, *.pptx aufgefallen

Alle jpg's, PDF's, dwg's waren alle noch da. Es könnte aber auch sein, da wir es noch rechtzeitig bemerkt haben. Dass der Trojaner erst mal mit den Office Dokumenten angefangen hat, kenne ja nicht seine Routine, ob er alles auf einmal befällt oder erst mal systematisch abarbeitet.

Ich könnte dir morgen sagen, was Avast zur Systemplatte vom Chef gesagt hat, weil er hat Locky erkannt von meinem PC aus, als ich die Platte als externes Laufwerk eingebunden hatte.

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: kaiand1
13.03.2016 um 23:55 Uhr
Nun es gibt Versionen die nur Office Dokumente befallen und andere die auch PDFs crypten...
Aber vom Programierweg her würde ich sagen das der jeden Ordner und dessen Unterordner den Inhalt durchgeht und alle Daten mit der Endung Cryptet.
Aber sei froh das der kein großen Schaden gemacht hat.
Andere haben lieber das Lösegeld Bezahlt da es für die Billiger war als diese zur Datenrettung zu bringen.
Wobei die wohl kein Backup gemacht haben da die ja sonst nicht zahlen bräuchten aber jeder hat da ja andere Vorgaben/Möglichkeiten sowie Sparen muss ja keiner.....
Bitte warten ..
Mitglied: Luke-x
26.05.2016 um 22:22 Uhr
Hi. Ich habe damals auch mit Malwarebytes versucht. Hat nicht geholfen. Ich denke hilft nur bei Adware. Locky ist ein Verschlüsselungsproblem. Dann auf der Seite: http://www.virus-entferner.de/2016/02/18/locky-virus-beseitigen-und-dat ... Emsisoft Programm instaliert. Macht alles sauber. auch hat mit Locky geschaft.

PS. Heute pfishing Mail von Paypal bekommen. Email Adresse stimmt. Und landet in Fach Freunde und Bekannte. Das heisst-wird gezielt verschickt.
Bitte warten ..
Mitglied: CherryXX
20.11.2016 um 10:07 Uhr
Hallo! Mir kamen die E-Mails mit einer Art von Locky - mit Thor Ransomware.
Bitte warten ..
Ähnliche Inhalte
Windows 10
Virus Locky infiziert das Bios ?
gelöst Frage von 1Werner1Windows 104 Kommentare

Moin, ich habe auf einen mit Locky Virus befallenden PC das Windows neu aufgesetzt, und natürlich auch das Programm ...

Windows 10

Microsoft bekämpft endlich Locky Virus

Information von 1Werner1Windows 1015 Kommentare

Moin, auf Chip kam diese Meldung: Windows Defender für Windows 10 mit Boot-Scanner Die bereits vor ein paar Tagen ...

Viren und Trojaner

Locky Virus - Antiransomware von Malwarebytes installieren

Tipp von 1Werner1Viren und Trojaner19 Kommentare

Moin ! ich habe jetzt von Malwarebyte Anti-Ransomware auf jeden Pc installiert. Die Software kann zwar nicht den Virus ...

Windows 10

Virus Locky - Antiransomware (neue Version)-Bitdefender Antiransomware (neue Version )

Tipp von 1Werner1Windows 1035 Kommentare

Moin, Es gibt eine neue Version von Antiransomware. Diese Software setze ich auf allen PC s ein, bislang hat ...

Neue Wissensbeiträge
Sicherheit
0-day Schwachstelle im Internet Explorer
Information von kgborn vor 19 StundenSicherheit

In Microsofts Internet Explorer gibt es eine 0-day Schwachstelle in der Scripting Engine, die faktisch alle Browser- und Windows-Versionen ...

Internet

Internet-Speedtest Automatisieren via Befehlszeile, cmd, Bash (Windows, Linux, FreeBSD, Mac)

Tipp von anteNope vor 1 TagInternet3 Kommentare

Also das hier ist irgendwie an mir vorbeigegangen. Einfacher geht es schlicht nicht mehr. Speedtest.cmd Via Aufgabenplanung stündlich oder ...

Administrator.de Feedback

Entwicklertagebuch: Codeblöcke auf unseren Seiten

Information von admtech vor 1 TagAdministrator.de Feedback8 Kommentare

Hallo Administrator User, Unsere Codeblöcke werden ab sofort anders dargestellt. Die Codeblöcke können nun direkt per Copy&Paste kopiert werden. ...

Humor (lol)
Internet - auch 2020 noch Neuland ?
Erfahrungsbericht von Henere vor 2 TagenHumor (lol)5 Kommentare

Heute eine Mail der Schule meiner Tochter bekommen. Blabla Umweltschutz bla bla siehe Anhang. Dumm nur: Da hab ich ...

Heiß diskutierte Inhalte
Windows Installation
Windows 10 setup USB zu bootfähigem ISO-USB
gelöst Frage von WhatEver007Windows Installation10 Kommentare

Hallo, es geht um die Frage wie oben. Ich hab einen Windows 10 setup USB Stick und will ihn ...

Sicherheits-Tools
Passwort Manager mit AD anbindung und dt. Oberfläche
gelöst Frage von sani007Sicherheits-Tools9 Kommentare

Hallo Ich suche kostengünstigen Passwort Manager mit AD-Anbindung mit weboberfläche. Am besten mit VM-Image zur schnellen Installation. Wenn es ...

Windows Userverwaltung
Laptop WAKE ON LAN problem
Frage von WhatEver007Windows Userverwaltung8 Kommentare

Hallo, wie oben beschrieben geht es um wake on lan. Wenn ich auf meinen Netzwerkadapter gehe sehe ich keine ...

Batch & Shell
Verhindern von überschreiben vorhandener Datensätze in CSV Datei
Frage von xxleon18xxBatch & Shell6 Kommentare

Hallo Zusammen, ich habe folgendes Problem und weis nicht wie ich es lösen soll. Ich habe ein Batch-Skript geschrieben ...