36
Neue Ransomware verschlüsselt Dateien (*.locky)
Hallo zusammen,
auch wir haben bereits den ersten Betroffenen Kunden.
Noch haben wir keine Ahnung wo der Übeltäter herkommt.
Scheint auch gestern das erste Mal aufgetaucht zu sein.
Gruß, Thorsten
http://www.heise.de/forum/heise-Security/Themen-Hilfe/Viren-Wuermer/Neu ...
auch wir haben bereits den ersten Betroffenen Kunden.
Noch haben wir keine Ahnung wo der Übeltäter herkommt.
Scheint auch gestern das erste Mal aufgetaucht zu sein.
Gruß, Thorsten
http://www.heise.de/forum/heise-Security/Themen-Hilfe/Viren-Wuermer/Neu ...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 296378
Url: https://administrator.de/contentid/296378
Printed on: April 27, 2024 at 12:04 o'clock
36 Comments
Latest comment
seit gestern 15:12 haben wir bei uns in der Firma das gleiche Problem, schön war es das über den PC auch die Daten auf dem Server über das Netzlaufwerk verschlüsselt wurden.
was dem User nach heutiger Befragung auffiel war eine Mail mit .docm-Anhang die er geöffnet hatte.
Seit heute werden wir regelrecht bombardiert mit solchen Mails, habe den Anhang jetzt mit einer Filterregel im Exchange geblockt.
was dem User nach heutiger Befragung auffiel war eine Mail mit .docm-Anhang die er geöffnet hatte.
Seit heute werden wir regelrecht bombardiert mit solchen Mails, habe den Anhang jetzt mit einer Filterregel im Exchange geblockt.
Wir sind noch auf der Suche nach dem verursachenden Rechner.
Ja und auch der Server ist betroffen.
Was habt ihr als Gegenmaßnahme auf dem infizierten Rechner eingeleitet. Ein Virenscanner wird wohl akutell nichts finden.
Ja und auch der Server ist betroffen.
Was habt ihr als Gegenmaßnahme auf dem infizierten Rechner eingeleitet. Ein Virenscanner wird wohl akutell nichts finden.
auf dem Server findest du in jedem Order eine _locky_recover_instruction.txt, schau in den Eigenschaften welcher User diese Datei erstelt hat, so haben wie den befallenen PC identifiziert.
Alle PCs laufen mit Trend Micro Scanner, der hat nichts geblockt, mache jetzt 2 PCs platt und installiere neu, alles andere ist mir erstmal zu riskant.
Alle PCs laufen mit Trend Micro Scanner, der hat nichts geblockt, mache jetzt 2 PCs platt und installiere neu, alles andere ist mir erstmal zu riskant.
Auch wir haben seit gestern Nachmittag mit einem Kunden zu tun, welcher die locky ransomeware hat.
-id aus zahlen und buchstaben.locky
_Locky_recover_instruction.txt
heißen die Dateien.
Hat bis dato doc, docx, xls und xlsx verschlüsselt, pdf Dateien blieben bis jetzt unberührt.
Alle Systeme offline, nun Scannen wir die Systeme.
Ebenfalls Trend Micro installiert, support gestern Kontaktiert, leider ist dieser nicht fähig gelieferte Daten auszuwerten. Als Antwort habe ich bekommen wir haben jetzt englischen Telefonsupport! Super, wir leben in Deutschland!
Weiterhin wollten sie die Aktivierungscode haben.
Eine klasse Antwort nach 22 Stunden, denn der Aktivierungscode wurde gestern in der Anfragemail bereits mit Übersandt.
-id aus zahlen und buchstaben.locky
_Locky_recover_instruction.txt
heißen die Dateien.
Hat bis dato doc, docx, xls und xlsx verschlüsselt, pdf Dateien blieben bis jetzt unberührt.
Alle Systeme offline, nun Scannen wir die Systeme.
Ebenfalls Trend Micro installiert, support gestern Kontaktiert, leider ist dieser nicht fähig gelieferte Daten auszuwerten. Als Antwort habe ich bekommen wir haben jetzt englischen Telefonsupport! Super, wir leben in Deutschland!
Weiterhin wollten sie die Aktivierungscode haben.
Eine klasse Antwort nach 22 Stunden, denn der Aktivierungscode wurde gestern in der Anfragemail bereits mit Übersandt.
Der Trojane rliegt in der Regel unter C:\USER\User\Appdata\local\Temp\svchost.exe
im task Manager zu sehen als prozess svchost.exe³² ausgeführt als USer!
ladet euch
http://www.chip.de/downloads/Sophos-Virus-Removal-Tool_12993708.html
duaert bis drei stunden findet aber den trojaner definitive! Rechner vom netz nehmen, da er sich sonst weiter verbreitet!
im task Manager zu sehen als prozess svchost.exe³² ausgeführt als USer!
ladet euch
http://www.chip.de/downloads/Sophos-Virus-Removal-Tool_12993708.html
duaert bis drei stunden findet aber den trojaner definitive! Rechner vom netz nehmen, da er sich sonst weiter verbreitet!
Malwarebytes soll den Übeltäter wohl aktuell bereits erkennen.
Angaben ohne Gewähr, da wir aktuell noch andere Scanner am Laufen haben...
Angaben ohne Gewähr, da wir aktuell noch andere Scanner am Laufen haben...
Ich habe eine unbekannte Datei Datei gefunden, die Datei liegt in C:\Users\<username>\AppData\Local\temp\F45C.tmp, ein ausführbares Shellprogramm, welches bis dato von keinem Scanner gefunden wird.
Bei einem Kunden wurde auf einem betroffenen Client in C:\Users\<username>\AppData\Local\temp\64EA.tmp von Malwarebytes Anti Rootkit (nicht Malwarebytes Antimalware!) als Befall identifiziert.
Zuvor waren beide Browser (IE 11 und Firefox 44) sehr langsam, angeblich schon seit ca. 3.2 oder 4.2.2016.
Zuvor waren beide Browser (IE 11 und Firefox 44) sehr langsam, angeblich schon seit ca. 3.2 oder 4.2.2016.
Moin zusammen,
auch einer unserer Kunden ist seit 11:45 betroffen.
Trendmicro hat nichts erkannt auch Malewarebyte war blind ........
Auslöser war eine E-Mail mit Word-Anhang.
Gruß
Andreas
auch einer unserer Kunden ist seit 11:45 betroffen.
Trendmicro hat nichts erkannt auch Malewarebyte war blind ........
Auslöser war eine E-Mail mit Word-Anhang.
Gruß
Andreas
Unser Kaspersky Security Center hat folgendes gefunden. Laut dem Heise Bericht sieht das stark nach locky aus :/
In der E-Mail
Von: Carla <luoiioyzu@web.de>
An: Carla
CC:
Betreff: Hallo
wurden schädliche und/oder andere Objekte erkannt:
1. Meinfoto.jpg.rar/Meinfoto.jpg.exe enthält möglicherweise infiziertes Objekt UDS:DangerousObject.Multi.Generic.
Löschen von Objekten:
1. Meinfoto.jpg.rar/Meinfoto.jpg.exe wurde gelöscht.
In der E-Mail
Von: Carla <luoiioyzu@web.de>
An: Carla
CC:
Betreff: Hallo
wurden schädliche und/oder andere Objekte erkannt:
1. Meinfoto.jpg.rar/Meinfoto.jpg.exe enthält möglicherweise infiziertes Objekt UDS:DangerousObject.Multi.Generic.
Löschen von Objekten:
1. Meinfoto.jpg.rar/Meinfoto.jpg.exe wurde gelöscht.
Zitat von @abartel:
Moin zusammen,
auch einer unserer Kunden ist seit 11:45 betroffen.
Trendmicro hat nichts erkannt auch Malewarebyte war blind ........
Auslöser war eine E-Mail mit Word-Anhang.
Gruß
Andreas
Moin zusammen,
auch einer unserer Kunden ist seit 11:45 betroffen.
Trendmicro hat nichts erkannt auch Malewarebyte war blind ........
Auslöser war eine E-Mail mit Word-Anhang.
Gruß
Andreas
Von diesem Verhalten kann ich berichten. Gott sei dank hat es bei unserem Kunden bisher nur einen einzelnen PC und keine Netzwerkshares angegriffen. Aber der Benutzer berichtete auch, dass seit einigen Tagen der Browser extrem langsam gewesen sei.
Bei uns tauchte Locky gestern Mittag das erst Mal auf, als unser Fingerprint einen Mitarbeiter nicht erkannte. Als an dieser Workstation es keine Besserung gab, habe ich mich auf den Server geschaltet und dadurch wohl den Krypto-Vorgang gestoppt. In allen NUR freigegebenen Ordnern stoppt zu dieser Zeit der Vorgang. Hat jemand dafür eine Erklärung? Dann er über einen laufenden Teamviewer-Dienst passiert sein? Durch eine Cloudsync können wir ausschließen, dass externe Laptops dies über eine Sync zur Cloud verursacht haben, da die alle nicht infiziert sind. Unser Datensicherung hat zum Glück funktioniert und alles ist wieder da. Der AdwCleaner funktioniert ganz gut und erkennet Locky.
Wie ich gestern bereits geschrieben habe, habe ich die mir unbekannte Shell Datei F45C.tmp gefunden.
Diese habe ich zu Sophos geschickt zur Analyse, gestern Abend.
Diese Nacht kam das Ergebnis aus dem Sophos Lab: F45C.tmp -- identity created/updated(New detection Troj/TeslaC-AB)
Ich habe soeben die ensprechenden Updates gemacht, laufen lassen (als Boot CD-Variante).
Nun wurde er erkannt und entfernt.
Jetzt werden alle PCs auf welchen Trojaner gefunden werden neu installiert und die Daten auf dem Backup wiederhergestellt.
Diese habe ich zu Sophos geschickt zur Analyse, gestern Abend.
Diese Nacht kam das Ergebnis aus dem Sophos Lab: F45C.tmp -- identity created/updated(New detection Troj/TeslaC-AB)
Ich habe soeben die ensprechenden Updates gemacht, laufen lassen (als Boot CD-Variante).
Nun wurde er erkannt und entfernt.
Jetzt werden alle PCs auf welchen Trojaner gefunden werden neu installiert und die Daten auf dem Backup wiederhergestellt.
@bsk-it: Welche Software setzt ihr zum Scan ein?
adwcleaner
der locky schreibt sich auch versteckt in die Registry. wir haben dort einige Restdateien gefunden, daher wissen wir jetzt welche PC es ausgelöst hat. sucht auch mal nach "devpointer". wird in der registry auch unter locky erwähnt.
Wir setzen Kaspersky for Exchange ein. Sperrt ihr gewisse Dateitypen? Ich finde es schwierig z.B. DOC Dokumente zu Filtern. Denn oftmals kommen halt Bewerbungen in DOC Format ins Haus.
Habe jetzt auch einmal den Malwarebytes Anti Rootkit asuprobiert und konnte damit auchverdächtige Dateien ausfindig machen. Auch bei mir befanden sich die Dateien im temp-Verzeichniss, ebenso konnte ich über die Suche nach "Locky" in der Registry einen entsprechenden Einträg finden.
Ob sich damit jetzt das Problem gelöst hat bleibt noch abzuwarten.
Ob sich damit jetzt das Problem gelöst hat bleibt noch abzuwarten.
Ich bearbeite gerade einen befallenen Client-PC.
Ich habe eine Boot-CD von Sophos erstellt (https://www.sophos.com/de-de/support/knowledgebase/52011.aspx)
und den infizierten PC damit gestartet. Über Advanced die Option "disinfect" gewählt.
Ergebnis:
Virus 'Troj/PWS-CIO' found in file /mnt/dev/sda5/Users/<username>/AppData/Local/Temp/FC29.tmp
1 master boot record swept.
3 boot sectors swept.
212496 files swept in 51 minutes and 49 seconds.
1 virus was discovered.
1 file out of 212496 was infected.
Das ist allerdings ein anderer Dateiname als der ursprünglich von MBAR gefundene
- es ist also noch nicht vorbei.
Ich boote das System jetzt (weiterhin offline) und schaue mal in die Regsitry bzw. suche weiter. Mal sehen welches Tool den zugrunde liegenden Prozess/Aufruf findet.
Ich habe eine Boot-CD von Sophos erstellt (https://www.sophos.com/de-de/support/knowledgebase/52011.aspx)
und den infizierten PC damit gestartet. Über Advanced die Option "disinfect" gewählt.
Ergebnis:
Virus 'Troj/PWS-CIO' found in file /mnt/dev/sda5/Users/<username>/AppData/Local/Temp/FC29.tmp
1 master boot record swept.
3 boot sectors swept.
212496 files swept in 51 minutes and 49 seconds.
1 virus was discovered.
1 file out of 212496 was infected.
Das ist allerdings ein anderer Dateiname als der ursprünglich von MBAR gefundene
- es ist also noch nicht vorbei.Ich boote das System jetzt (weiterhin offline) und schaue mal in die Regsitry bzw. suche weiter. Mal sehen welches Tool den zugrunde liegenden Prozess/Aufruf findet.
Einträge in der Registry habe ich jetzt auch gefunden.
Einen "Virus" findet aber keiner der Scanner.
Einen "Virus" findet aber keiner der Scanner.
Öffnet mal den IrfanView und öffnet mal eine .locky datei die mal ein Bild war.
IrfanView will es dann in jpg öffnen und schon ist das Bild sichtbar.
IrfanView will es dann in jpg öffnen und schon ist das Bild sichtbar.
Einige von Euch schreiben, dass Trend Micro nicht vor der Malware geschützt hätte.
Ich habe bei Kunden bisher gute Erfahrung mit der Ransomware Protection gemacht. Siehe http://docs.trendmicro.com/en-us/enterprise/officescan-110-sp1-server/u ...
Hat das Feature bei dieser Malware nicht gegriffen, oder habt ihr das Feature nicht aktiv gehabt?
Gruß Christian
Ich habe bei Kunden bisher gute Erfahrung mit der Ransomware Protection gemacht. Siehe http://docs.trendmicro.com/en-us/enterprise/officescan-110-sp1-server/u ...
Hat das Feature bei dieser Malware nicht gegriffen, oder habt ihr das Feature nicht aktiv gehabt?
Gruß Christian
Bei dem betroffenem Systen war ebenfalls TrendMicro WBFS 9 im Einsatz.
dieser hat es bis gestern nachmittag nicht erkannt, nach viel hin und her mit dem Support kam irgendwann eine passende Signatur.
Wir haben mit Sophos SBAV die Systeme gescannt und damit bereinigt. Sophos findet seit gestern nacht/früh den Trojaner.
Dann habe ich mit Sophos telefoniert. Es ist so, das wohl der Trojaner in 3 Schritten arbeitet:
1. Userverzeichnis
2. Userdir (bei Servergespeicherten Profilen)
3. alle UNC Pfade die er findet und Zugriff hat
Nach einem Herunterfahren des Systems soll er angeblich nicht wieder aktiv werden.
Angaben ohne Gewähr.
Wir scannen und bereinigen nun weiter und spielen die Datensicherung zurück.
dieser hat es bis gestern nachmittag nicht erkannt, nach viel hin und her mit dem Support kam irgendwann eine passende Signatur.
Wir haben mit Sophos SBAV die Systeme gescannt und damit bereinigt. Sophos findet seit gestern nacht/früh den Trojaner.
Dann habe ich mit Sophos telefoniert. Es ist so, das wohl der Trojaner in 3 Schritten arbeitet:
1. Userverzeichnis
2. Userdir (bei Servergespeicherten Profilen)
3. alle UNC Pfade die er findet und Zugriff hat
Nach einem Herunterfahren des Systems soll er angeblich nicht wieder aktiv werden.
Angaben ohne Gewähr.
Wir scannen und bereinigen nun weiter und spielen die Datensicherung zurück.
Bei unserem betroffenen System war Avira Professional 14 im Einsatz. Die Chiffrierung hat am Dienstagnachmittag begonnen.
Chiffriert wurden Dateien im user-Verzeichnis, auf erreichbaren Shares und auch in C:\ProgramData (auch *.mdb-Dateien und *.xml-Dateien).
Mit SBAV wurde auf dem betroffnen System eine Datei identifiziert. Der Scan mit Avira in der Nacht von Dienstag auf Mittwoch hat 3 Dateien identifiziert und entfernt: 64EA.tmp als TR/AD.Injector.M.194 und FC29.tmp und 5A05.tmp beide als TR/Crypt.EPACK.24716.
Händisch gelöscht wurde ein Schlüssel in der Registry [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run dort REG_SZ Locky mit dem Wert C:\Users\<username>\AppData\Local\Temp\64EA.tmp
HKEY_CURRENT_USER\Software\Locky enthielt drei Werte zu id, paytext und public key. Der gesamte Locky-Eintrag wurde ebenfalls gelöscht.
Wir haben gestern die anderen Clients mit SBAV untersucht und hatten keine weitere Infektion. Die verschlüsselten Dateien konnten aus der Datensicherung wieder eingespielt werden.
Chiffriert wurden Dateien im user-Verzeichnis, auf erreichbaren Shares und auch in C:\ProgramData (auch *.mdb-Dateien und *.xml-Dateien).
Mit SBAV wurde auf dem betroffnen System eine Datei identifiziert. Der Scan mit Avira in der Nacht von Dienstag auf Mittwoch hat 3 Dateien identifiziert und entfernt: 64EA.tmp als TR/AD.Injector.M.194 und FC29.tmp und 5A05.tmp beide als TR/Crypt.EPACK.24716.
Händisch gelöscht wurde ein Schlüssel in der Registry [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run dort REG_SZ Locky mit dem Wert C:\Users\<username>\AppData\Local\Temp\64EA.tmp
HKEY_CURRENT_USER\Software\Locky enthielt drei Werte zu id, paytext und public key. Der gesamte Locky-Eintrag wurde ebenfalls gelöscht.
Wir haben gestern die anderen Clients mit SBAV untersucht und hatten keine weitere Infektion. Die verschlüsselten Dateien konnten aus der Datensicherung wieder eingespielt werden.
Wirklich seltsam, genau diese Einträge habe ich auf einem Rechner in der Registry.
Weder Sophos noch andere Scanner finden aber den Trojaner.
Wir werden den Rechner neu aufsetzen und gut ist.
Weder Sophos noch andere Scanner finden aber den Trojaner.
Wir werden den Rechner neu aufsetzen und gut ist.
Auf jeden fall eine neue sbav CD erstellen, CD sollte nach dem 17.2. 08 Uhr gedownloadet sein, dann findet sie diesen besagten Trojaner
Hab ich genau so gemacht. Neueste Sophos Versio, neueste Malwarebytes etc...
Schade drum aber wie gesagt, Rechner wird neu aufgesetzt.
Danke für die Infos.
Schade drum aber wie gesagt, Rechner wird neu aufgesetzt.
Danke für die Infos.
@bsk-it
Dass das Pattern neue Varianten nicht sofort erkennt, ist prinzipbedingt.
Meine Frage war, ob ihr bei der Verhaltensüberwachung den Schutz vor Ransomware aktiv hattet.
Aus meiner Erfahrung heraus ist das ein wirksamer Schutz. Würde mich wundern, wenn die Funktion nicht gegriffen hätte.
Gruß Christian
Dass das Pattern neue Varianten nicht sofort erkennt, ist prinzipbedingt.
Meine Frage war, ob ihr bei der Verhaltensüberwachung den Schutz vor Ransomware aktiv hattet.
Aus meiner Erfahrung heraus ist das ein wirksamer Schutz. Würde mich wundern, wenn die Funktion nicht gegriffen hätte.
Gruß Christian
Nein die Verhaltensüberwachung den Schutz vor Ransomware hatte unser Kunde im Trend Micro leider nicht aktiv. Hier hat er allerdings selbst konfigurieren wollen ...
Alle PCs welche im Scan Trojaner gezeigt haben werden neu aufgesetzt ...
Alle PCs welche im Scan Trojaner gezeigt haben werden neu aufgesetzt ...
Nach erneutem Scan mit Malwarebytes habe ich nun einen "trojan.crypt" gefunden.
Allerdings unter C:/Users/<username>/AppData/Roaming/XXX.tmp
Allerdings unter C:/Users/<username>/AppData/Roaming/XXX.tmp
Vielleicht eine blöde Frage, bitte haut nicht wieder so sehr zu:
Könnte man auf einer Serverfreigabe nicht die Dateiprüfungsverwaltung verwenden, um zu verhindern, dass dort *.locky-Dateien abgelegt werden?
(Nur so als Behelf gedacht, um Netzwerkfreigaben ab 2008 R2 zu schützen)
Gruß und viel Glück!
Könnte man auf einer Serverfreigabe nicht die Dateiprüfungsverwaltung verwenden, um zu verhindern, dass dort *.locky-Dateien abgelegt werden?
(Nur so als Behelf gedacht, um Netzwerkfreigaben ab 2008 R2 zu schützen)
Gruß und viel Glück!
Ich kenn die Funktion jetzt nicht 100%, gehe aber davon aus, dass man dann die Endung *.locky bereits hätte kennen müssen.
Also im Normalfall sag ich da ja, blockiere *.jpg etc.
Also im Normalfall sag ich da ja, blockiere *.jpg etc.
Ja genau. Wenn nun aber noch Rechner im Netz schlummern, die später versuchen, Dateien auf Netzlaufwerken zu verschlüsseln... Könnte man die auf diese Weise davon abhalten?
Oder anders...
Hätte man die Netzwerkfreigaben schützen können, wenn man _vorher_ *.locky-Dateien verhindet hätte?
(hätte, hätte Fahrradkette)
Oder anders...
Hätte man die Netzwerkfreigaben schützen können, wenn man _vorher_ *.locky-Dateien verhindet hätte?
(hätte, hätte Fahrradkette)
Hier gibt es eine nette ausführliche Analyse. Was macht das Teil genau und wo legt es seinen Kram ab.
http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encr ...
Ziemlich interessant finde ich folgenden Abschnitt:
Wenn ich so eine Mail hätte, würde ich gern mal testen was passiert wenn man all seine Daten in einen neuen Ordner "tmp" o.ä. verschiebt.
http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encr ...
Ziemlich interessant finde ich folgenden Abschnitt:
Furthermore, Locky will skip any files where the full pathname and filename contain one of the following strings:
tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, WindowsWenn ich so eine Mail hätte, würde ich gern mal testen was passiert wenn man all seine Daten in einen neuen Ordner "tmp" o.ä. verschiebt.
Hallo zusammen,
ich höre hier immer, das TrendMicro WFBS 9 nichts gefunden hat...das ist nicht ganz richtig...
Wir haben hier auch Worry Free Business Security 9 laufen und mit dem SP2 (Veröffentlicht am 01.09.2015) wurde ein Ransomware-Module eingeführt, das unberechtigten Zugriff auf die Shadow Copy-Funktion und unberechtigtes verschlüsseln von Daten unterbindet. Das hat schon zwei Geräte von externen Mitarbeitern hier gerettet, da ein Crypto-Virus versucht hat Daten zu verschlüsseln und die Engine das unterbunden hat.
Generell haben wir z.B. in Office die Makro-Sicherheit auf maximal gestellt (Blocken ohne Benachrichtigung) und nur bestimmte Speicherorte für Makro-Ausführung erlaubt. Somit kann eine "Makro-aktive Datei" niemals aus einer Mail, dem Internet oder dem Desktop geöffnet werden.
Diese Lektion musste ich auch lernen, da es bei uns auch ein neuer Standort, bei dem noch nicht unsere Sicherheitsstandards eingeführt waren, den CryptoWall3 abbekommen hat (Mail mit Anhang) und mich das ein ganzes Wochenende gekostet hat. Also Leute...durchhalten beim Bereinigen und viel Erfolg!
Grüße,
dng-alt
ich höre hier immer, das TrendMicro WFBS 9 nichts gefunden hat...das ist nicht ganz richtig...
Wir haben hier auch Worry Free Business Security 9 laufen und mit dem SP2 (Veröffentlicht am 01.09.2015) wurde ein Ransomware-Module eingeführt, das unberechtigten Zugriff auf die Shadow Copy-Funktion und unberechtigtes verschlüsseln von Daten unterbindet. Das hat schon zwei Geräte von externen Mitarbeitern hier gerettet, da ein Crypto-Virus versucht hat Daten zu verschlüsseln und die Engine das unterbunden hat.
Generell haben wir z.B. in Office die Makro-Sicherheit auf maximal gestellt (Blocken ohne Benachrichtigung) und nur bestimmte Speicherorte für Makro-Ausführung erlaubt. Somit kann eine "Makro-aktive Datei" niemals aus einer Mail, dem Internet oder dem Desktop geöffnet werden.
Diese Lektion musste ich auch lernen, da es bei uns auch ein neuer Standort, bei dem noch nicht unsere Sicherheitsstandards eingeführt waren, den CryptoWall3 abbekommen hat (Mail mit Anhang) und mich das ein ganzes Wochenende gekostet hat. Also Leute...durchhalten beim Bereinigen und viel Erfolg!
Grüße,
dng-alt