Neue Ransomware verschlüsselt Dateien (*.locky)
Hallo zusammen,
auch wir haben bereits den ersten Betroffenen Kunden.
Noch haben wir keine Ahnung wo der Übeltäter herkommt.
Scheint auch gestern das erste Mal aufgetaucht zu sein.
Gruß, Thorsten
http://www.heise.de/forum/heise-Security/Themen-Hilfe/Viren-Wuermer/Neu ...
auch wir haben bereits den ersten Betroffenen Kunden.
Noch haben wir keine Ahnung wo der Übeltäter herkommt.
Scheint auch gestern das erste Mal aufgetaucht zu sein.
Gruß, Thorsten
http://www.heise.de/forum/heise-Security/Themen-Hilfe/Viren-Wuermer/Neu ...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 296378
Url: https://administrator.de/forum/neue-ransomware-verschluesselt-dateien-locky-296378.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
36 Kommentare
Neuester Kommentar
seit gestern 15:12 haben wir bei uns in der Firma das gleiche Problem, schön war es das über den PC auch die Daten auf dem Server über das Netzlaufwerk verschlüsselt wurden.
was dem User nach heutiger Befragung auffiel war eine Mail mit .docm-Anhang die er geöffnet hatte.
Seit heute werden wir regelrecht bombardiert mit solchen Mails, habe den Anhang jetzt mit einer Filterregel im Exchange geblockt.
was dem User nach heutiger Befragung auffiel war eine Mail mit .docm-Anhang die er geöffnet hatte.
Seit heute werden wir regelrecht bombardiert mit solchen Mails, habe den Anhang jetzt mit einer Filterregel im Exchange geblockt.
auf dem Server findest du in jedem Order eine _locky_recover_instruction.txt, schau in den Eigenschaften welcher User diese Datei erstelt hat, so haben wie den befallenen PC identifiziert.
Alle PCs laufen mit Trend Micro Scanner, der hat nichts geblockt, mache jetzt 2 PCs platt und installiere neu, alles andere ist mir erstmal zu riskant.
Alle PCs laufen mit Trend Micro Scanner, der hat nichts geblockt, mache jetzt 2 PCs platt und installiere neu, alles andere ist mir erstmal zu riskant.
Auch wir haben seit gestern Nachmittag mit einem Kunden zu tun, welcher die locky ransomeware hat.
-id aus zahlen und buchstaben.locky
_Locky_recover_instruction.txt
heißen die Dateien.
Hat bis dato doc, docx, xls und xlsx verschlüsselt, pdf Dateien blieben bis jetzt unberührt.
Alle Systeme offline, nun Scannen wir die Systeme.
Ebenfalls Trend Micro installiert, support gestern Kontaktiert, leider ist dieser nicht fähig gelieferte Daten auszuwerten. Als Antwort habe ich bekommen wir haben jetzt englischen Telefonsupport! Super, wir leben in Deutschland!
Weiterhin wollten sie die Aktivierungscode haben.
Eine klasse Antwort nach 22 Stunden, denn der Aktivierungscode wurde gestern in der Anfragemail bereits mit Übersandt.
-id aus zahlen und buchstaben.locky
_Locky_recover_instruction.txt
heißen die Dateien.
Hat bis dato doc, docx, xls und xlsx verschlüsselt, pdf Dateien blieben bis jetzt unberührt.
Alle Systeme offline, nun Scannen wir die Systeme.
Ebenfalls Trend Micro installiert, support gestern Kontaktiert, leider ist dieser nicht fähig gelieferte Daten auszuwerten. Als Antwort habe ich bekommen wir haben jetzt englischen Telefonsupport! Super, wir leben in Deutschland!
Weiterhin wollten sie die Aktivierungscode haben.
Eine klasse Antwort nach 22 Stunden, denn der Aktivierungscode wurde gestern in der Anfragemail bereits mit Übersandt.
Der Trojane rliegt in der Regel unter C:\USER\User\Appdata\local\Temp\svchost.exe
im task Manager zu sehen als prozess svchost.exe³² ausgeführt als USer!
ladet euch
http://www.chip.de/downloads/Sophos-Virus-Removal-Tool_12993708.html
duaert bis drei stunden findet aber den trojaner definitive! Rechner vom netz nehmen, da er sich sonst weiter verbreitet!
im task Manager zu sehen als prozess svchost.exe³² ausgeführt als USer!
ladet euch
http://www.chip.de/downloads/Sophos-Virus-Removal-Tool_12993708.html
duaert bis drei stunden findet aber den trojaner definitive! Rechner vom netz nehmen, da er sich sonst weiter verbreitet!
Unser Kaspersky Security Center hat folgendes gefunden. Laut dem Heise Bericht sieht das stark nach locky aus :/
In der E-Mail
Von: Carla <luoiioyzu@web.de>
An: Carla
CC:
Betreff: Hallo
wurden schädliche und/oder andere Objekte erkannt:
1. Meinfoto.jpg.rar/Meinfoto.jpg.exe enthält möglicherweise infiziertes Objekt UDS:DangerousObject.Multi.Generic.
Löschen von Objekten:
1. Meinfoto.jpg.rar/Meinfoto.jpg.exe wurde gelöscht.
In der E-Mail
Von: Carla <luoiioyzu@web.de>
An: Carla
CC:
Betreff: Hallo
wurden schädliche und/oder andere Objekte erkannt:
1. Meinfoto.jpg.rar/Meinfoto.jpg.exe enthält möglicherweise infiziertes Objekt UDS:DangerousObject.Multi.Generic.
Löschen von Objekten:
1. Meinfoto.jpg.rar/Meinfoto.jpg.exe wurde gelöscht.
Zitat von @abartel:
Moin zusammen,
auch einer unserer Kunden ist seit 11:45 betroffen.
Trendmicro hat nichts erkannt auch Malewarebyte war blind ........
Auslöser war eine E-Mail mit Word-Anhang.
Gruß
Andreas
Moin zusammen,
auch einer unserer Kunden ist seit 11:45 betroffen.
Trendmicro hat nichts erkannt auch Malewarebyte war blind ........
Auslöser war eine E-Mail mit Word-Anhang.
Gruß
Andreas
Bei uns tauchte Locky gestern Mittag das erst Mal auf, als unser Fingerprint einen Mitarbeiter nicht erkannte. Als an dieser Workstation es keine Besserung gab, habe ich mich auf den Server geschaltet und dadurch wohl den Krypto-Vorgang gestoppt. In allen NUR freigegebenen Ordnern stoppt zu dieser Zeit der Vorgang. Hat jemand dafür eine Erklärung? Dann er über einen laufenden Teamviewer-Dienst passiert sein? Durch eine Cloudsync können wir ausschließen, dass externe Laptops dies über eine Sync zur Cloud verursacht haben, da die alle nicht infiziert sind. Unser Datensicherung hat zum Glück funktioniert und alles ist wieder da. Der AdwCleaner funktioniert ganz gut und erkennet Locky.
Wie ich gestern bereits geschrieben habe, habe ich die mir unbekannte Shell Datei F45C.tmp gefunden.
Diese habe ich zu Sophos geschickt zur Analyse, gestern Abend.
Diese Nacht kam das Ergebnis aus dem Sophos Lab: F45C.tmp -- identity created/updated(New detection Troj/TeslaC-AB)
Ich habe soeben die ensprechenden Updates gemacht, laufen lassen (als Boot CD-Variante).
Nun wurde er erkannt und entfernt.
Jetzt werden alle PCs auf welchen Trojaner gefunden werden neu installiert und die Daten auf dem Backup wiederhergestellt.
Diese habe ich zu Sophos geschickt zur Analyse, gestern Abend.
Diese Nacht kam das Ergebnis aus dem Sophos Lab: F45C.tmp -- identity created/updated(New detection Troj/TeslaC-AB)
Ich habe soeben die ensprechenden Updates gemacht, laufen lassen (als Boot CD-Variante).
Nun wurde er erkannt und entfernt.
Jetzt werden alle PCs auf welchen Trojaner gefunden werden neu installiert und die Daten auf dem Backup wiederhergestellt.
@bsk-it: Welche Software setzt ihr zum Scan ein?
Habe jetzt auch einmal den Malwarebytes Anti Rootkit asuprobiert und konnte damit auchverdächtige Dateien ausfindig machen. Auch bei mir befanden sich die Dateien im temp-Verzeichniss, ebenso konnte ich über die Suche nach "Locky" in der Registry einen entsprechenden Einträg finden.
Ob sich damit jetzt das Problem gelöst hat bleibt noch abzuwarten.
Ob sich damit jetzt das Problem gelöst hat bleibt noch abzuwarten.
Ich bearbeite gerade einen befallenen Client-PC.
Ich habe eine Boot-CD von Sophos erstellt (https://www.sophos.com/de-de/support/knowledgebase/52011.aspx)
und den infizierten PC damit gestartet. Über Advanced die Option "disinfect" gewählt.
Ergebnis:
Virus 'Troj/PWS-CIO' found in file /mnt/dev/sda5/Users/<username>/AppData/Local/Temp/FC29.tmp
1 master boot record swept.
3 boot sectors swept.
212496 files swept in 51 minutes and 49 seconds.
1 virus was discovered.
1 file out of 212496 was infected.
Das ist allerdings ein anderer Dateiname als der ursprünglich von MBAR gefundene - es ist also noch nicht vorbei.
Ich boote das System jetzt (weiterhin offline) und schaue mal in die Regsitry bzw. suche weiter. Mal sehen welches Tool den zugrunde liegenden Prozess/Aufruf findet.
Ich habe eine Boot-CD von Sophos erstellt (https://www.sophos.com/de-de/support/knowledgebase/52011.aspx)
und den infizierten PC damit gestartet. Über Advanced die Option "disinfect" gewählt.
Ergebnis:
Virus 'Troj/PWS-CIO' found in file /mnt/dev/sda5/Users/<username>/AppData/Local/Temp/FC29.tmp
1 master boot record swept.
3 boot sectors swept.
212496 files swept in 51 minutes and 49 seconds.
1 virus was discovered.
1 file out of 212496 was infected.
Das ist allerdings ein anderer Dateiname als der ursprünglich von MBAR gefundene - es ist also noch nicht vorbei.
Ich boote das System jetzt (weiterhin offline) und schaue mal in die Regsitry bzw. suche weiter. Mal sehen welches Tool den zugrunde liegenden Prozess/Aufruf findet.
Einige von Euch schreiben, dass Trend Micro nicht vor der Malware geschützt hätte.
Ich habe bei Kunden bisher gute Erfahrung mit der Ransomware Protection gemacht. Siehe http://docs.trendmicro.com/en-us/enterprise/officescan-110-sp1-server/u ...
Hat das Feature bei dieser Malware nicht gegriffen, oder habt ihr das Feature nicht aktiv gehabt?
Gruß Christian
Ich habe bei Kunden bisher gute Erfahrung mit der Ransomware Protection gemacht. Siehe http://docs.trendmicro.com/en-us/enterprise/officescan-110-sp1-server/u ...
Hat das Feature bei dieser Malware nicht gegriffen, oder habt ihr das Feature nicht aktiv gehabt?
Gruß Christian
Bei dem betroffenem Systen war ebenfalls TrendMicro WBFS 9 im Einsatz.
dieser hat es bis gestern nachmittag nicht erkannt, nach viel hin und her mit dem Support kam irgendwann eine passende Signatur.
Wir haben mit Sophos SBAV die Systeme gescannt und damit bereinigt. Sophos findet seit gestern nacht/früh den Trojaner.
Dann habe ich mit Sophos telefoniert. Es ist so, das wohl der Trojaner in 3 Schritten arbeitet:
1. Userverzeichnis
2. Userdir (bei Servergespeicherten Profilen)
3. alle UNC Pfade die er findet und Zugriff hat
Nach einem Herunterfahren des Systems soll er angeblich nicht wieder aktiv werden.
Angaben ohne Gewähr.
Wir scannen und bereinigen nun weiter und spielen die Datensicherung zurück.
dieser hat es bis gestern nachmittag nicht erkannt, nach viel hin und her mit dem Support kam irgendwann eine passende Signatur.
Wir haben mit Sophos SBAV die Systeme gescannt und damit bereinigt. Sophos findet seit gestern nacht/früh den Trojaner.
Dann habe ich mit Sophos telefoniert. Es ist so, das wohl der Trojaner in 3 Schritten arbeitet:
1. Userverzeichnis
2. Userdir (bei Servergespeicherten Profilen)
3. alle UNC Pfade die er findet und Zugriff hat
Nach einem Herunterfahren des Systems soll er angeblich nicht wieder aktiv werden.
Angaben ohne Gewähr.
Wir scannen und bereinigen nun weiter und spielen die Datensicherung zurück.
Bei unserem betroffenen System war Avira Professional 14 im Einsatz. Die Chiffrierung hat am Dienstagnachmittag begonnen.
Chiffriert wurden Dateien im user-Verzeichnis, auf erreichbaren Shares und auch in C:\ProgramData (auch *.mdb-Dateien und *.xml-Dateien).
Mit SBAV wurde auf dem betroffnen System eine Datei identifiziert. Der Scan mit Avira in der Nacht von Dienstag auf Mittwoch hat 3 Dateien identifiziert und entfernt: 64EA.tmp als TR/AD.Injector.M.194 und FC29.tmp und 5A05.tmp beide als TR/Crypt.EPACK.24716.
Händisch gelöscht wurde ein Schlüssel in der Registry [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run dort REG_SZ Locky mit dem Wert C:\Users\<username>\AppData\Local\Temp\64EA.tmp
HKEY_CURRENT_USER\Software\Locky enthielt drei Werte zu id, paytext und public key. Der gesamte Locky-Eintrag wurde ebenfalls gelöscht.
Wir haben gestern die anderen Clients mit SBAV untersucht und hatten keine weitere Infektion. Die verschlüsselten Dateien konnten aus der Datensicherung wieder eingespielt werden.
Chiffriert wurden Dateien im user-Verzeichnis, auf erreichbaren Shares und auch in C:\ProgramData (auch *.mdb-Dateien und *.xml-Dateien).
Mit SBAV wurde auf dem betroffnen System eine Datei identifiziert. Der Scan mit Avira in der Nacht von Dienstag auf Mittwoch hat 3 Dateien identifiziert und entfernt: 64EA.tmp als TR/AD.Injector.M.194 und FC29.tmp und 5A05.tmp beide als TR/Crypt.EPACK.24716.
Händisch gelöscht wurde ein Schlüssel in der Registry [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run dort REG_SZ Locky mit dem Wert C:\Users\<username>\AppData\Local\Temp\64EA.tmp
HKEY_CURRENT_USER\Software\Locky enthielt drei Werte zu id, paytext und public key. Der gesamte Locky-Eintrag wurde ebenfalls gelöscht.
Wir haben gestern die anderen Clients mit SBAV untersucht und hatten keine weitere Infektion. Die verschlüsselten Dateien konnten aus der Datensicherung wieder eingespielt werden.
@bsk-it
Dass das Pattern neue Varianten nicht sofort erkennt, ist prinzipbedingt.
Meine Frage war, ob ihr bei der Verhaltensüberwachung den Schutz vor Ransomware aktiv hattet.
Aus meiner Erfahrung heraus ist das ein wirksamer Schutz. Würde mich wundern, wenn die Funktion nicht gegriffen hätte.
Gruß Christian
Dass das Pattern neue Varianten nicht sofort erkennt, ist prinzipbedingt.
Meine Frage war, ob ihr bei der Verhaltensüberwachung den Schutz vor Ransomware aktiv hattet.
Aus meiner Erfahrung heraus ist das ein wirksamer Schutz. Würde mich wundern, wenn die Funktion nicht gegriffen hätte.
Gruß Christian
Ja genau. Wenn nun aber noch Rechner im Netz schlummern, die später versuchen, Dateien auf Netzlaufwerken zu verschlüsseln... Könnte man die auf diese Weise davon abhalten?
Oder anders...
Hätte man die Netzwerkfreigaben schützen können, wenn man _vorher_ *.locky-Dateien verhindet hätte?
(hätte, hätte Fahrradkette)
Oder anders...
Hätte man die Netzwerkfreigaben schützen können, wenn man _vorher_ *.locky-Dateien verhindet hätte?
(hätte, hätte Fahrradkette)
Hier gibt es eine nette ausführliche Analyse. Was macht das Teil genau und wo legt es seinen Kram ab.
http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encr ...
Ziemlich interessant finde ich folgenden Abschnitt:
Wenn ich so eine Mail hätte, würde ich gern mal testen was passiert wenn man all seine Daten in einen neuen Ordner "tmp" o.ä. verschiebt.
http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encr ...
Ziemlich interessant finde ich folgenden Abschnitt:
Furthermore, Locky will skip any files where the full pathname and filename contain one of the following strings:
tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows
Wenn ich so eine Mail hätte, würde ich gern mal testen was passiert wenn man all seine Daten in einen neuen Ordner "tmp" o.ä. verschiebt.
Hallo zusammen,
ich höre hier immer, das TrendMicro WFBS 9 nichts gefunden hat...das ist nicht ganz richtig...
Wir haben hier auch Worry Free Business Security 9 laufen und mit dem SP2 (Veröffentlicht am 01.09.2015) wurde ein Ransomware-Module eingeführt, das unberechtigten Zugriff auf die Shadow Copy-Funktion und unberechtigtes verschlüsseln von Daten unterbindet. Das hat schon zwei Geräte von externen Mitarbeitern hier gerettet, da ein Crypto-Virus versucht hat Daten zu verschlüsseln und die Engine das unterbunden hat.
Generell haben wir z.B. in Office die Makro-Sicherheit auf maximal gestellt (Blocken ohne Benachrichtigung) und nur bestimmte Speicherorte für Makro-Ausführung erlaubt. Somit kann eine "Makro-aktive Datei" niemals aus einer Mail, dem Internet oder dem Desktop geöffnet werden.
Diese Lektion musste ich auch lernen, da es bei uns auch ein neuer Standort, bei dem noch nicht unsere Sicherheitsstandards eingeführt waren, den CryptoWall3 abbekommen hat (Mail mit Anhang) und mich das ein ganzes Wochenende gekostet hat. Also Leute...durchhalten beim Bereinigen und viel Erfolg!
Grüße,
dng-alt
ich höre hier immer, das TrendMicro WFBS 9 nichts gefunden hat...das ist nicht ganz richtig...
Wir haben hier auch Worry Free Business Security 9 laufen und mit dem SP2 (Veröffentlicht am 01.09.2015) wurde ein Ransomware-Module eingeführt, das unberechtigten Zugriff auf die Shadow Copy-Funktion und unberechtigtes verschlüsseln von Daten unterbindet. Das hat schon zwei Geräte von externen Mitarbeitern hier gerettet, da ein Crypto-Virus versucht hat Daten zu verschlüsseln und die Engine das unterbunden hat.
Generell haben wir z.B. in Office die Makro-Sicherheit auf maximal gestellt (Blocken ohne Benachrichtigung) und nur bestimmte Speicherorte für Makro-Ausführung erlaubt. Somit kann eine "Makro-aktive Datei" niemals aus einer Mail, dem Internet oder dem Desktop geöffnet werden.
Diese Lektion musste ich auch lernen, da es bei uns auch ein neuer Standort, bei dem noch nicht unsere Sicherheitsstandards eingeführt waren, den CryptoWall3 abbekommen hat (Mail mit Anhang) und mich das ein ganzes Wochenende gekostet hat. Also Leute...durchhalten beim Bereinigen und viel Erfolg!
Grüße,
dng-alt