12
Update Krypto-Trojaner Locky wütet in Deutschland: Über 5000 Infektionen pro Stunde
Moin,
Mann, mann, mann.
Wird ja immer lustiger.
Viele Grüße
pelzfrucht
http://www.heise.de/newsticker/meldung/Krypto-Trojaner-Locky-wuetet-in- ...
Nachtrag vom 19. Februar 2016, 20:28 Uhr
Wie das Sicherheitsunternehmen Kaspersky berichtet, verbreitet sich das Erpresserprogramm nicht nur über infizierte E-Mails. "Zudem haben wir auch einige legitime Websites entdeckt, auf denen die
Locky-Schadsoftware platziert wird. Besucht ein Nutzer - mit entsprechenden Software-Schwachstellen auf seinem Rechner - eine solche Seite, versucht sich Locky automatisch auf diesem Rechner zu
installieren", teilte das Unternehmen am Freitag mit.
Quelle: heise.deWie das Sicherheitsunternehmen Kaspersky berichtet, verbreitet sich das Erpresserprogramm nicht nur über infizierte E-Mails. "Zudem haben wir auch einige legitime Websites entdeckt, auf denen die
Locky-Schadsoftware platziert wird. Besucht ein Nutzer - mit entsprechenden Software-Schwachstellen auf seinem Rechner - eine solche Seite, versucht sich Locky automatisch auf diesem Rechner zu
installieren", teilte das Unternehmen am Freitag mit.
Mann, mann, mann.
Wird ja immer lustiger.
Viele Grüße
pelzfrucht
http://www.heise.de/newsticker/meldung/Krypto-Trojaner-Locky-wuetet-in- ...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 296783
Url: https://administrator.de/contentid/296783
Printed on: May 7, 2024 at 21:05 o'clock
12 Comments
Latest comment
Nicht schlecht. Bin mal gespannt, ob ich nen Anruf kriege...
BTW: Weiss jemand, ob Netzlaufwerke sicher sind, wenn es einen Backup-User gibt, der als einziger Zugriff hat? Sollte meines Erachtens (noch) o.k. sein.
Muss doch nicht Hinz und Kunz Schreibzugriff auf auf ein gemapptes Backup Directory haben...
LG
Buc
BTW: Weiss jemand, ob Netzlaufwerke sicher sind, wenn es einen Backup-User gibt, der als einziger Zugriff hat? Sollte meines Erachtens (noch) o.k. sein.
Muss doch nicht Hinz und Kunz Schreibzugriff auf auf ein gemapptes Backup Directory haben...
LG
Buc
Guten Morgen,
Nein, Netzwerklaufwerke sind nicht sicher- auch nicht mit Backup-User...
Frank
Nein, Netzwerklaufwerke sind nicht sicher- auch nicht mit Backup-User...
Frank
Hallo,
das sicherste wäre, wenn z.B. wöchentlich alle Clients ein Backup auf dem Server erstellen,
und der Server dass Backup anschließend automatisiert vom Netzlaufwerk wegkopiert.
Quasi:
1. Client erstellt Backup von sich auf Server.
2. Server verschiebt das Backup nach Fertigstellung an einen anderen (lokalen) Platz der nicht freigegeben ist.
= Bei Bedarf kann sich der Server Administrator das Backup holen und ein Virus (sofern er nicht auf dem Server läuft) kann keine vorhandenen Backups verschlüsseln. Höchstens Backups die nach der Infektion angelegt worden sind.
So würde ich es jedenfalls lösen.
Viele Grüße
pelzfrucht
das sicherste wäre, wenn z.B. wöchentlich alle Clients ein Backup auf dem Server erstellen,
und der Server dass Backup anschließend automatisiert vom Netzlaufwerk wegkopiert.
Quasi:
1. Client erstellt Backup von sich auf Server.
2. Server verschiebt das Backup nach Fertigstellung an einen anderen (lokalen) Platz der nicht freigegeben ist.
= Bei Bedarf kann sich der Server Administrator das Backup holen und ein Virus (sofern er nicht auf dem Server läuft) kann keine vorhandenen Backups verschlüsseln. Höchstens Backups die nach der Infektion angelegt worden sind.
So würde ich es jedenfalls lösen.
Viele Grüße
pelzfrucht
Im Endeffekt hat die Sache ja auch seine guten Seiten. Denn jetzt werden die, die bisher keine Backups gemacht haben, eben auf die harte Tour wachgerüttelt. Den Fehler werden sie dann bestimmt kein zweites Mal mehr machen. Vorteil 2: Es gibt Arbeit noch und nöcher, lässt die Kasse klingeln, und belebt die Wirtschaft 
. Zusätzliche Folge: Die Netze werden wieder ein Stück sicherer, sofern die Admins und User daraus lernen.
Gruß jodel32
. Zusätzliche Folge: Die Netze werden wieder ein Stück sicherer, sofern die Admins und User daraus lernen.Gruß jodel32
Wird dieses Mistding denn immer noch nicht von Kaspersky, Avira, Norton & Co. erkannt und blockiert? Wie kann es Tage nach dem Erscheines immer noch so viele Neuinfektionen geben?
Eine Frage:
Wieso funktioniert das eigentlich in den Firmen?
Macht die UAC da keinen Strich durch die Rechnung?
Viele Grüße
pelzfrucht
Wieso funktioniert das eigentlich in den Firmen?
Macht die UAC da keinen Strich durch die Rechnung?
Viele Grüße
pelzfrucht
@pelzfrucht: Bitte frage MS. Evtl. sollten wir eine Sammelfrage starten? Ich kann es auch nicht verstehen, wie eine nicht signierte Anwendung sich diese Rechte aneignen kann. Makro hin oder her. Es führt Aktionen aus, wie Schattenkopien löschen ohne den User zu fragen. Das muss eine 0-Day Attacke auf einen der vielen Speicherüberläufe sein, die dann alles erlauben. (Steht ja immer das gleiche in den Beschreibungen von MS)
Oder betrifft es wirklich nur Admin-Accounts? Das konnte ich bisher nicht nachlesen.
@SarekHL: Weil die Autoren es grad wissen wollen. Mein Eindruck ist, die sitzen täglich dran und checken die Erkennung.
Aber die Vorstellung, dass stündlich 5000 User die (standardmässige) Makro-Warnung wegklicken ist erschreckend.
Eine Google Suche nach "Microsoft Locky" liefert auf den ersten 4 Seiten nur eine MS Seite. nämlich nur allg. Infos über die Bedrohung.
https://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx ...
Sonst nichts. Kein: "Wir haben die Bedohung erkannt und arbeiten schnellstmöglich an einem Patch" oder sowas. Nix.
Die tun so, als wäre das ein Grippevirus, das halt Gottes Schöfung mal befällt. Dann kommen die Ärzte und erfinden eine Impfung. Dann kommt das nächste Grippevirus usw.
Nur, dass in diesem Fall der Schöpfer nicht Gott oder Apple ist, sondern MS.
Ich gehe fest davon aus, dass auch Windows 10 betroffen ist. Weil man in Redmond mal wieder "User Experience" gegen "Quality" "getraded" hat. Weil man annimmt (zu Recht?) dass der User eben vernetzte Gummibärchen klicken will, die automatisch Schoko nachbestellen.
Ich verstehe aber auch die Antivirushersteller nicht. Die machen doch Verhaltensanalysen. Warum ist bleepingcomputers die einzige Seite auf der ich nützliche Informationen finde? Probiert denn keiner der Analysten mal, ob das nur mit Admin-Accounts läuft oder wenigstens Zugriffsrechte auf Shares noch sicher sind? und wenn die das testen, warum posten die das nicht?
Ich habe leider keine extra Hardware auf der ich ein paar VMs einrichten könnte um das mal sicher zu eruieren. Auf meine Produktivrechner kommt mir ein Virus nicht mal virtuell. Aber es sieht so aus, als ob ich das auch noch machen müsste, obwohl ich Geld für OS und AV bezahle.
So und jetzt höre ich auf, bevor ich ausfallend werde.
Buc
Oder betrifft es wirklich nur Admin-Accounts? Das konnte ich bisher nicht nachlesen.
@SarekHL: Weil die Autoren es grad wissen wollen. Mein Eindruck ist, die sitzen täglich dran und checken die Erkennung.
Aber die Vorstellung, dass stündlich 5000 User die (standardmässige) Makro-Warnung wegklicken ist erschreckend.
Eine Google Suche nach "Microsoft Locky" liefert auf den ersten 4 Seiten nur eine MS Seite. nämlich nur allg. Infos über die Bedrohung.
https://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx ...
Sonst nichts. Kein: "Wir haben die Bedohung erkannt und arbeiten schnellstmöglich an einem Patch" oder sowas. Nix.
Die tun so, als wäre das ein Grippevirus, das halt Gottes Schöfung mal befällt. Dann kommen die Ärzte und erfinden eine Impfung. Dann kommt das nächste Grippevirus usw.
Nur, dass in diesem Fall der Schöpfer nicht Gott oder Apple ist, sondern MS.
Ich gehe fest davon aus, dass auch Windows 10 betroffen ist. Weil man in Redmond mal wieder "User Experience" gegen "Quality" "getraded" hat. Weil man annimmt (zu Recht?) dass der User eben vernetzte Gummibärchen klicken will, die automatisch Schoko nachbestellen.
Ich verstehe aber auch die Antivirushersteller nicht. Die machen doch Verhaltensanalysen. Warum ist bleepingcomputers die einzige Seite auf der ich nützliche Informationen finde? Probiert denn keiner der Analysten mal, ob das nur mit Admin-Accounts läuft oder wenigstens Zugriffsrechte auf Shares noch sicher sind? und wenn die das testen, warum posten die das nicht?
Ich habe leider keine extra Hardware auf der ich ein paar VMs einrichten könnte um das mal sicher zu eruieren. Auf meine Produktivrechner kommt mir ein Virus nicht mal virtuell. Aber es sieht so aus, als ob ich das auch noch machen müsste, obwohl ich Geld für OS und AV bezahle.
So und jetzt höre ich auf, bevor ich ausfallend werde.
Buc
Zitat von @SarekHL:
Wird dieses Mistding denn immer noch nicht von Kaspersky, Avira, Norton & Co. erkannt und blockiert? Wie kann es Tage nach dem Erscheines immer noch so viele Neuinfektionen geben?
Wird dieses Mistding denn immer noch nicht von Kaspersky, Avira, Norton & Co. erkannt und blockiert? Wie kann es Tage nach dem Erscheines immer noch so viele Neuinfektionen geben?
Kaspersky Endpoint Security kann es, brauchte aber auf dem PC ca. 30 sec. um es zu merken, das ahtten wir am Freitag bei einem Kunden.
du glaubst es nicht, aber viele Kunden haben kein AV Programm.
Zitat von @Vision2015:
Kaspersky Endpoint Security kann es, brauchte aber auf dem PC ca. 30 sec. um es zu merken, das ahtten wir am Freitag bei einem Kunden.
Kaspersky Endpoint Security kann es, brauchte aber auf dem PC ca. 30 sec. um es zu merken, das ahtten wir am Freitag bei einem Kunden.
Nur Endpoint? Was ist mit Einzelplatz-PCs mit normalem Einzelplatz-Schutz?
Zitat von @Vision2015:
Kaspersky Endpoint Security kann es, brauchte aber auf dem PC ca. 30 sec. um es zu merken, das ahtten wir am Freitag bei einem Kunden.
Das Problem an der Sache ist, dass diese .doc Dateien mit Makros nicht erkannt werden sondern eventuell erst die nachgeladene Software.Zitat von @SarekHL:
Wird dieses Mistding denn immer noch nicht von Kaspersky, Avira, Norton & Co. erkannt und blockiert? Wie kann es Tage nach dem Erscheines immer noch so viele Neuinfektionen geben?
Wird dieses Mistding denn immer noch nicht von Kaspersky, Avira, Norton & Co. erkannt und blockiert? Wie kann es Tage nach dem Erscheines immer noch so viele Neuinfektionen geben?
Kaspersky Endpoint Security kann es, brauchte aber auf dem PC ca. 30 sec. um es zu merken, das ahtten wir am Freitag bei einem Kunden.
F-Secure ist aktuell der einzige welcher eine Datei aus einer aktuellen E-Mail erkennt.
https://www.virustotal.com/en/file/46afa0ba3452ffc886e03de80ef26844458da ...
VG
Val
Nein, Netzwerklaufwerke sind nicht sicher
Weiß jemand, ob Locky (als das nachgeladene eigentliche Schadprogramm) sich auch eigenständig im Netzwerk vermehrt (also den Programmcode auf andere Rechner kopiert und dort aktiviert), oder ob er nur Netzlaufwerke verschlüsselt?
Bisher nicht berichtet.
Ich meine immer noch, dass Netzlaufwerke, die z.B. backups beinhalten sicher sind, wenn sie eben nicht für den aktuell angemeldeten (infizierten) Nutzer freigegeben sind. Bisher....
LG
Buc
Ich meine immer noch, dass Netzlaufwerke, die z.B. backups beinhalten sicher sind, wenn sie eben nicht für den aktuell angemeldeten (infizierten) Nutzer freigegeben sind. Bisher....
LG
Buc
