Locky Verschlüsselungstrojaner Vorbeugende Maßnahme
Hallo zusammen,
zur Zeit ist ja der Locky-Verschlüsselungstrojaner im Umlauf.
Hier ein paar kurze Schritte um einen möglichen Befall des eigenen Computers einzuschränken.
Dazu müssen unter anderem einfach gesagt die Makros in Word deaktiviert werden.
Lokale Word Installation:
Datei -> Optionen -> Sicherheitscenter -> Einstellungen für das Sicherheitscenter -> Einstellungen für Makros -> Alle Makros mit Benachrichtigung deaktivieren
Gruppenrichtlinien:
Benutzer Einstellungen -> "Zum Punkt für Word wechseln (Abhängig von ADMX oder ADM Templates)" -> Word Options -> Security -> Trust Center -> VBA Macro Notification Settings -> Disable all with notification
Ich empfehle dazu noch ein Offline-Backup zur Verfügung zu haben (externe Festplatte nicht nicht dauerhaft angeschlossen ist)
E-Mails mit unbekannten Inhalten bzw. von unbekannten Empfängern nicht öffnen.
Gruß
zur Zeit ist ja der Locky-Verschlüsselungstrojaner im Umlauf.
Hier ein paar kurze Schritte um einen möglichen Befall des eigenen Computers einzuschränken.
Dazu müssen unter anderem einfach gesagt die Makros in Word deaktiviert werden.
Lokale Word Installation:
Datei -> Optionen -> Sicherheitscenter -> Einstellungen für das Sicherheitscenter -> Einstellungen für Makros -> Alle Makros mit Benachrichtigung deaktivieren
Gruppenrichtlinien:
Benutzer Einstellungen -> "Zum Punkt für Word wechseln (Abhängig von ADMX oder ADM Templates)" -> Word Options -> Security -> Trust Center -> VBA Macro Notification Settings -> Disable all with notification
Ich empfehle dazu noch ein Offline-Backup zur Verfügung zu haben (externe Festplatte nicht nicht dauerhaft angeschlossen ist)
E-Mails mit unbekannten Inhalten bzw. von unbekannten Empfängern nicht öffnen.
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 296849
Url: https://administrator.de/knowledge/locky-verschluesselungstrojaner-vorbeugende-massnahme-296849.html
Ausgedruckt am: 22.12.2024 um 16:12 Uhr
23 Kommentare
Neuester Kommentar
Zitat von @MartinStrasser:
Dazu müssen unter anderem einfach gesagt die Makros in Word deaktiviert werden.
Dazu müssen unter anderem einfach gesagt die Makros in Word deaktiviert werden.
Das sollte eigentlich schon seit Jahrzehnten Standard sein. Oder lenren das die Kinder/Nachwuchsadmins heutzutage nicht mehr?
Makros sind generell abzuschalten und nur in Einzelfällen in besonders gesicherten Umgebungen zu aktivieren.
lks
Zitat von @MartinStrasser:
zur Zeit ist ja der Locky-Verschlüsselungstrojaner im Umlauf.
Hier ein paar kurze Schritte um einen möglichen Befall des eigenen Computers einzuschränken.
Dazu müssen unter anderem einfach gesagt die Makros in Word deaktiviert werden.
zur Zeit ist ja der Locky-Verschlüsselungstrojaner im Umlauf.
Hier ein paar kurze Schritte um einen möglichen Befall des eigenen Computers einzuschränken.
Dazu müssen unter anderem einfach gesagt die Makros in Word deaktiviert werden.
Also ab Office 2013 geht Word/Excel/Powerpoint in einen geschützten Modus, wenn man Dokumente aus dem Internet öffnen will (Unbekannte Quelle)
Ich empfehle dazu noch ein Offline-Backup zur Verfügung zu haben (externe Festplatte nicht nicht dauerhaft angeschlossen ist)
Sollte auch Standard sein.
E-Mails mit unbekannten Inhalten bzw. von unbekannten Empfängern nicht öffnen.
Dazu brauche ich nix sagen
Gruß
LG,
tomolpi
Zitat von @tomolpi:
Dazu brauche ich nix sagen
E-Mails mit unbekannten Inhalten bzw. von unbekannten Empfängern nicht öffnen.
Dazu brauche ich nix sagen
moin
Ich sage nur, das ist ein seit über 30 Jahren wiederkehrendes Mantra.
kls
Zitat von @akelus:
Wie wird denn die Sicherheit von Acronis-backup-files auf einer zweiten internen Festplatte eingeschätzt, auf die das tägliche backup erfolgt?
Jede Datei ist potentiell gefährdet, da ändert die Dateiendung nichts.Wie wird denn die Sicherheit von Acronis-backup-files auf einer zweiten internen Festplatte eingeschätzt, auf die das tägliche backup erfolgt?
Dazu braucht die Ransomware nur die Endung mit in die Liste aufzunehmen. Darauf vertrauen kannst du aber definitiv nicht!
Ein Backup sollte immer auf getrennte Medien die nicht ständig im System eingebunden sind erfolgen und am besten mehrere Verisonen (Differentiell/Inkrementell) enthalten..
Ist ein System erst mal infiziert kann die Malware potentiell jede Schweinerei anstellen die du dir vorstellen kannst.
Ansonsten noch "Software Restriction Policys" verwenden und das Ausführen von Dateien aus %appdata% für die User verbieten!
Hab gerade mal eine aktuelle Rechnungsmail bei Virustotal hochgeladen und nur F-Secure erkennt diese als Trojaner...
https://www.virustotal.com/en/file/46afa0ba3452ffc886e03de80ef26844458da ...
VG
Val
Hab gerade mal eine aktuelle Rechnungsmail bei Virustotal hochgeladen und nur F-Secure erkennt diese als Trojaner...
https://www.virustotal.com/en/file/46afa0ba3452ffc886e03de80ef26844458da ...
VG
Val
Jetzt mal eine evtl. dumme Frage, aber das ist ja ein recht fortgeschrittener Virus.
Wenn man nun einen Exchange Server hat welcher nicht Inhouse ist, und die Mail kommt über diesen Exchange Server. Im schlimmsten Fall wäre dann das komplette Netzwerk inkl. Cloud-Anbindungen befallen. Wäre dieser 'outgesourcte' Exchange Server auch infizierbar?
Ich denke nicht oder sehe ich das falsch?
LG Luca
Wenn man nun einen Exchange Server hat welcher nicht Inhouse ist, und die Mail kommt über diesen Exchange Server. Im schlimmsten Fall wäre dann das komplette Netzwerk inkl. Cloud-Anbindungen befallen. Wäre dieser 'outgesourcte' Exchange Server auch infizierbar?
Ich denke nicht oder sehe ich das falsch?
LG Luca
Zitat von @118080:
Jetzt mal eine evtl. dumme Frage, aber das ist ja ein recht fortgeschrittener Virus.
Wenn man nun einen Exchange Server hat welcher nicht Inhouse ist, und die Mail kommt über diesen Exchange Server. Im schlimmsten Fall wäre dann das komplette Netzwerk inkl. Cloud-Anbindungen befallen. Wäre dieser 'outgesourcte' Exchange Server auch infizierbar?
Ich denke nicht oder sehe ich das falsch?
LG Luca
Jetzt mal eine evtl. dumme Frage, aber das ist ja ein recht fortgeschrittener Virus.
Wenn man nun einen Exchange Server hat welcher nicht Inhouse ist, und die Mail kommt über diesen Exchange Server. Im schlimmsten Fall wäre dann das komplette Netzwerk inkl. Cloud-Anbindungen befallen. Wäre dieser 'outgesourcte' Exchange Server auch infizierbar?
Ich denke nicht oder sehe ich das falsch?
LG Luca
Also erstmal solltest du dich überhaupt mit dem Problem genauer beschäftigen.
Der Exchange ist davon potentiell nicht betroffen, der liefert höchstens die Mails mit infizierten Anhängen aus.
So gesehen liefert auch ein outgesourcter Exchange die Mails.
Es handelt sich um einen Makro Virus, der sich in entsprechend präparierter Office Datei (Word, Excel etc. ) befindet.
Wird die Datei geöffnet und das Makro aktiviert, so schlägt die Malware zu und verschlüsselt sämtliche Laufwerke, derer sie habhaft wird, also mit dem entsprechenden Rechner verbundene.
Hier kannst du mal nachlesen, welche Massnahmen eventuell helfen können.
Quelle: Heise
http://www.heise.de/security/meldung/Krypto-Trojaner-Locky-Was-tun-gege ...
Ich habe mich bereits informiert.
Aber da der Virus ja auch alle Geräte im Netzwerk und angehängte Festplatten etc. UND Cloud Dienste befällt, ist es ja nicht zwingen ausgeschlossen das der Virus sich auch auf dem Exchange Server verbreitet. Gerade wenn evtl. jemand noch per RDP auf den Exchange Server zugegriffen hat.
Fürchten tue ich persönlich mich nicht so richtig, da ich sowieso alle Makros deaktiviert habe und die Mitarbeiter entsprechend gebrieft habe. Ausserdem arbeitet kein User als Admin, noch nicht mal ich im normalen Betrieb. (Das ist hier ja aber auch wahrscheinlich irrelevant, da ich von Fällen mit Standardusern gelesen habe.)
Den Link kannte ich schon, aber trotzdem danke.
Aber da der Virus ja auch alle Geräte im Netzwerk und angehängte Festplatten etc. UND Cloud Dienste befällt, ist es ja nicht zwingen ausgeschlossen das der Virus sich auch auf dem Exchange Server verbreitet. Gerade wenn evtl. jemand noch per RDP auf den Exchange Server zugegriffen hat.
Fürchten tue ich persönlich mich nicht so richtig, da ich sowieso alle Makros deaktiviert habe und die Mitarbeiter entsprechend gebrieft habe. Ausserdem arbeitet kein User als Admin, noch nicht mal ich im normalen Betrieb. (Das ist hier ja aber auch wahrscheinlich irrelevant, da ich von Fällen mit Standardusern gelesen habe.)
Den Link kannte ich schon, aber trotzdem danke.
Danke für die Tipps.
Alle bei denen VBA als Feature mitinstalliert wurde
Servus,
heißt also
- benutzerdefinierte (Neu-)-Installation durchzuführen
oder
- im Firmennetzwerk per Richtlinie die Makros deaktivieren
Gruß
VGem-e
P.S:
bringt eigentlich eine Reparaturinstallation bei schon installiertem Office die Möglichkeit, VBA und Co. sauber (und vor allem sicher) zu deinstallieren??
heißt also
- benutzerdefinierte (Neu-)-Installation durchzuführen
oder
- im Firmennetzwerk per Richtlinie die Makros deaktivieren
Gruß
VGem-e
P.S:
bringt eigentlich eine Reparaturinstallation bei schon installiertem Office die Möglichkeit, VBA und Co. sauber (und vor allem sicher) zu deinstallieren??
Hallo,
"Office" "sicher" und "Reparaturinstallation" in einem Satz.... Stolze Leistung .....
Richtiger Weg:
Daten Sichern.
Rechner Platt machen.
Rechner neuaufsetzen.
(Ich gehe davon aus das du ein Image hast )
brammer
Reparaturinstallation bei schon installiertem Office die Möglichkeit, VBA und Co. sauber (und vor allem sicher) zu deinstallieren??
"Office" "sicher" und "Reparaturinstallation" in einem Satz.... Stolze Leistung .....
Richtiger Weg:
Daten Sichern.
Rechner Platt machen.
Rechner neuaufsetzen.
(Ich gehe davon aus das du ein Image hast )
brammer
Nur um VBA zu deinstallieren???
Es ging ja (soweit ich es verstanden habe) nicht um einen befallenen Rechner, sondern um die vorbeugende VBA-Deinstallation, damit der Rechner gar nicht erst befallen wird. Ob das was bringt, ist eine andere Frage, offenbar wird das Ding ja inzwischen auch per JavaScript verteilt. Sensibilisierung der Nutzer wird wohl das effektivste sein ...
Locky wird meist über .JS-Dateien ausgerollt, in der Registry kann man diese einfach wie txtfile behandeln und sie werden mit dem Editor geöffnet ...
dazu einfach regedit öffnen und die Variable (Standard) unter HKEY_CLASSES_ROOT\.js in txtfile umbenennen oder via GPO so ausrollen, schon ist ein Angriffspunkt mehr geschlossen!
dazu einfach regedit öffnen und die Variable (Standard) unter HKEY_CLASSES_ROOT\.js in txtfile umbenennen oder via GPO so ausrollen, schon ist ein Angriffspunkt mehr geschlossen!