martinstrasser
Goto Top

Locky Verschlüsselungstrojaner Vorbeugende Maßnahme

Hallo zusammen,

zur Zeit ist ja der Locky-Verschlüsselungstrojaner im Umlauf.

Hier ein paar kurze Schritte um einen möglichen Befall des eigenen Computers einzuschränken.

Dazu müssen unter anderem einfach gesagt die Makros in Word deaktiviert werden.

Lokale Word Installation:
Datei -> Optionen -> Sicherheitscenter -> Einstellungen für das Sicherheitscenter -> Einstellungen für Makros -> Alle Makros mit Benachrichtigung deaktivieren

Gruppenrichtlinien:
Benutzer Einstellungen -> "Zum Punkt für Word wechseln (Abhängig von ADMX oder ADM Templates)" -> Word Options -> Security -> Trust Center -> VBA Macro Notification Settings -> Disable all with notification

Ich empfehle dazu noch ein Offline-Backup zur Verfügung zu haben (externe Festplatte nicht nicht dauerhaft angeschlossen ist)
E-Mails mit unbekannten Inhalten bzw. von unbekannten Empfängern nicht öffnen.

Gruß

Content-ID: 296849

Url: https://administrator.de/knowledge/locky-verschluesselungstrojaner-vorbeugende-massnahme-296849.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 20.02.2016 aktualisiert um 11:51:45 Uhr
Goto Top
Zitat von @MartinStrasser:

Dazu müssen unter anderem einfach gesagt die Makros in Word deaktiviert werden.

Das sollte eigentlich schon seit Jahrzehnten Standard sein. Oder lenren das die Kinder/Nachwuchsadmins heutzutage nicht mehr?

Makros sind generell abzuschalten und nur in Einzelfällen in besonders gesicherten Umgebungen zu aktivieren.

lks
MartinStrasser
MartinStrasser 20.02.2016 um 11:55:15 Uhr
Goto Top
Ich sehe immer wieder Umgebungen (vor allem KMUs) wo diese noch aktiviert sind.

Gruß
tomolpi
tomolpi 20.02.2016 um 12:38:53 Uhr
Goto Top
Zitat von @MartinStrasser:
zur Zeit ist ja der Locky-Verschlüsselungstrojaner im Umlauf.
Hier ein paar kurze Schritte um einen möglichen Befall des eigenen Computers einzuschränken.

Dazu müssen unter anderem einfach gesagt die Makros in Word deaktiviert werden.

Also ab Office 2013 geht Word/Excel/Powerpoint in einen geschützten Modus, wenn man Dokumente aus dem Internet öffnen will (Unbekannte Quelle)

Ich empfehle dazu noch ein Offline-Backup zur Verfügung zu haben (externe Festplatte nicht nicht dauerhaft angeschlossen ist)

Sollte auch Standard sein.

E-Mails mit unbekannten Inhalten bzw. von unbekannten Empfängern nicht öffnen.

Dazu brauche ich nix sagen face-smile

Gruß

LG,

tomolpi
Lochkartenstanzer
Lochkartenstanzer 20.02.2016 aktualisiert um 17:46:50 Uhr
Goto Top
Zitat von @tomolpi:

E-Mails mit unbekannten Inhalten bzw. von unbekannten Empfängern nicht öffnen.

Dazu brauche ich nix sagen face-smile

moin

Ich sage nur, das ist ein seit über 30 Jahren wiederkehrendes Mantra. face-smile

kls
akelus
akelus 20.02.2016 um 15:33:10 Uhr
Goto Top
Wie wird denn die Sicherheit von Acronis-backup-files auf einer zweiten internen Festplatte eingeschätzt, auf die das tägliche backup erfolgt?

MfG
akelus
114757
114757 20.02.2016 aktualisiert um 15:47:17 Uhr
Goto Top
Zitat von @akelus:
Wie wird denn die Sicherheit von Acronis-backup-files auf einer zweiten internen Festplatte eingeschätzt, auf die das tägliche backup erfolgt?

Jede Datei ist potentiell gefährdet, da ändert die Dateiendung nichts.
Dazu braucht die Ransomware nur die Endung mit in die Liste aufzunehmen. Darauf vertrauen kannst du aber definitiv nicht!

Ein Backup sollte immer auf getrennte Medien die nicht ständig im System eingebunden sind erfolgen und am besten mehrere Verisonen (Differentiell/Inkrementell) enthalten..

Ist ein System erst mal infiziert kann die Malware potentiell jede Schweinerei anstellen die du dir vorstellen kannst.
akelus
akelus 20.02.2016 um 15:51:30 Uhr
Goto Top
Danke! Habe gerade den Bagger für einen Lockysicheren Bunker bestellt..

akelus
119944
119944 22.02.2016 um 11:36:49 Uhr
Goto Top
Ansonsten noch "Software Restriction Policys" verwenden und das Ausführen von Dateien aus %appdata% für die User verbieten!

Hab gerade mal eine aktuelle Rechnungsmail bei Virustotal hochgeladen und nur F-Secure erkennt diese als Trojaner...
https://www.virustotal.com/en/file/46afa0ba3452ffc886e03de80ef26844458da ...

VG
Val
118080
118080 22.02.2016 aktualisiert um 14:12:14 Uhr
Goto Top
Jetzt mal eine evtl. dumme Frage, aber das ist ja ein recht fortgeschrittener Virus.
Wenn man nun einen Exchange Server hat welcher nicht Inhouse ist, und die Mail kommt über diesen Exchange Server. Im schlimmsten Fall wäre dann das komplette Netzwerk inkl. Cloud-Anbindungen befallen. Wäre dieser 'outgesourcte' Exchange Server auch infizierbar?
Ich denke nicht oder sehe ich das falsch?

LG Luca
mathu
mathu 22.02.2016 aktualisiert um 14:36:31 Uhr
Goto Top
Zitat von @118080:

Jetzt mal eine evtl. dumme Frage, aber das ist ja ein recht fortgeschrittener Virus.
Wenn man nun einen Exchange Server hat welcher nicht Inhouse ist, und die Mail kommt über diesen Exchange Server. Im schlimmsten Fall wäre dann das komplette Netzwerk inkl. Cloud-Anbindungen befallen. Wäre dieser 'outgesourcte' Exchange Server auch infizierbar?
Ich denke nicht oder sehe ich das falsch?

LG Luca

Also erstmal solltest du dich überhaupt mit dem Problem genauer beschäftigen.
Der Exchange ist davon potentiell nicht betroffen, der liefert höchstens die Mails mit infizierten Anhängen aus.
So gesehen liefert auch ein outgesourcter Exchange die Mails.
Es handelt sich um einen Makro Virus, der sich in entsprechend präparierter Office Datei (Word, Excel etc. ) befindet.
Wird die Datei geöffnet und das Makro aktiviert, so schlägt die Malware zu und verschlüsselt sämtliche Laufwerke, derer sie habhaft wird, also mit dem entsprechenden Rechner verbundene.

Hier kannst du mal nachlesen, welche Massnahmen eventuell helfen können. face-wink
Quelle: Heise
http://www.heise.de/security/meldung/Krypto-Trojaner-Locky-Was-tun-gege ...
118080
118080 22.02.2016 aktualisiert um 14:57:16 Uhr
Goto Top
Ich habe mich bereits informiert. face-wink
Aber da der Virus ja auch alle Geräte im Netzwerk und angehängte Festplatten etc. UND Cloud Dienste befällt, ist es ja nicht zwingen ausgeschlossen das der Virus sich auch auf dem Exchange Server verbreitet. Gerade wenn evtl. jemand noch per RDP auf den Exchange Server zugegriffen hat.
Fürchten tue ich persönlich mich nicht so richtig, da ich sowieso alle Makros deaktiviert habe und die Mitarbeiter entsprechend gebrieft habe. Ausserdem arbeitet kein User als Admin, noch nicht mal ich im normalen Betrieb. (Das ist hier ja aber auch wahrscheinlich irrelevant, da ich von Fällen mit Standardusern gelesen habe.)
Den Link kannte ich schon, aber trotzdem danke. face-smile
brammer
brammer 22.02.2016 um 15:17:17 Uhr
Goto Top
Hallo,

da brauchst keinen Bunker...
Die Datenträger mit den verschiedenen Backups werden in andere Brandabschnitte ausgelagert und gut ists....

brammer
114078
114078 22.02.2016 um 15:58:09 Uhr
Goto Top
Danke für die Tipps.
coltseavers
coltseavers 23.02.2016 um 15:19:57 Uhr
Goto Top
Sind eigentlich alle Office-Versionen betroffen, oder nur bestimmte?
114757
114757 23.02.2016 aktualisiert um 15:35:21 Uhr
Goto Top
Zitat von @coltseavers:

Sind eigentlich alle Office-Versionen betroffen, oder nur bestimmte?
Alle bei denen VBA als Feature mitinstalliert wurde face-wink
VGem-e
VGem-e 24.02.2016 um 11:55:28 Uhr
Goto Top
Servus,

heißt also
- benutzerdefinierte (Neu-)-Installation durchzuführen
oder
- im Firmennetzwerk per Richtlinie die Makros deaktivieren

Gruß
VGem-e

P.S:
bringt eigentlich eine Reparaturinstallation bei schon installiertem Office die Möglichkeit, VBA und Co. sauber (und vor allem sicher) zu deinstallieren??
brammer
brammer 24.02.2016 um 12:20:34 Uhr
Goto Top
Hallo,

Reparaturinstallation bei schon installiertem Office die Möglichkeit, VBA und Co. sauber (und vor allem sicher) zu deinstallieren??

"Office" "sicher" und "Reparaturinstallation" in einem Satz.... Stolze Leistung .....

Richtiger Weg:
Daten Sichern.
Rechner Platt machen.
Rechner neuaufsetzen.
(Ich gehe davon aus das du ein Image hast face-smile)

brammer
SarekHL
SarekHL 24.02.2016 um 12:31:19 Uhr
Goto Top
Zitat von @brammer:

Rechner Platt machen.
Rechner neuaufsetzen.

Nur um VBA zu deinstallieren???
brammer
brammer 24.02.2016 um 12:35:01 Uhr
Goto Top
Hallo,

wenn der Rechner befallen ist, dann plattmachen. Wenn es nur die VBA deinstallation ist dann sollte es reichen. Nur geht das über eine Reparaturinstallation?

brammer
SarekHL
SarekHL 24.02.2016 um 12:41:11 Uhr
Goto Top
Zitat von @brammer:

wenn der Rechner befallen ist, dann plattmachen.

Es ging ja (soweit ich es verstanden habe) nicht um einen befallenen Rechner, sondern um die vorbeugende VBA-Deinstallation, damit der Rechner gar nicht erst befallen wird. Ob das was bringt, ist eine andere Frage, offenbar wird das Ding ja inzwischen auch per JavaScript verteilt. Sensibilisierung der Nutzer wird wohl das effektivste sein ...
VGem-e
VGem-e 24.02.2016 aktualisiert um 12:46:11 Uhr
Goto Top
Servus,

meine Reparaturinstallation bezog sich nur auf das Office-Paket bei einem normalen PC!!!

Ansonsten stimme ich Euch voll zu!

Gruß
VGem-e
Henere
Henere 06.03.2016 um 21:53:23 Uhr
Goto Top
Akrosh
Akrosh 28.06.2016 um 15:02:55 Uhr
Goto Top
Locky wird meist über .JS-Dateien ausgerollt, in der Registry kann man diese einfach wie txtfile behandeln und sie werden mit dem Editor geöffnet ...

dazu einfach regedit öffnen und die Variable (Standard) unter HKEY_CLASSES_ROOT\.js in txtfile umbenennen oder via GPO so ausrollen, schon ist ein Angriffspunkt mehr geschlossen!