Microsoft bekämpft endlich Locky Virus

Mitglied: 1Werner1

1Werner1 (Level 1) - Jetzt verbinden

02.03.2016, aktualisiert 20:03 Uhr, 10640 Aufrufe, 15 Kommentare, 1 Danke

Moin,

auf Chip kam diese Meldung:

Windows Defender für Windows 10 mit Boot-Scanner
Die bereits vor ein paar Tagen veröffentlichte Windows 10 Redstone Build 14271 trägt eine angenehme Überraschung in sich: Microsoft hat den Offline-Modus des Windows Defenders freigeschaltet. Das > hat in diesem Fall nichts mit der Internet-Verbindung zu tun, sondern erlaubt das Scannen des Rechners vor dem Windows-Start.
Die Funktion war zwar bereits seit Windows 10 Build 1511, also vor dem Wechsel auf Redstone enthalten, ließ sich aber nur per Shell-Befehl aktivieren. Die Offline-Funktion des Windows Defenders erlaubt > es, die Festplatte auf Malware zu scannen, bevor die Schadprogramme aktiviert werden können. Somit lassen sich auch besonders hartnäckige Viren entfernen. Die Funktion wird über das Einstellungen->Untermenü "Update & Sicherheit" im Bereich "Windows Defender" gestartet. Der Vorgang bootet den Rechner neu und dauert ungefähr 15 Minuten.

Angriff von Virus Locky

wenn ich das jetzt richtig verstanden habe, wenn die Antiramsoftware von Malwarebyte diese Fehlermeldung herausbringt.

87768359dcd46d729864c7cb7975372d - Klicke auf das Bild, um es zu vergrößern

Könnte ich den PC neu starten und der Windows Defender würde den Virus beseitigen.
Dann bräuchte ich keinen neuen PC aufsetzen !
Ja, wenn das kein Fortschritt ist.

Gruss

Werner

Mitglied: Lochkartenstanzer
02.03.2016, aktualisiert um 11:39 Uhr
Zitat von @1Werner1:

Dann bräuchte ich keinen neuen PC aufsetzen !
Ja, wenn das kein Fortschritt ist.

Viel Glück. :-) face-smile

lks

PS: Du kennst das Halte-Problem? Das gilt auch für Virenscanner.. Insbesondere ist das Problem, daß wenn ein Virenscanner sagt, daß er nichts gefunden hat, er das genau das sagt: "Er hat nichts gefunden!" Er sagt nicht, "Es ist nüschtsch da".
Bitte warten ..
Mitglied: Valexus
02.03.2016, aktualisiert um 11:50 Uhr
Moin,

bringt vermutlich nichts.

Gibt da mehrere Probleme:
  • Viele Antiviren Programme deaktivieren den Windows Defender automatisch.
  • Die Viren werden im laufenden System aktiviert, deshalb sollte hier der Echtzeitschutz greifen. Wenn dieser nicht greift, dann kennt das Programm den Virus (der sich permanent ändert) nicht und kann ihn damit auch beim booten nicht entfernen. Wirst ja kaum warten wollen bis aktuallisierte Signaturen verfügbar sind...
  • Windows Defender findet nichts und ist damit kein Ersatz für ein Antiviren Programm.

wenn ich das jetzt richtig verstanden habe, wenn die Antiramsoftware von Malwarebyte diese Fehlermeldung herausbringt.
Könnte ich den PC neu starten und der Windows Defender würde den Virus beseitigen.
Falsch! Malwarebytes ≠ Windows Defender
Malwarebytes schaut ja jetzt extra ob ein Prozess viele Dateien ändert, da muss die Signatur des Prozesses noch lange nicht im Defender sein.

VG
Val
Bitte warten ..
Mitglied: Dilbert-MD
02.03.2016 um 12:16 Uhr
Zitat von @Valexus:
Gibt da mehrere Probleme:
  • Viele Antiviren Programme deaktivieren den Windows Defender automatisch.
  • Die Viren werden im laufenden System aktiviert, deshalb sollte hier der Echtzeitschutz greifen. Wenn dieser nicht greift, dann kennt das Programm den Virus (der sich permanent ändert) nicht und kann ihn damit auch beim booten nicht entfernen. Wirst ja kaum warten wollen bis aktuallisierte Signaturen verfügbar sind...

Hallo,
genau deshalb soll ja der Windows Defender Scannen, bevor Windows startet, die Marware anläuft und sich im laufenden Betriebssystem tarnt und versteckt und sich dann beim Windows-Herunterfahren noch eben schnell wieder auf die Platte zurückschreibt.
Wenn das System läuft, hat ja die Malware die Möglichkeit, sich zu verstecken, sich selber abzuändern, zu tarnen, den eigenen "Lagerplatz" mit Zugriffsschutz zu versehen oder den eigenen Lagerplatz als defekte Sektoren zu melden, und ggf. den Defender oder andere Schutzsoftware zu manipulieren. Bei dem o.g. Offline-Scan liegt die Malware quasi schutzlos auf der Platte und kann sich nicht verteidigen. Ist als ähnlich wie: Platte ausbauen und mittels USB-Adapter anstöpseln und scannen.

Gruß
Holger
Bitte warten ..
Mitglied: Avaatar
02.03.2016 um 12:57 Uhr
Das bringt meiner Meinung nach doch nichts. Wenn Du Dir Locky jetzt in diesem Moment einfängst und er es schafft sich zu installieren, wird er wohl direkt mit dem Verschlüsseln beginnen. Selbst wenn Du dann merkst dass da was passiert ist es für einen Teil der Daten schon zu spät. Da hilft Dir das Offline Scannen und entfernen auch nichts mehr, die Daten sind verschlüsselt.
Locky muss direkt beim reinkommen entdeckt werden bzw. wenn er anfängt Daten anzufassen. Alles andere ist zu spät.
Bitte warten ..
Der Kommentar von Sophia1979 wurde vom Moderator Kuemmel am 02.03.16 ausgeblendet!
Der Kommentar von Lochkartenstanzer wurde vom Moderator Kuemmel am 02.03.16 ausgeblendet!
Der Kommentar von Sophia1979 wurde vom Moderator Kuemmel am 02.03.16 ausgeblendet!
Mitglied: tomolpi
02.03.2016 um 13:38 Uhr
Zitat von @1Werner1:

Moin,

auf Chip kam diese Meldung

Jawoll, dann richte ich mich mal danach ;-) face-wink

Wer zum Teufel nutzt denn im Unternehmen den Windows Defender?!
Bitte warten ..
Der Kommentar von tomolpi wurde vom Moderator Kuemmel am 02.03.16 ausgeblendet!
Mitglied: Valexus
02.03.2016 um 13:44 Uhr
genau deshalb soll ja der Windows Defender Scannen, bevor Windows startet, die Marware anläuft und sich im laufenden Betriebssystem tarnt und versteckt und sich dann beim Windows-Herunterfahren noch eben schnell wieder auf die Platte zurückschreibt.
Wohin soll er sich verstecken wenn nicht auf die Platte?
Wenn Windows mit Dateien und Prozessen hantiert checkt der Virenscanner mit Echtzeit-Dateischutz jede einzelne Datei gegen seine geladenen Pattern. Wenn er diesen Virus nicht erkennt dann erkennt er ihn auch beim Neustart nicht! Die Erkennungsrate des Defenders ist unterirdisch!

Wenn das System läuft, hat ja die Malware die Möglichkeit, sich zu verstecken, sich selber abzuändern, zu tarnen, den eigenen "Lagerplatz" mit Zugriffsschutz zu versehen oder den eigenen Lagerplatz als defekte Sektoren zu melden, und ggf. den Defender oder andere Schutzsoftware zu manipulieren. Bei dem o.g. Offline-Scan liegt die Malware quasi schutzlos auf der Platte und kann sich nicht verteidigen. Ist als ähnlich wie: Platte ausbauen und mittels USB-Adapter anstöpseln und scannen.
Wenn man davon ausgeht, dass der 0815 Unternehmensnutzer über keine Adminrechte verfügt ist das alles sehr an den Haaren herbei gezogen und von den Rechten her garnicht möglich!
Ordentliche Antiviren Programme lassen sich ebenfalls zentral mit einem Passwort versehen, somit hat man es selbst mit Admin Rechten schwer.

VG
Val
Bitte warten ..
Der Kommentar von Lochkartenstanzer wurde vom Moderator Kuemmel am 02.03.16 ausgeblendet!
Der Kommentar von Sophia1979 wurde vom Moderator Kuemmel am 02.03.16 ausgeblendet!
Mitglied: 1Werner1
02.03.2016 um 14:02 Uhr
Moin Avaatar,

da bin ich mal deiner Meinung, wenn du das Tool AntiRansomware von Malwarebyte nicht einsetzt,
bringt dir das natürlich nichts mehr, da hast du wahrscheinlich ganz andere Sorgen, wenn die Server verschlüsselt werden.
Wenn du aber das Tool einsetzt und dann sind max 5 Dateien zerstört, dann kann man durchaus damit leben,
wenn der Virus beseitigt wird.
Wie das mit den Defender funktioniert, kann ich dir zum jetzigen Zeitpunkt nicht sagen, und ich werde das garantiert nicht freiwillig testen.
Wenn jemand das Testen möchte, bitte sehr gerne.
Dann bitte hier berichten.

Gruss

Werner
Bitte warten ..
Mitglied: tomolpi
02.03.2016 um 14:03 Uhr
Zitat von @1Werner1:
Wenn jemand das Testen möchte, bitte sehr gerne.

Klar, gerne, leider habe ich noch kein Exemplar vom locky :-) face-smile

Dann bitte hier berichten.

Bitte warten ..
Mitglied: Kuemmel
02.03.2016, aktualisiert um 14:21 Uhr
So wir haben uns hier bitte alle wieder lieb! :-) face-smile
Kommentare habe ich gelöscht.
Danke!

Gruß
Kümmel
Bitte warten ..
Mitglied: Avaatar
02.03.2016 um 14:43 Uhr
Hi Val,

ich kenne den Locky nicht genau (zum Glück) aber wenn er auch im User Kontext funktioniert, reicht das schon. Stell Dir mal euren Fileserver vor und wie Locky über alle Dateien auf die der User Zugriff hat drüber rauscht... Da kann man nur beten dass die letzten Backups gut funktioniert haben :) face-smile
Bitte warten ..
Mitglied: Valexus
02.03.2016, aktualisiert um 15:26 Uhr
Zitat von @Avaatar:
ich kenne den Locky nicht genau (zum Glück) aber wenn er auch im User Kontext funktioniert, reicht das schon. Stell Dir mal euren Fileserver vor und wie Locky über alle Dateien auf die der User Zugriff hat drüber rauscht... Da kann man nur beten dass die letzten Backups gut funktioniert haben :) face-smile
Vielleicht solltest du dich dann mehr informieren...

Nochmal: Jeder Virenscanner arbeitet mit Signaturen, wenn in diesen der aktuelle Locky (oder wie alle heißen) nicht erkannt wird dann wird er nicht gelöscht. Der Windows Defender ist da keine Ausnahme und erkennt in diversen AV-Tests nicht mal die Hälfte wie die renommierten Hersteller.

Ein Scan vor dem Systemstart bringt nichts, wenn in den Signaturen der Virus nicht existiert!

Wer wie @1Werner1 jetzt so blauäugig meint, dass der Defender gehen die aktuellen, ständig mutierenden Trojaner etwas machen kann oder Microsoft damit gezielt diese bekämpfen will liegt schlicht falsch.
Sinnvolle Tipps gibt es hier: https://www.administrator.de/wissen/ransomware-alles-wissenswert-halte-2 ...

VG
Val
Bitte warten ..
Mitglied: Avaatar
03.03.2016 um 07:04 Uhr
Hi Val,

wir widersprechen uns ja auch gar nicht in diesem Punkt. Klar wird Locky nicht gelöscht wenn er nicht erkannt wird, da hast Du Recht. Darin liegt ja auch das Problem. Der User braucht ja nicht mal Adminrechte damit Locky loslegt. Dann schreibt er sich eben "nur" ins Profil. Das Endresultat ist das gleiche. Er wird zu spät erkannt und hat dann bereits verschlüsselt. Und wenn man sich jetzt mal vorstellt, ein User ohne Adminrechte bekommt ihn und Locky läuft dann über alle Shares auf die der User Zugriff hat und verschlüsselt dort alles (also Fileserver), dann wird einem warm und man kann nur beten dass die letzten Backups gut liefen.
Die Stadt Rheine kann davon seit gestern ein Lied singen btw.
Bitte warten ..
Mitglied: Frank
03.03.2016, aktualisiert um 09:51 Uhr
Hi,

Ich dachte ja auch der Defender ist eher für die ... Hose. Allerdings hat Microsoft da wohl ganz andere Pläne. Gerade im Geschäftsbereich wird es eine Pro-Version von Defender geben, die Windows Defender Advanced Threat Protection (WDATP). Mit dieser Version oder sagen wir besser diesem Service werden mit Hilfe der Cloud die Attacken analysiert, ausgewertet und Gegenmaßnahmen eingeleitet.

Aber auch der normale User profitiert von den Neuerungen, in vielen neuen Tests zeigt sich, dass der eingebaute Defender mittlerweile genauso gut ist wie die Kauf-Software von Drittherstellern.

Siehe dazu auch Announcing Windows Defender Advanced Threat Protection - Windows Experience Blog

Microsofts Cybercrime Center kann mit Hilfe von WDATP jetzt schon in Echtzeit die weltweit ablaufenden Malware-Attacken grafisch darstellen.


Gruß
Frank
Bitte warten ..
Mitglied: Robbn-MB
04.03.2016 um 08:13 Uhr
Zitat von @tomolpi:

Zitat von @1Werner1:
Wenn jemand das Testen möchte, bitte sehr gerne.

Klar, gerne, leider habe ich noch kein Exemplar vom locky :-) face-smile

Dann bitte hier berichten.


Ein Exemplar kann ich dir zukommen lassen ;)
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 1 TagAllgemeinOff Topic48 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Batch & Shell
Wieso funktioniert das nicht?
gelöst Hundy132Vor 1 TagFrageBatch & Shell10 Kommentare

Hallo Freunde, kann mir irgendjemand sagen wieso meine Batch datei nicht funktioniert? So sieht Sie aus: Hier soll ein ein vorgegebenes Passwort Eingegeben werden ...

Server-Hardware
HPE ProLiant MicroServer Gen10 Plus - Wo wird das OS installiert?
mayho33Vor 1 TagFrageServer-Hardware13 Kommentare

Hallo @ All, Ich liebäugle mit einem neuem Server (siehe Überschrift). Mein alter Gen8 ist zwar immer noch am laufen, aber es gibt einiges ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 1 TagFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Router & Routing
Probleme mit VPN Verbindung über shrewsoft
martenkVor 1 TagFrageRouter & Routing25 Kommentare

Hallo Gemeinschaft, habe ein Problem mit der o.g. Verbindung die Verbindung wird aufgebaut und ich kann auch den entfernten Rechner anpingen unter ipconfig sehe ...

Exchange Server
Outlook Automatisch auf alle eingehendem Mail eine Antwortvorlage versenden
shooanVor 1 TagFrageExchange Server13 Kommentare

Guten Morgen, ich hätte da gerne mal ein Problem zur Lösung. Auf das Freigegeben Postfach Bewerbung@ wünscht nun die Führung das auf alle Mail ...

Hardware
Versorgungsengpass Chips
NebellichtVor 21 StundenAllgemeinHardware11 Kommentare

Allg. frage ich mich ja warum Apple auf ARM frühzeitig gesetzt hat. Die Automobilindustrie gerade Absatzprobleme hat, weil keine Chips mehr geliefert werden können. ...

LAN, WAN, Wireless
100m GBit-Richtfunk im Freien - Produktempfehlungen?
mstrd308Vor 1 TagFrageLAN, WAN, Wireless9 Kommentare

Hallo zusammen, ich bin auf der Suche nach Produktempfehlungen um einen Richtfunk von einem Gebäude zu einen weiteren zu realisieren. Die Peripherie soll draußen ...