Microsoft bekämpft endlich Locky Virus
Moin,
auf Chip kam diese Meldung:
Angriff von Virus Locky
wenn ich das jetzt richtig verstanden habe, wenn die Antiramsoftware von Malwarebyte diese Fehlermeldung herausbringt.
Könnte ich den PC neu starten und der Windows Defender würde den Virus beseitigen.
Dann bräuchte ich keinen neuen PC aufsetzen !
Ja, wenn das kein Fortschritt ist.
Gruss
Werner
auf Chip kam diese Meldung:
Windows Defender für Windows 10 mit Boot-Scanner
Die bereits vor ein paar Tagen veröffentlichte Windows 10 Redstone Build 14271 trägt eine angenehme Überraschung in sich: Microsoft hat den Offline-Modus des Windows Defenders freigeschaltet. Das > hat in diesem Fall nichts mit der Internet-Verbindung zu tun, sondern erlaubt das Scannen des Rechners vor dem Windows-Start.
Die Funktion war zwar bereits seit Windows 10 Build 1511, also vor dem Wechsel auf Redstone enthalten, ließ sich aber nur per Shell-Befehl aktivieren. Die Offline-Funktion des Windows Defenders erlaubt > es, die Festplatte auf Malware zu scannen, bevor die Schadprogramme aktiviert werden können. Somit lassen sich auch besonders hartnäckige Viren entfernen. Die Funktion wird über das Einstellungen->Untermenü "Update & Sicherheit" im Bereich "Windows Defender" gestartet. Der Vorgang bootet den Rechner neu und dauert ungefähr 15 Minuten.
Die bereits vor ein paar Tagen veröffentlichte Windows 10 Redstone Build 14271 trägt eine angenehme Überraschung in sich: Microsoft hat den Offline-Modus des Windows Defenders freigeschaltet. Das > hat in diesem Fall nichts mit der Internet-Verbindung zu tun, sondern erlaubt das Scannen des Rechners vor dem Windows-Start.
Die Funktion war zwar bereits seit Windows 10 Build 1511, also vor dem Wechsel auf Redstone enthalten, ließ sich aber nur per Shell-Befehl aktivieren. Die Offline-Funktion des Windows Defenders erlaubt > es, die Festplatte auf Malware zu scannen, bevor die Schadprogramme aktiviert werden können. Somit lassen sich auch besonders hartnäckige Viren entfernen. Die Funktion wird über das Einstellungen->Untermenü "Update & Sicherheit" im Bereich "Windows Defender" gestartet. Der Vorgang bootet den Rechner neu und dauert ungefähr 15 Minuten.
Angriff von Virus Locky
wenn ich das jetzt richtig verstanden habe, wenn die Antiramsoftware von Malwarebyte diese Fehlermeldung herausbringt.
Könnte ich den PC neu starten und der Windows Defender würde den Virus beseitigen.
Dann bräuchte ich keinen neuen PC aufsetzen !
Ja, wenn das kein Fortschritt ist.
Gruss
Werner
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 297926
Url: https://administrator.de/knowledge/microsoft-bekaempft-endlich-locky-virus-297926.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
15 Kommentare
Neuester Kommentar
Viel Glück.
lks
PS: Du kennst das Halte-Problem? Das gilt auch für Virenscanner.. Insbesondere ist das Problem, daß wenn ein Virenscanner sagt, daß er nichts gefunden hat, er das genau das sagt: "Er hat nichts gefunden!" Er sagt nicht, "Es ist nüschtsch da".
Moin,
bringt vermutlich nichts.
Gibt da mehrere Probleme:
Malwarebytes schaut ja jetzt extra ob ein Prozess viele Dateien ändert, da muss die Signatur des Prozesses noch lange nicht im Defender sein.
VG
Val
bringt vermutlich nichts.
Gibt da mehrere Probleme:
- Viele Antiviren Programme deaktivieren den Windows Defender automatisch.
- Die Viren werden im laufenden System aktiviert, deshalb sollte hier der Echtzeitschutz greifen. Wenn dieser nicht greift, dann kennt das Programm den Virus (der sich permanent ändert) nicht und kann ihn damit auch beim booten nicht entfernen. Wirst ja kaum warten wollen bis aktuallisierte Signaturen verfügbar sind...
- Windows Defender findet nichts und ist damit kein Ersatz für ein Antiviren Programm.
wenn ich das jetzt richtig verstanden habe, wenn die Antiramsoftware von Malwarebyte diese Fehlermeldung herausbringt.
Könnte ich den PC neu starten und der Windows Defender würde den Virus beseitigen.
Falsch! Malwarebytes ≠ Windows DefenderKönnte ich den PC neu starten und der Windows Defender würde den Virus beseitigen.
Malwarebytes schaut ja jetzt extra ob ein Prozess viele Dateien ändert, da muss die Signatur des Prozesses noch lange nicht im Defender sein.
VG
Val
Zitat von @119944:
Gibt da mehrere Probleme:
Gibt da mehrere Probleme:
- Viele Antiviren Programme deaktivieren den Windows Defender automatisch.
- Die Viren werden im laufenden System aktiviert, deshalb sollte hier der Echtzeitschutz greifen. Wenn dieser nicht greift, dann kennt das Programm den Virus (der sich permanent ändert) nicht und kann ihn damit auch beim booten nicht entfernen. Wirst ja kaum warten wollen bis aktuallisierte Signaturen verfügbar sind...
Hallo,
genau deshalb soll ja der Windows Defender Scannen, bevor Windows startet, die Marware anläuft und sich im laufenden Betriebssystem tarnt und versteckt und sich dann beim Windows-Herunterfahren noch eben schnell wieder auf die Platte zurückschreibt.
Wenn das System läuft, hat ja die Malware die Möglichkeit, sich zu verstecken, sich selber abzuändern, zu tarnen, den eigenen "Lagerplatz" mit Zugriffsschutz zu versehen oder den eigenen Lagerplatz als defekte Sektoren zu melden, und ggf. den Defender oder andere Schutzsoftware zu manipulieren. Bei dem o.g. Offline-Scan liegt die Malware quasi schutzlos auf der Platte und kann sich nicht verteidigen. Ist als ähnlich wie: Platte ausbauen und mittels USB-Adapter anstöpseln und scannen.
Gruß
Holger
Das bringt meiner Meinung nach doch nichts. Wenn Du Dir Locky jetzt in diesem Moment einfängst und er es schafft sich zu installieren, wird er wohl direkt mit dem Verschlüsseln beginnen. Selbst wenn Du dann merkst dass da was passiert ist es für einen Teil der Daten schon zu spät. Da hilft Dir das Offline Scannen und entfernen auch nichts mehr, die Daten sind verschlüsselt.
Locky muss direkt beim reinkommen entdeckt werden bzw. wenn er anfängt Daten anzufassen. Alles andere ist zu spät.
Locky muss direkt beim reinkommen entdeckt werden bzw. wenn er anfängt Daten anzufassen. Alles andere ist zu spät.
Jawoll, dann richte ich mich mal danach
Wer zum Teufel nutzt denn im Unternehmen den Windows Defender?!
genau deshalb soll ja der Windows Defender Scannen, bevor Windows startet, die Marware anläuft und sich im laufenden Betriebssystem tarnt und versteckt und sich dann beim Windows-Herunterfahren noch eben schnell wieder auf die Platte zurückschreibt.
Wohin soll er sich verstecken wenn nicht auf die Platte?Wenn Windows mit Dateien und Prozessen hantiert checkt der Virenscanner mit Echtzeit-Dateischutz jede einzelne Datei gegen seine geladenen Pattern. Wenn er diesen Virus nicht erkennt dann erkennt er ihn auch beim Neustart nicht! Die Erkennungsrate des Defenders ist unterirdisch!
Wenn das System läuft, hat ja die Malware die Möglichkeit, sich zu verstecken, sich selber abzuändern, zu tarnen, den eigenen "Lagerplatz" mit Zugriffsschutz zu versehen oder den eigenen Lagerplatz als defekte Sektoren zu melden, und ggf. den Defender oder andere Schutzsoftware zu manipulieren. Bei dem o.g. Offline-Scan liegt die Malware quasi schutzlos auf der Platte und kann sich nicht verteidigen. Ist als ähnlich wie: Platte ausbauen und mittels USB-Adapter anstöpseln und scannen.
Wenn man davon ausgeht, dass der 0815 Unternehmensnutzer über keine Adminrechte verfügt ist das alles sehr an den Haaren herbei gezogen und von den Rechten her garnicht möglich!Ordentliche Antiviren Programme lassen sich ebenfalls zentral mit einem Passwort versehen, somit hat man es selbst mit Admin Rechten schwer.
VG
Val
Klar, gerne, leider habe ich noch kein Exemplar vom locky
Dann bitte hier berichten.
Hi Val,
ich kenne den Locky nicht genau (zum Glück) aber wenn er auch im User Kontext funktioniert, reicht das schon. Stell Dir mal euren Fileserver vor und wie Locky über alle Dateien auf die der User Zugriff hat drüber rauscht... Da kann man nur beten dass die letzten Backups gut funktioniert haben
ich kenne den Locky nicht genau (zum Glück) aber wenn er auch im User Kontext funktioniert, reicht das schon. Stell Dir mal euren Fileserver vor und wie Locky über alle Dateien auf die der User Zugriff hat drüber rauscht... Da kann man nur beten dass die letzten Backups gut funktioniert haben
Zitat von @Avaatar:
ich kenne den Locky nicht genau (zum Glück) aber wenn er auch im User Kontext funktioniert, reicht das schon. Stell Dir mal euren Fileserver vor und wie Locky über alle Dateien auf die der User Zugriff hat drüber rauscht... Da kann man nur beten dass die letzten Backups gut funktioniert haben
Vielleicht solltest du dich dann mehr informieren...ich kenne den Locky nicht genau (zum Glück) aber wenn er auch im User Kontext funktioniert, reicht das schon. Stell Dir mal euren Fileserver vor und wie Locky über alle Dateien auf die der User Zugriff hat drüber rauscht... Da kann man nur beten dass die letzten Backups gut funktioniert haben
Nochmal: Jeder Virenscanner arbeitet mit Signaturen, wenn in diesen der aktuelle Locky (oder wie alle heißen) nicht erkannt wird dann wird er nicht gelöscht. Der Windows Defender ist da keine Ausnahme und erkennt in diversen AV-Tests nicht mal die Hälfte wie die renommierten Hersteller.
Ein Scan vor dem Systemstart bringt nichts, wenn in den Signaturen der Virus nicht existiert!
Wer wie @1Werner1 jetzt so blauäugig meint, dass der Defender gehen die aktuellen, ständig mutierenden Trojaner etwas machen kann oder Microsoft damit gezielt diese bekämpfen will liegt schlicht falsch.
Sinnvolle Tipps gibt es hier: Ransomware - alles, was ich für wissenswert halte
VG
Val
Und das BKA hilft aktuell auch mit
http://www.heise.de/newsticker/meldung/BKA-Warnung-vor-Locky-enthaelt-V ...
http://www.heise.de/newsticker/meldung/BKA-Warnung-vor-Locky-enthaelt-V ...
Hi Val,
wir widersprechen uns ja auch gar nicht in diesem Punkt. Klar wird Locky nicht gelöscht wenn er nicht erkannt wird, da hast Du Recht. Darin liegt ja auch das Problem. Der User braucht ja nicht mal Adminrechte damit Locky loslegt. Dann schreibt er sich eben "nur" ins Profil. Das Endresultat ist das gleiche. Er wird zu spät erkannt und hat dann bereits verschlüsselt. Und wenn man sich jetzt mal vorstellt, ein User ohne Adminrechte bekommt ihn und Locky läuft dann über alle Shares auf die der User Zugriff hat und verschlüsselt dort alles (also Fileserver), dann wird einem warm und man kann nur beten dass die letzten Backups gut liefen.
Die Stadt Rheine kann davon seit gestern ein Lied singen btw.
wir widersprechen uns ja auch gar nicht in diesem Punkt. Klar wird Locky nicht gelöscht wenn er nicht erkannt wird, da hast Du Recht. Darin liegt ja auch das Problem. Der User braucht ja nicht mal Adminrechte damit Locky loslegt. Dann schreibt er sich eben "nur" ins Profil. Das Endresultat ist das gleiche. Er wird zu spät erkannt und hat dann bereits verschlüsselt. Und wenn man sich jetzt mal vorstellt, ein User ohne Adminrechte bekommt ihn und Locky läuft dann über alle Shares auf die der User Zugriff hat und verschlüsselt dort alles (also Fileserver), dann wird einem warm und man kann nur beten dass die letzten Backups gut liefen.
Die Stadt Rheine kann davon seit gestern ein Lied singen btw.
Hi,
Ich dachte ja auch der Defender ist eher für die ... Hose. Allerdings hat Microsoft da wohl ganz andere Pläne. Gerade im Geschäftsbereich wird es eine Pro-Version von Defender geben, die Windows Defender Advanced Threat Protection (WDATP). Mit dieser Version oder sagen wir besser diesem Service werden mit Hilfe der Cloud die Attacken analysiert, ausgewertet und Gegenmaßnahmen eingeleitet.
Aber auch der normale User profitiert von den Neuerungen, in vielen neuen Tests zeigt sich, dass der eingebaute Defender mittlerweile genauso gut ist wie die Kauf-Software von Drittherstellern.
Siehe dazu auch Announcing Windows Defender Advanced Threat Protection - Windows Experience Blog
Microsofts Cybercrime Center kann mit Hilfe von WDATP jetzt schon in Echtzeit die weltweit ablaufenden Malware-Attacken grafisch darstellen.
Gruß
Frank
Ich dachte ja auch der Defender ist eher für die ... Hose. Allerdings hat Microsoft da wohl ganz andere Pläne. Gerade im Geschäftsbereich wird es eine Pro-Version von Defender geben, die Windows Defender Advanced Threat Protection (WDATP). Mit dieser Version oder sagen wir besser diesem Service werden mit Hilfe der Cloud die Attacken analysiert, ausgewertet und Gegenmaßnahmen eingeleitet.
Aber auch der normale User profitiert von den Neuerungen, in vielen neuen Tests zeigt sich, dass der eingebaute Defender mittlerweile genauso gut ist wie die Kauf-Software von Drittherstellern.
Siehe dazu auch Announcing Windows Defender Advanced Threat Protection - Windows Experience Blog
Microsofts Cybercrime Center kann mit Hilfe von WDATP jetzt schon in Echtzeit die weltweit ablaufenden Malware-Attacken grafisch darstellen.
Gruß
Frank