1werner1
Goto Top

Microsoft bekämpft endlich Locky Virus

Moin,

auf Chip kam diese Meldung:

Windows Defender für Windows 10 mit Boot-Scanner
Die bereits vor ein paar Tagen veröffentlichte Windows 10 Redstone Build 14271 trägt eine angenehme Überraschung in sich: Microsoft hat den Offline-Modus des Windows Defenders freigeschaltet. Das > hat in diesem Fall nichts mit der Internet-Verbindung zu tun, sondern erlaubt das Scannen des Rechners vor dem Windows-Start.
Die Funktion war zwar bereits seit Windows 10 Build 1511, also vor dem Wechsel auf Redstone enthalten, ließ sich aber nur per Shell-Befehl aktivieren. Die Offline-Funktion des Windows Defenders erlaubt > es, die Festplatte auf Malware zu scannen, bevor die Schadprogramme aktiviert werden können. Somit lassen sich auch besonders hartnäckige Viren entfernen. Die Funktion wird über das Einstellungen->Untermenü "Update & Sicherheit" im Bereich "Windows Defender" gestartet. Der Vorgang bootet den Rechner neu und dauert ungefähr 15 Minuten.

Angriff von Virus Locky

wenn ich das jetzt richtig verstanden habe, wenn die Antiramsoftware von Malwarebyte diese Fehlermeldung herausbringt.

87768359dcd46d729864c7cb7975372d

Könnte ich den PC neu starten und der Windows Defender würde den Virus beseitigen.
Dann bräuchte ich keinen neuen PC aufsetzen !
Ja, wenn das kein Fortschritt ist.

Gruss

Werner

Content-Key: 297926

Url: https://administrator.de/contentid/297926

Printed on: February 8, 2023 at 22:02 o'clock

Member: Lochkartenstanzer
Lochkartenstanzer Mar 02, 2016 updated at 10:39:34 (UTC)
Goto Top
Zitat von @1Werner1:

Dann bräuchte ich keinen neuen PC aufsetzen !
Ja, wenn das kein Fortschritt ist.

Viel Glück. face-smile

lks

PS: Du kennst das Halte-Problem? Das gilt auch für Virenscanner.. Insbesondere ist das Problem, daß wenn ein Virenscanner sagt, daß er nichts gefunden hat, er das genau das sagt: "Er hat nichts gefunden!" Er sagt nicht, "Es ist nüschtsch da".
Mitglied: 119944
119944 Mar 02, 2016 updated at 10:50:09 (UTC)
Goto Top
Moin,

bringt vermutlich nichts.

Gibt da mehrere Probleme:
  • Viele Antiviren Programme deaktivieren den Windows Defender automatisch.
  • Die Viren werden im laufenden System aktiviert, deshalb sollte hier der Echtzeitschutz greifen. Wenn dieser nicht greift, dann kennt das Programm den Virus (der sich permanent ändert) nicht und kann ihn damit auch beim booten nicht entfernen. Wirst ja kaum warten wollen bis aktuallisierte Signaturen verfügbar sind...
  • Windows Defender findet nichts und ist damit kein Ersatz für ein Antiviren Programm.

wenn ich das jetzt richtig verstanden habe, wenn die Antiramsoftware von Malwarebyte diese Fehlermeldung herausbringt.
Könnte ich den PC neu starten und der Windows Defender würde den Virus beseitigen.
Falsch! Malwarebytes ≠ Windows Defender
Malwarebytes schaut ja jetzt extra ob ein Prozess viele Dateien ändert, da muss die Signatur des Prozesses noch lange nicht im Defender sein.

VG
Val
Member: Dilbert-MD
Dilbert-MD Mar 02, 2016 at 11:16:42 (UTC)
Goto Top
Zitat von @119944:
Gibt da mehrere Probleme:
  • Viele Antiviren Programme deaktivieren den Windows Defender automatisch.
  • Die Viren werden im laufenden System aktiviert, deshalb sollte hier der Echtzeitschutz greifen. Wenn dieser nicht greift, dann kennt das Programm den Virus (der sich permanent ändert) nicht und kann ihn damit auch beim booten nicht entfernen. Wirst ja kaum warten wollen bis aktuallisierte Signaturen verfügbar sind...

Hallo,
genau deshalb soll ja der Windows Defender Scannen, bevor Windows startet, die Marware anläuft und sich im laufenden Betriebssystem tarnt und versteckt und sich dann beim Windows-Herunterfahren noch eben schnell wieder auf die Platte zurückschreibt.
Wenn das System läuft, hat ja die Malware die Möglichkeit, sich zu verstecken, sich selber abzuändern, zu tarnen, den eigenen "Lagerplatz" mit Zugriffsschutz zu versehen oder den eigenen Lagerplatz als defekte Sektoren zu melden, und ggf. den Defender oder andere Schutzsoftware zu manipulieren. Bei dem o.g. Offline-Scan liegt die Malware quasi schutzlos auf der Platte und kann sich nicht verteidigen. Ist als ähnlich wie: Platte ausbauen und mittels USB-Adapter anstöpseln und scannen.

Gruß
Holger
Member: Avaatar
Avaatar Mar 02, 2016 at 11:57:18 (UTC)
Goto Top
Das bringt meiner Meinung nach doch nichts. Wenn Du Dir Locky jetzt in diesem Moment einfängst und er es schafft sich zu installieren, wird er wohl direkt mit dem Verschlüsseln beginnen. Selbst wenn Du dann merkst dass da was passiert ist es für einen Teil der Daten schon zu spät. Da hilft Dir das Offline Scannen und entfernen auch nichts mehr, die Daten sind verschlüsselt.
Locky muss direkt beim reinkommen entdeckt werden bzw. wenn er anfängt Daten anzufassen. Alles andere ist zu spät.
Member: tomolpi
tomolpi Mar 02, 2016 at 12:38:41 (UTC)
Goto Top
Zitat von @1Werner1:

Moin,

auf Chip kam diese Meldung

Jawoll, dann richte ich mich mal danach face-wink

Wer zum Teufel nutzt denn im Unternehmen den Windows Defender?!
Mitglied: 119944
119944 Mar 02, 2016 at 12:44:34 (UTC)
Goto Top
genau deshalb soll ja der Windows Defender Scannen, bevor Windows startet, die Marware anläuft und sich im laufenden Betriebssystem tarnt und versteckt und sich dann beim Windows-Herunterfahren noch eben schnell wieder auf die Platte zurückschreibt.
Wohin soll er sich verstecken wenn nicht auf die Platte?
Wenn Windows mit Dateien und Prozessen hantiert checkt der Virenscanner mit Echtzeit-Dateischutz jede einzelne Datei gegen seine geladenen Pattern. Wenn er diesen Virus nicht erkennt dann erkennt er ihn auch beim Neustart nicht! Die Erkennungsrate des Defenders ist unterirdisch!

Wenn das System läuft, hat ja die Malware die Möglichkeit, sich zu verstecken, sich selber abzuändern, zu tarnen, den eigenen "Lagerplatz" mit Zugriffsschutz zu versehen oder den eigenen Lagerplatz als defekte Sektoren zu melden, und ggf. den Defender oder andere Schutzsoftware zu manipulieren. Bei dem o.g. Offline-Scan liegt die Malware quasi schutzlos auf der Platte und kann sich nicht verteidigen. Ist als ähnlich wie: Platte ausbauen und mittels USB-Adapter anstöpseln und scannen.
Wenn man davon ausgeht, dass der 0815 Unternehmensnutzer über keine Adminrechte verfügt ist das alles sehr an den Haaren herbei gezogen und von den Rechten her garnicht möglich!
Ordentliche Antiviren Programme lassen sich ebenfalls zentral mit einem Passwort versehen, somit hat man es selbst mit Admin Rechten schwer.

VG
Val
Member: 1Werner1
1Werner1 Mar 02, 2016 at 13:02:30 (UTC)
Goto Top
Moin Avaatar,

da bin ich mal deiner Meinung, wenn du das Tool AntiRansomware von Malwarebyte nicht einsetzt,
bringt dir das natürlich nichts mehr, da hast du wahrscheinlich ganz andere Sorgen, wenn die Server verschlüsselt werden.
Wenn du aber das Tool einsetzt und dann sind max 5 Dateien zerstört, dann kann man durchaus damit leben,
wenn der Virus beseitigt wird.
Wie das mit den Defender funktioniert, kann ich dir zum jetzigen Zeitpunkt nicht sagen, und ich werde das garantiert nicht freiwillig testen.
Wenn jemand das Testen möchte, bitte sehr gerne.
Dann bitte hier berichten.

Gruss

Werner
Member: tomolpi
tomolpi Mar 02, 2016 at 13:03:35 (UTC)
Goto Top
Zitat von @1Werner1:
Wenn jemand das Testen möchte, bitte sehr gerne.

Klar, gerne, leider habe ich noch kein Exemplar vom locky face-smile

Dann bitte hier berichten.

Member: Kuemmel
Kuemmel Mar 02, 2016 updated at 13:21:58 (UTC)
Goto Top
So wir haben uns hier bitte alle wieder lieb! face-smile
Kommentare habe ich gelöscht.
Danke!

Gruß
Kümmel
Member: Avaatar
Avaatar Mar 02, 2016 at 13:43:49 (UTC)
Goto Top
Hi Val,

ich kenne den Locky nicht genau (zum Glück) aber wenn er auch im User Kontext funktioniert, reicht das schon. Stell Dir mal euren Fileserver vor und wie Locky über alle Dateien auf die der User Zugriff hat drüber rauscht... Da kann man nur beten dass die letzten Backups gut funktioniert haben face-smile
Mitglied: 119944
119944 Mar 02, 2016 updated at 14:26:48 (UTC)
Goto Top
Zitat von @Avaatar:
ich kenne den Locky nicht genau (zum Glück) aber wenn er auch im User Kontext funktioniert, reicht das schon. Stell Dir mal euren Fileserver vor und wie Locky über alle Dateien auf die der User Zugriff hat drüber rauscht... Da kann man nur beten dass die letzten Backups gut funktioniert haben face-smile
Vielleicht solltest du dich dann mehr informieren...

Nochmal: Jeder Virenscanner arbeitet mit Signaturen, wenn in diesen der aktuelle Locky (oder wie alle heißen) nicht erkannt wird dann wird er nicht gelöscht. Der Windows Defender ist da keine Ausnahme und erkennt in diversen AV-Tests nicht mal die Hälfte wie die renommierten Hersteller.

Ein Scan vor dem Systemstart bringt nichts, wenn in den Signaturen der Virus nicht existiert!

Wer wie @1Werner1 jetzt so blauäugig meint, dass der Defender gehen die aktuellen, ständig mutierenden Trojaner etwas machen kann oder Microsoft damit gezielt diese bekämpfen will liegt schlicht falsch.
Sinnvolle Tipps gibt es hier: https://www.administrator.de/wissen/ransomware-alles-wissenswert-halte-2 ...

VG
Val
Member: Henere
Henere Mar 02, 2016 at 18:10:03 (UTC)
Goto Top
Member: Avaatar
Avaatar Mar 03, 2016 at 06:04:02 (UTC)
Goto Top
Hi Val,

wir widersprechen uns ja auch gar nicht in diesem Punkt. Klar wird Locky nicht gelöscht wenn er nicht erkannt wird, da hast Du Recht. Darin liegt ja auch das Problem. Der User braucht ja nicht mal Adminrechte damit Locky loslegt. Dann schreibt er sich eben "nur" ins Profil. Das Endresultat ist das gleiche. Er wird zu spät erkannt und hat dann bereits verschlüsselt. Und wenn man sich jetzt mal vorstellt, ein User ohne Adminrechte bekommt ihn und Locky läuft dann über alle Shares auf die der User Zugriff hat und verschlüsselt dort alles (also Fileserver), dann wird einem warm und man kann nur beten dass die letzten Backups gut liefen.
Die Stadt Rheine kann davon seit gestern ein Lied singen btw.
Member: Frank
Frank Mar 03, 2016, updated at Sep 28, 2022 at 12:51:58 (UTC)
Goto Top
Hi,

Ich dachte ja auch der Defender ist eher für die ... Hose. Allerdings hat Microsoft da wohl ganz andere Pläne. Gerade im Geschäftsbereich wird es eine Pro-Version von Defender geben, die Windows Defender Advanced Threat Protection (WDATP). Mit dieser Version oder sagen wir besser diesem Service werden mit Hilfe der Cloud die Attacken analysiert, ausgewertet und Gegenmaßnahmen eingeleitet.

Aber auch der normale User profitiert von den Neuerungen, in vielen neuen Tests zeigt sich, dass der eingebaute Defender mittlerweile genauso gut ist wie die Kauf-Software von Drittherstellern.

Siehe dazu auch Announcing Windows Defender Advanced Threat Protection - Windows Experience Blog

Microsofts Cybercrime Center kann mit Hilfe von WDATP jetzt schon in Echtzeit die weltweit ablaufenden Malware-Attacken grafisch darstellen.

Gruß
Frank
Member: Robbn-MB
Robbn-MB Mar 04, 2016 at 07:13:18 (UTC)
Goto Top
Zitat von @tomolpi:

Zitat von @1Werner1:
Wenn jemand das Testen möchte, bitte sehr gerne.

Klar, gerne, leider habe ich noch kein Exemplar vom locky face-smile

Dann bitte hier berichten.


Ein Exemplar kann ich dir zukommen lassen ;)