[Update] Krypto-Trojaner Locky wütet in Deutschland: Über 5000 Infektionen pro Stunde

Mitglied: pelzfrucht

pelzfrucht (Level 2) - Jetzt verbinden

19.02.2016, aktualisiert 21.02.2016, 2591 Aufrufe, 12 Kommentare, 1 Danke

Moin,

Nachtrag vom 19. Februar 2016, 20:28 Uhr

Wie das Sicherheitsunternehmen Kaspersky berichtet, verbreitet sich das Erpresserprogramm nicht nur über infizierte E-Mails. "Zudem haben wir auch einige legitime Websites entdeckt, auf denen die
Locky-Schadsoftware platziert wird. Besucht ein Nutzer - mit entsprechenden Software-Schwachstellen auf seinem Rechner - eine solche Seite, versucht sich Locky automatisch auf diesem Rechner zu
installieren", teilte das Unternehmen am Freitag mit.
Quelle: heise.de

Mann, mann, mann.
Wird ja immer lustiger.

Viele Grüße
pelzfrucht
Mitglied: the-buccaneer
20.02.2016 um 02:38 Uhr
Nicht schlecht. Bin mal gespannt, ob ich nen Anruf kriege...

BTW: Weiss jemand, ob Netzlaufwerke sicher sind, wenn es einen Backup-User gibt, der als einziger Zugriff hat? Sollte meines Erachtens (noch) o.k. sein.
Muss doch nicht Hinz und Kunz Schreibzugriff auf auf ein gemapptes Backup Directory haben...

LG
Buc
Bitte warten ..
Mitglied: Vision2015
20.02.2016 um 12:00 Uhr
Guten Morgen,

Nein, Netzwerklaufwerke sind nicht sicher- auch nicht mit Backup-User...

Frank
Bitte warten ..
Mitglied: pelzfrucht
20.02.2016 um 15:15 Uhr
Hallo,

das sicherste wäre, wenn z.B. wöchentlich alle Clients ein Backup auf dem Server erstellen,
und der Server dass Backup anschließend automatisiert vom Netzlaufwerk wegkopiert.

Quasi:

1. Client erstellt Backup von sich auf Server.
2. Server verschiebt das Backup nach Fertigstellung an einen anderen (lokalen) Platz der nicht freigegeben ist.

= Bei Bedarf kann sich der Server Administrator das Backup holen und ein Virus (sofern er nicht auf dem Server läuft) kann keine vorhandenen Backups verschlüsseln. Höchstens Backups die nach der Infektion angelegt worden sind.

So würde ich es jedenfalls lösen.

Viele Grüße
pelzfrucht
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
20.02.2016, aktualisiert um 16:02 Uhr
Im Endeffekt hat die Sache ja auch seine guten Seiten. Denn jetzt werden die, die bisher keine Backups gemacht haben, eben auf die harte Tour wachgerüttelt. Den Fehler werden sie dann bestimmt kein zweites Mal mehr machen. Vorteil 2: Es gibt Arbeit noch und nöcher, lässt die Kasse klingeln, und belebt die Wirtschaft :-) face-smile. Zusätzliche Folge: Die Netze werden wieder ein Stück sicherer, sofern die Admins und User daraus lernen.

Gruß jodel32
Bitte warten ..
Mitglied: SarekHL
20.02.2016 um 20:54 Uhr
Wird dieses Mistding denn immer noch nicht von Kaspersky, Avira, Norton & Co. erkannt und blockiert? Wie kann es Tage nach dem Erscheines immer noch so viele Neuinfektionen geben?
Bitte warten ..
Mitglied: pelzfrucht
21.02.2016 um 00:53 Uhr
Eine Frage:

Wieso funktioniert das eigentlich in den Firmen?
Macht die UAC da keinen Strich durch die Rechnung?

Viele Grüße
pelzfrucht
Bitte warten ..
Mitglied: the-buccaneer
21.02.2016 um 04:40 Uhr
@pelzfrucht: Bitte frage MS. Evtl. sollten wir eine Sammelfrage starten? Ich kann es auch nicht verstehen, wie eine nicht signierte Anwendung sich diese Rechte aneignen kann. Makro hin oder her. Es führt Aktionen aus, wie Schattenkopien löschen ohne den User zu fragen. Das muss eine 0-Day Attacke auf einen der vielen Speicherüberläufe sein, die dann alles erlauben. (Steht ja immer das gleiche in den Beschreibungen von MS)

Oder betrifft es wirklich nur Admin-Accounts? Das konnte ich bisher nicht nachlesen.

@SarekHL: Weil die Autoren es grad wissen wollen. Mein Eindruck ist, die sitzen täglich dran und checken die Erkennung.

Aber die Vorstellung, dass stündlich 5000 User die (standardmässige) Makro-Warnung wegklicken ist erschreckend.

Eine Google Suche nach "Microsoft Locky" liefert auf den ersten 4 Seiten nur eine MS Seite. nämlich nur allg. Infos über die Bedrohung.

https://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx ...

Sonst nichts. Kein: "Wir haben die Bedohung erkannt und arbeiten schnellstmöglich an einem Patch" oder sowas. Nix.

Die tun so, als wäre das ein Grippevirus, das halt Gottes Schöfung mal befällt. Dann kommen die Ärzte und erfinden eine Impfung. Dann kommt das nächste Grippevirus usw.
Nur, dass in diesem Fall der Schöpfer nicht Gott oder Apple ist, sondern MS. ;-) face-wink

Ich gehe fest davon aus, dass auch Windows 10 betroffen ist. Weil man in Redmond mal wieder "User Experience" gegen "Quality" "getraded" hat. Weil man annimmt (zu Recht?) dass der User eben vernetzte Gummibärchen klicken will, die automatisch Schoko nachbestellen.

Ich verstehe aber auch die Antivirushersteller nicht. Die machen doch Verhaltensanalysen. Warum ist bleepingcomputers die einzige Seite auf der ich nützliche Informationen finde? Probiert denn keiner der Analysten mal, ob das nur mit Admin-Accounts läuft oder wenigstens Zugriffsrechte auf Shares noch sicher sind? und wenn die das testen, warum posten die das nicht?

Ich habe leider keine extra Hardware auf der ich ein paar VMs einrichten könnte um das mal sicher zu eruieren. Auf meine Produktivrechner kommt mir ein Virus nicht mal virtuell. Aber es sieht so aus, als ob ich das auch noch machen müsste, obwohl ich Geld für OS und AV bezahle.

So und jetzt höre ich auf, bevor ich ausfallend werde.

Buc
Bitte warten ..
Mitglied: Vision2015
21.02.2016 um 07:56 Uhr
Zitat von @SarekHL:

Wird dieses Mistding denn immer noch nicht von Kaspersky, Avira, Norton & Co. erkannt und blockiert? Wie kann es Tage nach dem Erscheines immer noch so viele Neuinfektionen geben?

Kaspersky Endpoint Security kann es, brauchte aber auf dem PC ca. 30 sec. um es zu merken, das ahtten wir am Freitag bei einem Kunden.

du glaubst es nicht, aber viele Kunden haben kein AV Programm.
Bitte warten ..
Mitglied: SarekHL
21.02.2016 um 08:15 Uhr
Zitat von @Vision2015:

Kaspersky Endpoint Security kann es, brauchte aber auf dem PC ca. 30 sec. um es zu merken, das ahtten wir am Freitag bei einem Kunden.

Nur Endpoint? Was ist mit Einzelplatz-PCs mit normalem Einzelplatz-Schutz?
Bitte warten ..
Mitglied: Valexus
22.02.2016, aktualisiert um 11:44 Uhr
Zitat von @Vision2015:

Zitat von @SarekHL:

Wird dieses Mistding denn immer noch nicht von Kaspersky, Avira, Norton & Co. erkannt und blockiert? Wie kann es Tage nach dem Erscheines immer noch so viele Neuinfektionen geben?

Kaspersky Endpoint Security kann es, brauchte aber auf dem PC ca. 30 sec. um es zu merken, das ahtten wir am Freitag bei einem Kunden.
Das Problem an der Sache ist, dass diese .doc Dateien mit Makros nicht erkannt werden sondern eventuell erst die nachgeladene Software.
F-Secure ist aktuell der einzige welcher eine Datei aus einer aktuellen E-Mail erkennt.
https://www.virustotal.com/en/file/46afa0ba3452ffc886e03de80ef26844458da ...

VG
Val
Bitte warten ..
Mitglied: Winfried-HH
24.02.2016 um 11:05 Uhr
Nein, Netzwerklaufwerke sind nicht sicher

Weiß jemand, ob Locky (als das nachgeladene eigentliche Schadprogramm) sich auch eigenständig im Netzwerk vermehrt (also den Programmcode auf andere Rechner kopiert und dort aktiviert), oder ob er nur Netzlaufwerke verschlüsselt?
Bitte warten ..
Mitglied: the-buccaneer
25.02.2016 um 02:26 Uhr
Bisher nicht berichtet.

Ich meine immer noch, dass Netzlaufwerke, die z.B. backups beinhalten sicher sind, wenn sie eben nicht für den aktuell angemeldeten (infizierten) Nutzer freigegeben sind. Bisher....

LG
Buc
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
Was passiert wenn ich zeitgleich PoE und Strom vom Netzteil an einen Access Point (Mikrotik) lege?
kartoffelesserVor 1 TagFrageNetzwerke3 Kommentare

Hallo Experten und Admins Ich habe einen Mikrotik wAP ac (RB-WAPG-5HACD2HND) an einem Laptopwagen im Einsatz. Leider ist die vorhandene Stromversorgung für den AP ...

Windows Server
Infrastruktur für Firma
brainwashVor 19 StundenFrageWindows Server7 Kommentare

Hallo zusammen, kurze Erklärung zu meinem Problem Wir sind eine kleine Firma mit zwei Standorten im Bereich Brandschutz. Zur Zeit nutzen wir für unsere ...

Netzwerkprotokolle
Proxy Zugang von Extern
gelöst Jannik2018Vor 1 TagFrageNetzwerkprotokolle17 Kommentare

Hallo zusammen, ich habe mir einen Squid Proxy auf einer Linux VM aufgesetzt und möchte das man aus allen netzen drauf zugreifen kann allerdings ...

Windows Server
Windows 10 VM auf Server 2019 Essentials
jhuedderVor 1 TagFrageWindows Server10 Kommentare

Hallo, einer meiner Kunden möchte aus Kostengründen einen Windows Server 2019 (direkt auf einer physikalischen Maschine installiert) erwerben und dort für einen Außendienstler mit ...

Server-Hardware
Verkaufe RX300 S7 Server von Fuijutsu
HolzBrettVor 20 StundenAllgemeinServer-Hardware9 Kommentare

Hi, Ich wohne in Aachen und habe die Server von der Firma umsonst erhalten. Ich habe sie bereits überprüft (es geht alles). Ich möchte ...

Windows Server
Veeam Endpoint Backup FREE zur Sicherung eines DCs
gelöst takvorianVor 1 TagFrageWindows Server7 Kommentare

Hallo zusammen, ich habe hier bei mir 1 Hypervisor mit 4 VMs (darunter 1 DC) welche ich mittels backupAssist alle wegsichere. Klappt soweit auch ...

LAN, WAN, Wireless
WLan-unterstütztes Telefonieren iOS, Unifi
VisuciusVor 1 TagFrageLAN, WAN, Wireless8 Kommentare

Hallo. Ich bins (wieder) ;-) Guten Morgen, ich beobachte seit einer Umstellung ein "komisches Verhalten" und kann mir das gerade nicht erklären. Und vielleicht ...

LAN, WAN, Wireless
Heimnetzwerk mit VLAN - getrennter Internetzugang
gelöst anyibkVor 1 TagFrageLAN, WAN, Wireless5 Kommentare

Hallo liebe Community! Ich bastle seit einiger Zeit an einem recht besonderen Heimnetzwerkproblem. Wir haben einen neuen Glasfaseranschluss ins Haus (3 Parteien) bekommen und ...