Topic: Warnung: 2016, das Jahr der Cryptoviren - locky and co - oder Ransomsoftware (Read 6754 times)

Ich denke man kann den Titel ändern in 2019 / 2020 das schlimmste Jahr der Malware , Trojan und Virus Beiträge !

Kann ich aufjedenfall bestätigen und ist hier nachzulesen : Report Malware and Suspicious Links here so Mods can take Action !
Der thread ist jetzt über ein Jahr alt und soviel Malware und Trojan links wie im letzten jahr wurde noch nie gepostet.

---

Das mit der Fotokiste stimmt aufjedenfall aber das heißt nicht das es immer schöne Erinnerungen sind !
Für manche ist eher nicht so toll da viele eventuell ihr ganzes vermögen verloren haben mit Scams und aderen sachen wie zb. Börsenschließungen.
Klar sind auch schöne sachen dabei aber das liegt immer im Auge des Betrachters.

Aber du hast recht , es ist schon manchmal gut das man manchmal über seine eigenen beiträge die von jahren gemacht hat stößt und man sieht was sich geändert hat.

Ach ja, ich erinnere mich dunkel dass ich hier mal einen kleinen Kommentar geschrieben habe...
Über 4 Jahre her!
Was sich in dieser Zeit alles verändert hat, merkt man gerade dann immer wieder, wenn man dank SO einem "Trigger" in der Vergangenheit schwelgt!

Schon alleine aus diesem Gesichtspunkt, vielen Dank fürs wiederbeleben...
Ich finde da eh gut, auch mal ein wenig aus alten Zeiten wieder hoch zu holen.
Die Zeiten sind heute anders, dementsprechend haben sich vlt. auch Meinungen geändert und es sind neue hinzu gekommen!
Für alle "älteren" Mitglieder (im Bezug auf das Jahr der Registrierung), ist es doch wie, für mich auch, wenn man mal wieder ne Kiste mit alten Fotos hervorholt, oder?

---

Ansonsten kann ich bei diesem Thema nur eine Sache immer wieder klar hervorheben:
Prävention ist immer besser als eine eventuell notwendig gewordene Intervention!

Danke, dass du den Thread wieder aus der Versenkung holst. Ich habe heute nämlich auch was durchaus spannendes (ok zumindest für mich) zum Thema Ransomware gelesen.

41% der Zahlungen von Cyberversicherungen gehen auf einen Schadensfall durch Ransomware zurück.
Quelle: https://www.zdnet.com/article/ransomware-accounts-to-41-of-all-cyber-insurance-claims/

Auch wenn der Thread von 2016 ist... es gibt sie noch immer die bösen Verschlüsselungstrojaner! Auch Ransomware genannt.
Ich bin vor ein paar Tagen über folgenden Link gestolpert und wollte euch das hier kurz niederschreiben.
https://www.nomoreransom.org/de/index.html


https://www.nomoreransom.org/de/about-the-project.html

Es geht nicht nur darum Infizierungen zu vermeiden sondern es wird auch Hilfe angeboten wenn man bereits erwischt wurde:
https://www.nomoreransom.org/crypto-sheriff.php?lang=de

Falls es auch nur einem User hilft oder jemand per google auf das Forum stößt und dann hier bleibt hat es sich schon ausgezahlt

Du willst also den Komfort der 90er Jahre zurück haben? Auf das läuft es raus, wenn du alle Löcher stopfen willst.

Komfort = Sicherheitslücke.

Das wird ausser dir keiner wollen. Schau dir mal den Alltag an. Eigentlich bin ich froh, das die Bestellungen eine gewisse Vielfalt an Arten haben. Monokultur ist enorm anfällig für Bugs. Aber ohne diese Möglichkeiten wären die Preise und Verfügbarkeiten nicht möglich. Bis 16:00 bestellen und morgen bekommen...wie soll das gehen ohne ausgereifte IT.

Treibt man den Sicherheitsaufwand hoch, benötigt man pro Arbeitsschritt mehr Zeit. Wieviel Zeit kostet dich dein backup übers Jahr? Klaro, läuft automatisch, aber trotzdem braucht man wöchentlich einiges an Zeit um es zu prüfen und zu schauen ob es noch passt. Alternativ macht man Voll-Backup. Nur jetzt wird es teuer. Ich habe 4TB Movies auf dem NAS. Die zu sichern kostet mich weitere 4 TB und eine Kiste die nur als Backup dient, wo es nicht möglich ist das der Trojaner durchgreift. Sind mal locker 500 Euro Mehrkosten. Die Wahrscheinlichkeit das ich in den nächsten 10 Jahren einen solchen trojaner bekomme liegt bei 10%, vieleicht 15%. Und kostet mich 150-200 Euro. In den 10 Jahren dürfte aber die Gesamtlösung verschlissen sein und muss ersetzt werden. Also weitere 500 Euro. Sicherheit kostet mich also mehr, als die Täter wollen.

Ändern die Täter ihre Arbeitsweise und Preise, platzt das Geschäftsmodell. zB wenn sie 500Euro wollten von Privat. Oder wenn sie nicht entschlüsseln danach. Ein schwarzes Schaf in der Scene und das ganze würde platzen. Du kannst dir sicher dann auch vorstellen, was mit diesen Jungs, die es übertrieben haben, passiert. Immerhin haben sie ein lukratives Geschäftsmodell der modernen Mafia zerstört.

Das Rad der Zeit dreht keiner zurück. Fehler die gemacht wurden lassen sich nur umschiffen, nicht ungeschehen machen.

Ist bei Linuxen nicht ein Rechtebit für die Ausführbarkeit zu setzen?
Bei den wenigen Manipulationen auf Androids und meinem Satreceiver musste ich jedenfalls bei einigen Dateien nach dem Kopieren/Eintippen via chmod die Ausführbarkeit aktivieren, um die Skripte starten zu können.

Und ja, es gibt mittlerweile etliche Dateiendungen, die von Windows direkt ausgeführt werden können, benutzt werden jedoch nur exe und com, soweit ich gesehen habe.
Die ganze Scripterei allerdings, da hast du Recht, die kann echt böse enden.

Da stellt sich mir aber auch die Frage: Warum braucht man das überhaupt? Was braucht in einem PDF "aktiven Content"? Das ist eine Seitenbeschreibung in Postscript, da kann/muss nicht mehr als Text und Formatierung drinstehen, Scripte sind da drin völlig nutzlos, zumal wenn sie etwas anrichten können. Und warum wird nicht einfach vor dem Ausführen solches Codes gefragt? Sandbox schon im Reader? Na?

Aber ich hab auch mit Kollegen zu tun, die "Warum kommt das denn immer wieder, ich hab doch auf 'Ich möchte diesen Newsletter nicht mehr erhalten!' geklickt. Mehrmals sogar!" sagen...
Manche wären echt besser mit Block und Bleistift bedient.

Linux kennt keine Endung, da steht der Typ im header. Man kann Endung anbringen, dient aber nur dem Verständniss des Menschen und wird sogar vom OS ignoriert. Eine Rechnung.pdf könnte also ausführbar sein.

In Windows ist es aber genauso scheisse, weil MS hier zwar die Endung auswertet, aber nicht anzeigt, wenn man das nicht aktiviert. Deswegen kennen die Menschen Endungen eher nicht. Und sind wir mal ehrlich, wer von euch könnte alle aus dem Kopf aufzählen. Naja..ihr könnt nun gerne nach googlen, stosst dann aufs selbe wie ich. Ich habe über 50 Endungen gefunden, in denen ausführbarer Code stecken kann. Diese Situation ist also auch einfach nur Scheisse. Und jeder sollte sich nun bitte an dieser Stelle mal ohne Suchen alle Endungen aufschreiben. Zumindest die welche meinen alle erkennen zu können. Ich kanns nicht, schon weil dauernd neue dazu kommen. Und sollte man in Zukunft Linux nutzen, wirds nicht besser werden.

Formatiert man dann noch mit: Korrekturrechnung für Auftrag 13 223 537z vom 13.2.2016 zur Lieferscheinnummer ....... sieht man garkeine Endung mehr, wenn man nicht die Datei speichert um sie dann im Explorer mit passender Einstellung anzuschauen. Und leider kommen solche überlangen Namen auch völlig real vor. Es sind dann auch die Kunden, die solche Wortmonster erschaffen und damit einfach ein Gefährdungspotential bringen.

Ja, mit einer fundierten IT-Ausbildung könnte man das regeln. Aber hier muss man sich auch vor Augen halten, das die IT gerade mal 30 Jahre alt ist und es schonmal 10 Jahre brauchte bis sich diese ganzen Endungen etablierten. Erst dann kann man Lehrbücher dazu schreiben, Lehrer ausbilden und die dann Kinder lehren. Um am Ende festzustellen, das nichts vom Gelehrten in der IT dann noch existiert. Es wurde schon lange durch Weiterentwicklung geändert.

Ja, man kann eine rechnung.pdf.exe abschicken, aber damit bekommst du nicht mal mehr meinen Hamster dazu falsch zu klicken, etwas mehr anstrengen muss man sich schon. Und mit 1000 Euro bekomme ich einen Exploid für PDF so das ich keine Exe schicken muss. Es kommt die rechnung.pdf an und es wird von Adobe Reader gestartet und ausgeführt incl nachladen des Schadcodes. Aber man muss den Anhang öffnen, was jedoch unvermeidlich ist. Im Business schreibt man übrigens selten die Rechnung direkt in die Mail. Weil die Fakturierungsprogramme nur Druckfunktion haben und man ins PDF druckt wenn man es mailen will. Und das schickt man dann als Mail ab. Integration in ein Mailprogramm geht allerhöchstens zu Outlook hin, benötigt aber dann Exchange Server. Der Aufwand ist hoch, der Nutzen gering und wenn der Kunde "text only" aktiviert sieht es scheisse aus. Firmenlogo und Briefkopf will man eben sauber formatiert da stehen haben. Mag nostalgie sein, aber auch Business hat seine Gepflogenheiten.

Hab ich mir angesehen, "damals" schon.
Ich versteh es trotzdem nicht.
Ja, faceb00k.com, hab ich ja gesagt, sowas kann ich noch akzeptieren.
Aber eine Zip-Rechnung, in der eine Exe-Rechnung ist? Wo sowas _immer_ als PDF kommt. Sogar immer noch mit Hinweis "Die angehängte...Adobe Acrobat PDF...Zum öffnen benötigen sie...hier herunterladen...."

Ich bin fassungslos, das Leute so wenig denken können.
Wie leben die? "Einatmen.... Ausatmen....".mp3 auf Repeat, man zieht den Kopfhörer aus'm Ohr und die laufen blau an?
Ich seh's schon in Lebensläufen:
Besondere Fertigkeiten: Kann dilettantische Phishingversuche im Mailprogramm erkennen.

Gerade weil die Jungs immer besser werden, sollte "dem Volk" doch klar sein, das man denken muss bevor man was tut. Und wenn es nur ein Doppelklick ist: erst Hirn einschalten, dann Hand zur Maus bewegen.

Guck dir das Video an, großartig erklärt.

Genau das ist der Casus Knacktus, es gibt erstaunlicherweise genug dumme Leute die auf so eine Schei*e reinfallen und nachher gezwungen sind zu bezahlen.

Aber keiner der 10% schickt seine "Rechnung.pdf.exe"...
Ist es so schwer, die Dateiendung zu kontrollieren?
Ich bekomme auch privat auf GMX Spam, die absolut täuschend echt ist:
- Echter Name
- Echte Adresse
- Echte Telefonnummer
- Ich bin Kunde bei dem Laden
- Die Rechnungsnummer ist plausibel, wenn auch nicht richtig so sieht sie doch so aus
Als Text ein glaubwürdiger Text, nur die Kundennummer fehlt, und es sieht plausibel so aus wie ein Brief aus dem System des Ladens, nicht echt, könnte es aber sein.
Nur der Anhang ist "Rechnungsnummer Ladenname&Domain.com" in einem zip in einem zip.
Ich müsste das also zweimal auspacken und dann über die nette Kennung "MS-DOS-Programm" hinwegsehen.

Ganz ehrlich, aber nein. Das sollte heutzutage nicht durchgehen.
Ungepatchte 0-day-Exploits, drive-by-downloads, böswillige "Werbung", ok, da hab ich Verständnis für, das kann passieren.
Aber ein Programm im Zip, das der Benutzer selber starten muss, da hörts dann auf.

Du musst mir nicht glauben, aber es sind die Jungen die Scheisse bauen. Je älter man ist, desdo mehr erfahrung hat man und lässt sich nicht so leicht aus der Ruhe bringen. Bedeutet, das man eher 2x nachdenkt oder um Hilfe bittet. Jungen Menschen fehlt diese Erfahrung, sie sind eher impulsiv und wollen beweisen, das sie es drauf haben (was also um Hilfe bitten ausschliesst).

Die Generation die keine IT in der Jugend hatte ist schon gestorben oder sehr weit weg vom Berufsleben. Jeder 50 Jährige hatte in seinen Anfangsjahren schon mit Computer zu tun beruflich. Selbst die 60 jährigen waren 30 als die ersten Computer kamen und sie waren letztendlich die, welche die Integration vorangetrieben haben. Diese Generation hat auch die Dialer und die ersten Viren mitbekommen. Damals noch Schutzlos, weils weder Virenscanner noch Firewalls gab. Die Abwehrwaffen kamen erst nach den Angriffen.

Und egal was du auch machst, am ende stehst du vor dem Dilemma, das eine Mail mit Anhang eben Tagesgeschäft ist. Aus der Bestellung wird ein PDF, die man dann via Mail verschickt. Nur zuhause als Privatmensch wird eine Bestellung noch konventionell in die Mail eingetippt. Im Firmenumfeld sind es Fakturierungsprogramme die das machen und als PDF ausgeben. Gut und Böse zu unterscheiden ist dann nicht immer leicht. Es ist nicht ganz einfach, wenn man die Anweisung gibt, Mails die nicht 100% sicher sind zu ignorieren und damit locker 10% an echten Anfragen unbeantwortet zu löschen. Das muss man sich leisten können. Und der Konkurrent, der seine Kontrolle nicht so stark ausweitet macht das Rennen, ich gehe also gut geschützt und abesichert in die Pleite.

Von dieser Lösung kann man leider nicht leben.

schön zusammengefasst...
https://www.youtube.com/watch?v=sEHzPVLIWUI

tl;dr; mitigation ist kein allheilmittel und awareness erst recht nicht

kann ich nicht nachvollziehen wie man sich sowas einfangen kann... in den Firmen und öffentlichen Stellen sollten eventuell auch die Mitarbeiter im sicheren Umgang mit PCs gelehrt werden anstatt sie einfach davor zu setzen und zu sagen mach mal... die sicherheit in manchen Unternehmen ist aber auch katastrophal... gerade heute im zeitalter der totalen digitalisierung muss die sensibilität gerade bei älteren generationen deutlich steigen im Umgang mit Daten...

Entschlüsselt wird sehr zuverlässig, incl Support beim Problemen. Das ist leider die eher schlechte Nachricht. Würden die da schlampen, wäre das Modell in kurzer Zeit tot. Aber da sie zuverlässig arbeiten ist nunmal das Bezhalne die billigere Lösung des Problems. Und das Problem wird auch gelöst. Ebenfalls sind alle Spuren beseitigt. Eine weitere Infektion ist erstmal nicht zu erwarten, es sei den man Klickt wieder falscht rum.

Zu Deutsch: die wissen wie sie ihre Kunden hoffieren müssen damit das Modell lange läuft.

Und was deine Kosten angeht: 20000 Euro jedes Jahr für etwas zahlen oder 200 Euro einmalig bei Infektion? Steuern wachsen nicht auf den Bäumen. Natürlich sensibilisiert man Mitarbeiter. Aber weist du genau wie du Informationen ans Amt liefern musst? Darfst du PDF schicken? Wier schauts mit ODF aus? erlaubt München ein ODF(die benutzen OpenOffice und Linux)? Muss ich vorher anrufen und meine Mailadresse in die Whitelist einpflegen lassen? Kommen Mails garnicht mehr beim Mitarbeiter an, sondern müssen erst beim Admin geprüft werden?

Schon der Nachsatz: Virengeprüft bei Norman Security und so ein bischen Werbelink wie es Free-Vienscanner so absetzen kann dich in den Spamordner schieben.

Du stellst dir das alles so homogen vor. Als wüsste jeder Mensch genau das er nur noch .txt anhängen darf und Tabellen mit Leerzeichen und fixpunkt Schriftart formatieren soll. Nein, so läuft es eben nicht. Und was nutzen eingeschränkte Rechte? Der Mitarbeiter MUSS auf die Platte schreiben können. Sonst kann er nicht speichern. Kann er speichern, kann der Virus auch verschlüsseln. Er verschlüsselt ja garkeine Programmdateien, sondern nur Datendateien und das ist ja nichts anderes als die Datei öffnen, lesen, speichern. Der Schaden ist der selbe ob eingeschränkt oder nicht.

PS: 20.000 wäre die Hardware, die Pflege bzw ein Arbeitsplatz eines Admins kostet im Jahr 100.000 Lohnkosten. Weil er eben einen 50 Wochenstundenalltag bei 35 Arbeitsstunden nicht abdecken kann und man folglich 3 Personen benötigt den Arbeitsplatz abzudecken. Und mit 35.000 Brutto bist du sicher kein Spitzenverdienen. Da bekommst du allenfalls angelernte ITler, die mal 6 Wochen Crashkurs gemacht haben. Gute ITler kosten 50.000 bis 60.000 im Jahr. Also kommen noch 180.000 Lohnkosten dazu. Pro Mitarbeiter also 1800Euro IT Kosten im Jahr. Bei 200 Euro Reparaturkosten im Schadensfall.

Das ist natürlich die "Heute" Situation. Nur für die gilt meine Analyse und Schlussfolgerung. Wenn sich das morgen ändert, mag das wieder anders aussehen. Nur bisher hat sich ein permanentes Backup nur bei Firmen gelohnt die pro Stunde Millionen Kosten haben. Alle anderen setzen auf normale tägliche Backups. Man muss da einfach realistisch bleiben. Keiner gönnt den Gaunern das Geld. Und man wird garantiert nun mit Hochdruck an Lösungen arbeiten. Nur im moment ist zahlen soviel billiger als Sicherheitsmassnahmen, das man nicht umhin kommt, erstmal zu zahlen.

Hallo, Aufwachen!

Wo es den Gemeinden ja überall total gut geht, die wissen gar nicht wohin mit der Kohle.
Und du willst 20000€ regelmäßig ausgeben, für sowas unsichtbares wie EDV-Sicherheit?

Kennst du doch:
Trifft einer einen ITler im Flur.
Situation A - Alles läuft normal: Sag mal, warum bezahlen wir euch eigentlich? Ihr tut doch nix...
Situation B - Locky, totale Panik, alles down: Sag mal, warum bezahlen wir euch eigentlich? Ihr nutzt doch nix...

Naja ich bin mir nicht sicher ob nach dem Zahlen des Lösegeldes die Daten tatsächlich entschlüsselt werden? Im Artikel dazu steht leider nichts. Auch wenn die Daten wieder da wären, sind danach sicher noch Rückstände der Ransomware auf dem Rechner vorhanden. Also ist es mit den "200€" noch nicht getan.
Die von dir genannten 10.000€ jährlich für ein Sicherhitskonzept sind für ein Rathaus mit 100 Mitarbeitern viel zu unterdimensioniert.
Mit einer vernünftigen Tapelibrary und regelmässigen Backuptastks, aktuellen Virenscannern und Clients mit eingeschränkten Rechten sowie die Sensibilisierung der Mitarbeiter nicht jedes geschickt bekommene Katzenbild zu öffnen, sollte sowas nicht passieren dürfen.
Es geht hierbei schließlich um die Sicherheit und den Schutz von Mitarbeiter- und Bürgerdaten. Wenn das der Gemeinde/Stadt keine 20.000€ im Jahr wert ist, kann sie das Rathaus eigentlich gleich dicht machen.

Es gibt kein Backupkonzept das es schafft nur 200Euro kosten zu verursachen fürs zurück spielen. Zumindest nicht in Produtkivumgebung. Wir haben multiple Backups, aber mittags um 2 fehlen uns ungefähr 50 Mannstunden, würden wir das Backup zurück spielen. Den es wird abends gemacht. Permanente Backups, die praktisch jeden Arbeitszyklus puffern kosten dich permanent derart viel Geld, das es nicht bezahlbar ist. Zum einen muss man dann einen Vollzeitarbeitsplatz schaffen und den mit 3 Personen belegen. Soviel braucht es, wenn du typische Arbeitszyklen von Behörden dir anschaust. Die haben mehr als 40Std die Woche auf, dafür rotieren Mitarbeiter in diese Positionen. Aber der Admin kann nicht ersetzt werden durch irgendeinen Sachbearbeiter. Und da auch der Admin krank wird oder Urlaub hat muss auch für diesen Fall ersatz da sein.

Und dann musst du Hardware in deutlich größeren Dimensionen anschaffen. Wo sonst ein einfacher Doppel-Xeon mit ein paar Festplatten reicht musst du dedizierte Speichersubsysteme, Loadbalancer, Verwaltungseinheiten zusammen gruppieren. Statt eines Servers hast du dann 4-5 Maschinen rumstehen und entsprechend hoch ist der Kostenfaktor. Wir reden da schnell mal von 10.000 Euro. Dafür können die sich monatlich einen Locky holen, zahlen und weiter schaffen und sparen noch Geld. Den in 3-4 Jahren sind die Maschinen ausgenudelt und müssen ersetzt werden. Das sind 2500Euro/Jahr

Aber wenn du meinst, erkläre doch mal wie so ein Backup sein müsste, welche Hardware man braucht um 2 TB Fileserverplatte Lockysicher zu managen bei sagen wir 100 Mitarbeiter im Rathaus. Bin da ja mal gespannt, ob es da was neues gibt, das weniger als 500Euro Mehrkosten(1/2 btc + Dienstleisterkosten) hat gegenüber einem Server mit Raid und externen Platten.

Nachher wollen die Politiker auch noch Haustürschlösser verbieten, wer sein Haus abschliesst hat etwas zu verbergen. 

http://www.golem.de/news/ransomware-die-verschluesselte-stadt-die-zahlte-1603-119563.html


Die Fachfirna hätte ich gerne gesehen. Hat bestimmt nur 50% Aufschlag verlangt. War wohl die selbe Fachfirna die sich um die Betreuung der EDV kümmert & das Backupkonzept erstellt hat

So gefährlich Locky auch sein mag, dem Bitcoinkurs scheint es nicht zu schaden

Ich hoffe nur, dass kein übereifriger Poltiker auf die tolle Idee kommt, Verschlüsselung an sich zu verteufeln.

Vielen Dank für die Info

Viele Schadsoftware hat Mechanismen, die erkennen wenn sie in simulierter Umgebung starten. Ob das Sandbox oder VM ist kann oftmals nicht erkannt werden. Aber die Schadsoftware versucht sich dann zu verstecken oder wird nicht ausgeführt. Oder sogar genau das erwartete gemacht.

Wenn da zb von einem Video die Rede ist und ein Video in der Sandbox angezeigt wird, heist das nicht, das in the Wild nicht doch noch zusätzliche etwas nachgeladen wird. Ganz so sicher wir man sich das vorstellt ist die Sandbox dann nicht.

Zusätzlich ja, aber Stealer die zb die Wallet abgreifen, haben trotzdem leserechte!

MfG

Das kam leider in den letzten Jahren häufiger vor, siehe Playstation Network...
Die Emailadressen bzw verteilerlisten kann man im darkweb kaufen. Für einen kleinen Teil eines BTC kann man hier tausende gültige Emailadressen kaufen. An diese Adressen schickt man z.B. Locky und einer ist immer dabei der den link dann anklickt und seinen Rechner infiziert...

Ebay wurde vor einiger Zeit gehackt und viele Accountdaten gingen flöten. Email, Konto, Namen. Vermutlich wird gerade diese Liste zugespamt.

also ich bekomm mails auf einen erfunden namen den ich NUR bei ebay verwedet hatte (war ein zweit fake acc)

Jo, stimme ich dir zu.

Wenn man sich die Viren der letzten 20 Jahre anschaut merkt man wie der Anteil an automatischen Infektionen abgenommen hat und wie immer mehr versucht werden muss, den User dazu zu bringen eine Aktion zu machen. Die letzten 2-3 Jahre sind praktisch alle großen Virenwellen auf Userinteraktion angewiesen gewesen.

Also kann man es dadurch auch ganz gut erkennen, wenn man seinen Blick dafür schärft.

Was es an Netzwerkinternen und Drive-by Vektoren gibt, wird von normalen Kriminellen nicht genutzt. Einfach zu teuer und man kann den Bug legal für fast das selbe verkaufen, wie man illegal abzocken könnte. Das nutzten dann andere und ist auch ein völlig anderes Thema. Das wird auch von Virenscannern meist nicht erkannt, weils da entsprechend Vereinbarungen gibt.

USA wird sich sicher keinen Exploid den sie teuer erworben haben, einfach so via Virenscanner lahmlegen lassen. Die haben da schon ihre Möglichkeiten, wie wir heute wissen.

Danke dir

Wie lang das genau für ein GB dauert kann ich nicht sagen, bei einem Kunden wurde der gesamte Desktop (tja...das war bei ihm eher ein Temp-Verzeichnis bzw Ablage...) ca 1,5-1,7GB (im Backup) war in ca 5Minuten verschlüsselt.

Chefin hat schon recht, wie schnell der genau ist kann man nicht sagen. Drehen Platten, also herkömmliche HDDs sind deutlich langsamer als SSDs. SSDs werden merklich schneller verschlüsselt, das liegt aber halt auch daran, dass SSDs einen deutlich größeren Datendurchsatz haben als HDDs.

@chefin
Natürlich sollte man sich nicht nur auf tools/Antivirensoftware verlassen. Aber diese bieten eine guten Grundschutz. Das von mir verlinkte Tool schützt NUR gegen Ransomware und nicht gegen z.B. "herkömmliche" trojaner.

Ist der Nutzer natürlich immer aufmerksam sinkt die Gefahr einer Infizierung deutlich.

Abhilfe schafft ebenfalls noch, per Richtlinie das starten/ausführen von Exe,zip, sonstige Dateien, zu unterbinden. Klar, das lässt sich auch wieder umgehen, aber bis jetzt funktionieren alle mir bekannten Ransomware in den Temp-Verzeichnissen bzw werden dort herunter geladen.

AES ist schnell. Der Key ist AES, er liegt aber mit RSA verschlüsselt auf deiner Platte. Und den Privatekey zu diesem RSA muss man kaufen.

Damit dürfte die Platte der begrenzende Faktor sein. Eine SSD könnte vieleicht schneller liefern als der PC verschlüsseln. Mechanische Festplatten aber wohl eher nicht. Damit dürfte ein Limit so bei 100-150MB/sec liegen. Vieleicht auch etwas mehr. Genaue Analyse der Software bekommt man wohl eher nicht. zB wieviel Kerne sie nutzt, wie stark sie parallelisiert usw.

Auch geht sie nicht pauschal auf alle Dateien los, sondern auf bestimmte Datenformate. Also muss sie auch erstmal die typischen Ablageorte abklappern, wo sie sicher einiges findet. Mit etwas glück liegt dort eher belangloses und die wichtigen Orte kommen erst später dran, wenn sie gefunden wurden. Das gibt einem eine gewisse Chance. Aber wie die das genau aufteilen..keinen Plan. Möglich wäre auch, das sie zuerstmal alle Verzeichnisse durchackern um die Orte mit dem höchsten Schadenspotential zu finden. Das dürfte recht schnell gehen. Und dann gezielt dort zuschlagen, wo möglichst viele Datendateien liegen.

Extrem interessant und sehr gut recherchiert, vielen Dank! Ist denn bekannt, wie lange die Verschlüsselung von zB 1 GB dauert? Ich schätze das ist abhängig von der im PC verbauten CPU?

Malwarebytes ist zu einseitig. Es wird hauptsächlich über Heuristik erkannt. Das machen aber Virenscanner auch.

Heuristik hat aber Nachteile, wenn man die Umgebung nicht kennt. Manche Dinge sind kaum zwischen Gut und Böse zu klassifizieren. Man benötigt also einen weiteren Virenscanner. Und der hat seinerseits auch Heuristik. Das man Verschlüsselung über Heuristik gut erkennen kann, wissen inzwischen alle und zumindest 2 Virenscanner mit denen ich zu tun habe lassen sich von keinen Verschlüsselungstrojaner mehr hinters Licht führen.

Allerdings wüsste ich auch schon, wie ich das wiederum austrickse. Momentan wird das erkannt, weil man die Verschlüsselung als solches erkennt. Und die Dateiendung auf eine bestimmte Endung geändert wird. Verschlüssel es, indem man es zusätzlich komprimiert und in ein .ZIP steckt. Und schon funktioniert die Heuristik nicht mehr. Oder sie lässt dich keine ZIP-Ordner mit Passwort mehr anlegen (die ja nichts anders sind wie verschlüsselte und komprimierte Dateien).

Du hast also für einige Tage Schutz, weist aber nicht wann die Hacker nachlegen. Und wie das so ist, man fühlt sich sicher und geht stärkeres Risiko ein. Bisher war kein Drive-by Infect dabei und der ist auch sehr schwer zu bekomme. Es ist nicht so, das jeder einfach in TOR schnell mal danach sucht und es downloaded. Sowas kostet richtig gut Geld. Musst du erstmal verdienen. Hacker sind ja keine reichen Menschen, die aus Langeweile sowas tun. Also fehlt zu Anfang das geld solche Exploids zu kaufen. Und später, wenn das Geld fliest, braucht man das doch garnicht. Es reicht doch, wenn immer was reinkommt. Erst wenn die Quelle am versiegen ist, wird man sich solche Exploids kaufen wollen. Ob die dann aber ihr Geld noch reinspielen? Ist ja auch so, das Virenscanner permanent nachlegen und so auch beim Drive-by nur noch wenige Infiziert werden.

Ich halte solchen Aktionismus mit schnell irgendwelche tools installieren nicht unbedingt für gut. Man fühlt sich sicher, ohne es zu sein. Gegen einen geschärften Geist hat Schadsoftware kaum eine Chance. Aber wenn man permanent alles irgendwelchen tools übergibt, wird man unvorsichtig und leichtsinnig.

Zu Malwarebytes kann ich noch sagen, dass es zumindest aktuell den Locky unterbindet. Habe es in einer VM getestet, und sobald man den Virus öffnet und die Verschlüsselung beginnt terminiert Malwarebytes den Prozess und die Verschlüsselung kommt nicht weit. Da die Software "free" ist, würde ich sie jedem empfehlen.

Unerwünschte E-Mails mit Gewinnen etc. - Dinge die einfach zu gut klingen, um wahr zu sein -  sind bekannterweise ein echter Klassiker der Betrüger. Ein Bekannter von mir, ist vergangene Woche leider auf diese eigentlich altbekannte Masche reingefallen. Hauptgewinn, Anhang... Locky   Würde ein Vertreter an seiner Tür stehen und ihm die Welt auf den Silbertablett servieren, wäre er doch sicherlich auch skeptisch. Warum dann nicht bei E-Mails? So ausgeklügelt viele Betrugsversuche per E-Mail auch sind, die meisten kann man sicherlich mit gesundem Menschenverstand vermeiden!

Die verschlüsselten Dateien des aktuellen Locky-Trojaners können im Prinzip nur entschlüsselt werden, wenn die Server der Betreiber bereits
beschlagnahmt wurden. Mit den richtigen Sicherheitseinstellungen und einem gesundem Menschenverstand sollte man jedoch ohne Angst im Internet surfen können. Meinen Bekannten empfehle ich eigentlich immer den Einsatz von NoScript (Stichwort: Drive-by Viren), Sandboxie, Defender und Virustotal. Dazu ein eingeschränktes Benutzerkonto. Damit surfe ich seit Jahren Virenfrei .

Das bereits angesprochene Malwarebytes Anti-Ransomware https://blog.malwarebytes.org/news/2016/01/introducing-the-malwarebytes-anti-ransomware-beta/ machte in ersten Tests einen sehr guten Eindruck! Vielleicht ein kleiner "Hoffnungsschimmer" im Kampf gegen Ransomware.

Das war ein "Experte" im Fernsehn gestern abend, der so einige Programme vorgestellt hat die die ersten Lockys entschlüsseln konnten.
Irgend wie war das
- Laden sie eine Datei herunter
- Geben sie dem Programm eine der verschlüsselten Dateien, es rechnet einen Key aus
- Den Key auf unserer Webseite eintragen
- Seite rechnen lassen (kostenlos), erzeugt eine Datei
- Anderes Programm runterladen, Datei einfügen, starten
- Alles wieder da, soweit möglich.

Er hat gesagt, das es nur bei "alten" Lockys hilft, seit ein paar Tagen nicht mehr, da ja ein Schädling aus dem Netz nachgeladen wird und der wohl besser verschlüsselt, weil nicht alle PCs ein festes Salt haben.
Der Fehler war, das ein recht einfaches Verfahren genutzt wurde mit einem großen salt, und das war immer gleich, so musste nur der einfache Schlüssel des eigentlichen Systems erraten werden und der war auf dem Server abgelegt (Rainbowtables?). War natürlich Nachrichtenmäßig einfach erklärt, damit jeder Depp mitkommt.
Der aktuelle Locky hat wohl tatsächlich ein zufälliges Salt und einen zufälligen Key, und mindestens einen sogar pro Systemstart. Mit ein bissel Pech sind die Files mehrfach gelockyt und man darf trotz Lösegeld verzichten, da natürlich nur der gerade laufende Locky den Key auf den Server lädt.

Kannst du mir bitte die Quelle nennen, in der du das gefunden hast? Das wäre sehr sehr hilfreich!

Es kann sein, dass hier nicht SHA sondern eine andere Verschlüsselung zum Einsatz kommt, mein Anliegen war es in erster Linie darauf aufmerksam zu machen. Nach dem ganzen Cryptsy Zeug muss keiner seine BTC auch noch verlieren, weil das Backup/Wallet verschlüsselt ist

Locky hat auch teilweise mit hardgecodeten Keys gearbeitet, war von daher in Sekunden brutebar.
Aber da alle 5 Minuten neue Lockies auftauchen mag das mttlerweile anders sein, und Konsens ist das Locky mittlerweile zu ist.
Durch den Onlineupdate ist da vorerst auch nix zu wollen.

Kleine Anmerkung zum ersten Post:


Soweit ich weiß wird mit PGP 2048 bit und AES 128 bit verschlüsselt. SHA(1,2,3) ist ohnehin nicht zur Verschlüsselung geeignet.

Auch wieder wahr.

Wir müssen wieder zum Einschreiben oder Fax zurück.
Aber da wird auch gespamt.

@hodlcoins:

Arbeite mal in der Auftragsannahme einer Firma oder ähnlicher Abteilung wo du mit Kunden zu tun hast. Du glaubst garnicht, was einem da alles zugemutet wird. Wir hatten sogar schon selbstentpackende (.exe) Archive mit PDF-Inhalt, deren Endeung auf .ZIP geändert waren. In der Mail steht dann auf .exe ändern und entpacken bitte. Natürlich haben wir das abgelehnt und den Kunden angerufen Telnummer war in der Mail.

Der war nicht angetan, das wir seine Mail nicht annehmen wollten. Er muss ZIP machen, weil deren Firewall keine Exe raus und rein lässt. Und er hatte schon den Fall das jemand kein ZIP entpacken konnte (oder wollte wie auch immer) also macht er es jetzt als Exe, damit JEDER es entpacken kann. Linux kennt er natürlich aber wird nur auf Servern und in Unis verwendet.

Das ist zwar eines der krasseren Beispiele, aber du hast unmengen an Dienstleister, die blödsinnige Verfahrensweisen haben das du nur den Kopf schütteln kannst. Einige Firmen pflastern ihre Mails so zu das unser Spamfilter immer drauf anspringt und wir Mühe haben sie zu whitelisten. Die wechseln auch noch dauernd ihre Absende-Domain, lt Sachbearbeiter je nachdem an welchem PC er gerade sitzt. Da versucht man erst garnicht ihn aufzuklären, wie er das einstellen kann. Den dann kommt, das er dann ja nicht mehr sehen können, für welches Projekt das ist. Herr...schmeiss....

Und in diesem Gewussel willst du noch seperat zur Mail irgendeinen extra Informationsaustausch haben. Wir haben 2000 Kunden, wenn statistisch nur alle 3 Jahre einem der Kunden seine Passphrase flöten geht und wir eine neue benötigen, kommt das 2x arbeitstäglich vor. Und ich bin mir sicher, das du einige Kunden hast, die mehrmals im Jahr aufgrund von Mitarbeiter wechsel diese Information ändern müssen. Das ist absolut Unbrauchbar für Auftragsbearbeitung. Weil bei 2000 Kunden diese Kunden eben nicht täglich bestellen, somit also hoher Anteil an Kunden die bei jeder Bestellung inzwischen auch diese Information für die 2FA geändert haben. Wenn ich aber in 50-70% der Fälle anrufen muss, kann man es auch gleich wieder faxen, das geht schneller als Reden.

Und dazu kommt, das man auch Spam erstmal nachtelefonieren muss. Erst wenn man hinterher telefoniert weis man ob es wirklich eine echte Mail oder ein Virus ist weil keine 2FA. Dann mach ich mir den Spaß und sende an die Bestellmail unmengen an Mails mit Telefonnummern wild durch die Bank. Ältere Menschen, weil dann dauert es länger bis man kapiert das man verarscht wurde. Behörden, weil du dann mindestens 5 Leuten die Story sagen musst bis du merkst, das da wohl spam reingekommen ist, Firmendurchwahl in Produktion wo es so laut ist, das du ewig brauchst rauszufinden das etwas nicht stimmt.

Wie gesagt, öffne die Möglichkeit Scheisse zu bauen und du findest Menschen die sich den Spaß erlauben es zu machen.

2FA für Mailanhänge:
Der Absender muss ein individuelles Kennwort vom Empfänger anfordern, mit dem ein evtl. Anhang verschlüsselt wird.
Da das für jede emailadresse individuell ist und sich unvorhergesehen ändern kann, ist es für Virenschreiber unrentabel.
Andere Anhänge werden kommentarlos gelöscht.
Mails nur noch als nur-Text, HTML/Richtext ebenfalls direkt in die Tonne, so wie es sich gehört.

Mühsam, aber effektiv. Wenn nur ich und Herr Müller wissen wie wir Mails verschlüsseln (und es reicht 123456 als Passwort) kann eine Mail nur von ihm persönlich sein, nicht nur "von seinem Rechner".
Man darf nur nicht den Fehler machen, der Maschine das PW anzuvertrauen, also kein "Tresor" oder PGP oder so.
Daher reicht auch ein einfaches Passwort, damit man es eben via Mail oder Telefon verteilen kann.

99,99% aller Mails die ich bekomme haben Richtext oder HTML nur für Logos, bunte Messehinweise, "Unterschriften". Keiner meiner legitimen Kontakte bräuchte das, man macht das weil's alle machen, und weil's geht. Einen echten Grund gibts nicht, genau wie für die Vertragsbedingungen unter Mails, völlig nutzlos, macht aber jeder.

@Zytrex:
Ja, eine Sandbox hilft, auch wenn sie seitens Kaspersky nicht empfohlen wird, da viele Programme die Sandbox erkennen und entweder umgehen oder das erwartete tun, damit kein Verdacht erregt wird.
Ich frage mich nur, warum du zweifelhafte Dateien überhaupt öffnen musst.
Kenn ich nicht: lösche ich. Hatte ich noch nie: lösche ich. Sieht komisch aus: lösche ich.
Und wenn mir wirklich einer sowas schicken muss, ruf ich an. Musste ich aber noch nie.

Ganz ehrlich, ich frage mich, warum Gehirn 1.0 nicht benutzt wird. Jeder Mensch hat eins, die wenigsten nutzen es.
Bislang ist mir selbst schon mehrmals diverser Scheiß ins Netz gegangen, da ich leider im info@-Verteiler bin.
Warum bin ich der einzige der 40 Kollegen, der sich Gedanken macht, ob Paypal wirklich so scheiße schreibt?
Ob wir echt ein Hotel in Slowakien nicht bezahlt haben, obwohl keiner unserer Mitarbeiter Außendienst schiebt?
Ob die Treiber ncht wohl auf dem aktuellen Stand sind, da ja alles einwandfrei funktioniert?
Ob mich Mahnungen oder Rechnungen wirklich was angehen? Ich habe Kollegen in der Produktion, die haben "Rechnungen" angeklickt. Warum zum Teufel? Du sitzt an einer Fräse. Was geht dich eine Rechung an? Willst du die bezahlen?

Ein einiziges Mal in den letzten 15 Jahren hat tatsächlich einer unserer Lieferanten einen virus auf der Maschine gehabt, der eine "Rechnung" via DOC mit Outlook und damit absolut echt mit Signatur und Anrede geschickt hat, und ich war der einzige der gemerkt hat, das Rechnungen normal als PDF kommen und das DOC leer ist und nach Makros fragt. Dabei hab ich mit Rechnungen nichts zu tun und lösche die eh ungesehen. Zum Glück hat uns Kasper in diesem Moment den Arsch gerettet.
Privat habe ich seit Jahren keinen Antivir, da es mir mehr Probleme macht als nützt, außer dem von MS ins Win7 eingebauten.
Ich surfe auch auf zweifelhaften Seiten, Adblock, NoScript und eine Fritze mit Kinderfilter sind alle meine Bollwerke, und ich nehm fast nur den IE von Win7.
Noch nie auch nur den Hauch einer Infektion gehabt. Könnte daran liegen, das ich nicht so doof bin allen scheiß anzuklicken. Und ja, ab und an lasse ich eine RescueDisk drüberfahren, bislang verschenkte Zeit.

Der war gut

Kurze Frage: Ich nutze Kaspersky als Virenschutz und zusätzlich Sandboxie.
Wenn ich mir über eine Datei unsicher bin starte ich diese mit Sandboxie.
Dies hat sich bis jetzt bewährt. Ist das aus eurer Sicht eine gute zusätzliche Lösung?

Wenn du leere Docs in Mails löschst wird der Virenschreiber eben was reinschreiben.

Jede Regel von Virenscannern kann wenn man sie erstmal weis umgangen werden. Das Regelwerk für Heuristik muss also so sein, sie den Virus "unmöglich" macht. zB wenn eine DOC gespeichert wird und dann 100% anders ist, stimmt was nicht. jetzt könnnte der Virus aber den header unverschlüsselt lassen und damit zwar anzeigen, wer die Datei angelegt hat, aber der Inhalt wäre trotzdem weg. Und die Heuristik ausgetrickst.

Was ich dir 100% zustimmen muss: man muss selbst aktiv werden. Nur sind diese Menschen eben nicht Dumm.

Und was das zahlen angeht. Es bringt nichts, wenn man statt 150Euro Erpressungsgeld 500Euro Betriebskosten hat. Und das wissen die Hacker auch. Löblich, Kunden davon abbringen zu wollen, aber wirtschaftlich nicht vertretbar. Leider bringt das immer mehr dazu auf den Zug aufzuspringen.

Was nun gefragt ist, sind Lösungen. Wie verhindert man Verschlüsselung. Leider sind die Aussichten hier eher schlecht. Das einzige was mir dazu einfällt: UEFI Secure Mode und den will ich eigentlich auch nicht durchsetzen weil er privat viele Nachteile hat. Eigentlich ist der UEFI-Mode teurer als Erpressungstrojaner.

Aber wie immer: gib dem Menschen etwas womit er scheisse bauen kann und er baut scheisse.

Ich kann leider auch bestätigen dass in den letzten drei, vier Wochen bei unseren Kunden der Befall durch Ransomsoftware stark zugenommen hat.
Die Woche verging kein Tag an dem wir keinen Server wieder wieder auf den Stand der letzten Sicherung zurücksetzen mussten.

Bisher konnten wir Kunden die am überlegen waren zu zahlen noch davon überzeugen es nicht zu tun. Aber bei einer größeren Arztpraxis die dadurch zwei Tage lang sogut wie zumachen muss, ist das nicht einfach.
Die Wahrscheinlichkeit dass man alles wieder entschlüsselt bekommt nachdem man zahlt stufe ich eigentlich recht hoch ein, da es sich sonst schnell rumsprechen würde dass zahlen eh nix bringt und keiner mehr zahlen würde. Allerdings müsste man auch dann jede Menge Aufwand in die Diagnostik stecken von welchem Rechner im Netzwerk der Befall los ging und was alles wirklich infiziert wurde. D.h. man müsste sich wirklich jeden Rechner im Netzwerk genau ansehen. Auch dann kann keiner garantieren dass der Schädling wirklich weg ist und nicht in zwei Monaten einfach wieder kommt.

Backup zurückspielen ist in meinen Augen die sinnvollste Lösung, trotz Ausfall und evtl verlorener Daten der letzten paar Stunden bis zurück zum letzten Zeitpunkt des Backups. Auch wenn dieser Aufwand den Kunden mehr kostet als die 0,5 BTC.

Im aktuellen Fall kam halt leider noch mehr Leichtsinn vom Kunden dazu, da der Arzt wohl das Administratorkennwort an seine Mitarbeiter mal weitergegeben hat und der Virus von einem PC über das Admin-Konto sogut wie alle Daten am Server verschlüsseln konnte. Wie genau es dazu kam, lässt sich schlecht raus finden da es natürlich keiner gewesen sein möchte.

Ich bin gespannt wie das Thema weitergeht und was die Hersteller von Schutzsoftware sich einfallen lassen.

Grüße

Warum wird da so ein Aufhebens drum gemacht, sogar in den Radionachrichten und wer weiß wo sonst noch, dabei ist es so einfach: Ein DOC im ZIP, und dann kommt die Makrowarnung -> alles in den Müll.
Soweit meine Tests ergeben haben, passiert ohne die Aktivierung des Makros genau gar nichts.
Exes in ZPIs werden schon vom normalen Office und Antivirus abgefangen.

Angeblich hilft nichts dagegen, man bekommt die Mail und der PC brennt. Ist das alles Medianpanikmache, oder einfach nur dumme Redakteure die meinen "alle reden davon, wenn wir's nicht auch tun meinen unsere Kunden sie wären schlecht informiert und kaufen eher die anderen"?

Und warum bekommen die etablierten Virenwarner es nicht in den Griff, ein Erkennerprog zu schreiben, das "leere" DOCs in ZIPs in Mails stumpf löscht?

Soweit ich sehe ist der einzige Streß dann, wenn irgend ein Mitarbeiter so doof war die Makros zu aktivieren.
In dem Moment hat man verloren, weil wohl wirklich alles in Reichweite verschlüsselt wird.
Interessant: Es scheint mit dem Lösegeld tatsächlich zu funzen, früher haben "die" ja oft nur kassiert und weiter kam nichts.
Und: Ich bezweifle, das ein User mehr als die eigenen Rechte auf einem Serverdrive nutzen kann.
Der Server bewertet den User anhand der gegebenen Credentials, hast du keinen Zugriff, bekommst du auch keinen. Es sei denn Locky wäre so schlau (und der Admin so doof), auch Standard-, leere oder geklaute Credentials anzuwenden.

Ich habe das Gefühl, dass dieses Jahr das Jahr der Viren schlecht hin wird.
Seit ca 5 Jahren arbeite ich in der IT-Branche, und bis gelegentlich ein paar Trojaner und Viren hatte ich abgesehen von Ad-Aware/SPAM nicht wirklich Probleme mit Viren auf der Arbeit.

Der eine oder Andere hat vielleicht schon von den neuen Kryptoviren gehört, der bekannteste ist wohl Locky.
Locky verschlüsselt ALLE Dateien auf dem lokalen System und greift auch auf andere Systeme in einem Netzwerk (z.B. Domain über). Es sind auch schon Fälle bekannt, in denen Locky auch Bereiche verschlüsselt hat, auf die der angemeldete Benutzer keine Zugriff hatte (z.B: Benutzerprofile/ Netzwerk Freigaben / ...).
Ich möchte hier kurz erklären, was die neuen Viren machen, und wieso sie so gefährlich sind.

Herkömmliche Viren richten Schaden an, oder spionieren das infizierte System aus (z.B. abgreifen von Passwörtern, Emailadresse, Onlinebanking, Paypal, ...). Das ist sicherlich nicht gerade ungefährlich, aber fast jeder aktuelle Virenscanner kann dagegen schützen.
Bei Cryptoviren verhält sich das ganze anders: Die Verbreitung geschieht aktuell primär per Email. Im Betreff findet man häuft "Invoice", "Urgent Invoice", "Awaiting Paypemt", "Rechnung", "Eilige Rechnung", "Mahnung"... Mit diesen Betreffen versucht der Absender Panik bei dem Empfänger zu verursachen. Im Anhang der Email befindet sich immer ein Emailanhang. Meißtens ein Worddokument, Excel-Sheet, PDF, ...
Ich persönlich hatte in meinem Umfeld bis jetzt "nur" mit dem Virus zu tun der sich per Emailanhang verschickt und eine Word-Datei im Anhang hatte.
Beim Öffnen/Lesen der Email an sich passiert in der Regel noch nichts. Öffnet man allerdings den Anhang, z.B. ein Word-Dokument so ist dieses meißtens leer. Im oberen Rand von Word sieht man den Hinweis von Microsoft: "Macros wurden aus Sicherheitsgründen deaktiviert. Hier klicken um macros zu aktivieren." Dies sollte man NIEMALS tun. Ich wiederhole, NIEMALS bei Emailanhängen irgendwelche Macros oder ähnliches aktivieren. Macros sind kleine Programme, die im Hintergrund Sachen machen. z.B.  Wird mit einem Macro ein Word-Dokument interaktiv, und der Benutzer kann per Maus z.B. ein Formular ausfüllen.

Was passiert, wenn man das Macro aktiviert?
Ein mal aktiviert, wird ein kleines VB-Skript gestartet. Dies ist an sich ebenfalls noch harmlos, allerdings beginnt nach dem Öffnen dann schon der Download des Virus. Der Virus wird auf schlecht abgesicherten Blogs, Foren bzw deren FTP Servern abgelegt und ist deshalb sehr schwer zurück zu verfolgen.
Ein mal geöffnet wird der Virus heruntergeladen. Das Downloadverzeichnis war fast immer C:\Temp oder %temp% (Temp-Verzeichnis des angemeldeten Benutzers). Die Heruntergeladene Datei hieß in meinem Fall meißtens 1.exe oder 3.exe. Sobald die Datei heruntergeladen ist, wird sie automatisch in fail.exe umbenannt und fängt an, im Hintergrund ALLE Dateien zu verschlüsseln. Es spielt dabei keine Rolle ob es Bilder, PDFs oder gar das eigene verschlüsselte Bitcoin Wallet ist.
Die eingesetzt Verschlüsselung ist immer ein SHA mit 2048bit, also mehr oder weniger fast unknackbar. Aktuell ist keine Möglichkeit bekannt die Daten wieder zu entschlüsseln. Die einzige Rettung bei einem infizierten System ist auf ein (hoffentlich) vorhandenes Backup zurück zu greifen und alle Daten neu einzuspielen.

Auf infizierten Systemen ist ein weiteres Arbeiten nicht mehr möglich, zum Teil bleiben die Rechner sogar im Bootvorgang nach einem Neustart stecken mit dem Hinweis, dass das System verschlüsselt wurde.
Im Windows wird auf den betroffenen Systeme alle Dateien mit der Endung ".locky" angezeigt. Ein Umbenennen des Bildes in z.B. JPG bringt keine Abhilfe !!!
Der Besitzer des infizierten Systems hat allerdings die möglichkeit, einen variierenden Betrag (bei mir waren es immer 0,5) in BTC auf ein BTC Konto zu überweisen. Danach kann man aus dem Darkweb (Zugriff per Tor-Browser) ein Tool herunterladen, dass die eigenen Dateien wieder entschlüsselt. Aktuell ist es so, dass die Dateien wirklich wieder entschlüsselt werden. Ein Kunde von mir (betroffen waren 15 Workstations und 3 Serversysteme) hat die 0,5BTC bezahlt, da er meinte, ca 200€ seien ok, alles besser als 2 Tage kein Arbeiten mit den Rechnern!
Ich persönlich würde davon stark abraten, da uns hier keiner garantiert, dass der Virus wieder kommt.

Und nun zum wichtigsten Teil: Wie kann ich mich schützen und wieso hilft mein Virenscanner nicht?
1. Der installierte Virenscanner hilft nicht, da der Virus sich nicht im Anhang der Datei befindet. Er kommt er später nach dem Öffnen des Anhangs auf den Rechner und enthält KEINE Virensignatur, da ein verschlüsselungsprogramm erst mal nichts schädliches ist.
2. Aktuell gibt es nur ein paar Antivirensoftware Hersteller, die verlässlichen Schutz dagegen bieten. Ich persönlich setze auf "Malwarebytes Anti-Ransomware". Diese Sofware befindet sich aktuell in einer Beta, biete aber schon jetzt einen guten Grundschutz gegen die neue Art von Viren. https://forums.malwarebytes.org/index.php?/topic/177751-introducing-malwarebytes-anti-ransomware/ Downloadlink findet ihr hier im Link, eine Registrierung ist nicht nötig.
Die Software von Malwarebytes scannt den Rechner permanent nach aktuell laufenden Verschlüsselungen, also kann es auch sein, dass sie anschlägt wenn man z.B. einen Container mit TrueCrypt erstellt. Da es eine Beta ist, kann es durchaus sein dass Fehlalarm ausgegeben wird.
3. Man sollte unbedingt ein Backup seiner Dateien anlegen. Es ist unglaublich wichtig, dass das Backup nicht auf eine andere interne Platte oder eine dauerhaft angeschlossene USB HDD läuft, da Locky auch direkt nach der Infizierung anfängt, auch USB und Serverplatten zu verschlüsseln. Auch ein Backup auf einer NAS (dauerhafter Netzwerkzugriff) ist nicht sicher. Ich habe mir z.B. einen Stick zugelegt, auf dem ich nur meine Bitcoinwallets/Litecoin/etc. gesichert habe.
4. Das aller wichtigste: Bitte achtet besonders darauf, was für Emails ihr von wem auf macht. Ich habe auch schon gesehen, dass sich der Virus mit internen Emailabsendern weiter verteilt. Hier ein Beispiel: Kunde besitzt einen Kopiere und hat Scan to Email konfiguriert. Der Virus greift die Adressbücher von infizierten Systemen ab (das hatte ich bis jetzt "nur" bei ca 50% der Fälle) und tarnt sich als interner Mailanhang: Text im betreff ist dann z.B: "More Scanned Files", "More PDF", "Scanner". Absender könnte sein [email protected], [email protected] allerdings halt auch [email protected]. Hier ist es noch wichtiger darauf zu achten, dass man diese Emails nicht löscht.


Ich hoffe, ich konnte hier ein wenig über die neue Art von Viren aufklären. Sollte jemand noch Fragen haben oder Hilfe benötigen, so könnt ihr hier gerne schreiben oder mir eine PM zukommen lassen. Sollte ich in der Lage sein euch zu helfen, so werde ich dies gerne tun.

Grüße,
testbug