Locky wütet in Deutschland, 5k infektionen pro Stunde Einstellungen

[calimero]

alle infos hier

http://www.heise.de/newsticker/meldung/Kry...de-3111774.html

[Tanzbaer]

Bin mal gespannt was die großen Virenscanner dazu sagen (Norton, Kaspersky, Bitdefender usw...)

5.000 pro Stunde ist schon sehr viel, wenn die Zahl stimmt.

[Solution-Design]

Schlimm ist, dass man recht machtlos ist, gegen diesen Mist. Wenn jemand mehrere hundert Emails pro Tag vorselektiert, danach weiterleitet...einfach weil es seine Aufgabe ist, dann ist die Gefahr auch entsprechend groß, dass solch ein Mist passiert. Das Betriebssystem selbst bietet recht wenig Schutzmöglichkeiten. Da müssen intelligente verhaltensbasierende Programme her. Aber keine eierlegenden Wollmilchsäue, welche schon bei einfachen Aufgaben versagen, oder den Nutzer extrem einschränken.

[Solution-Design]

...und die Virenscanner sagen immer das selbe...Zweiter

[Schulte]

Schlimm ist, dass man recht machtlos ist, gegen diesen Mist. Wenn jemand mehrere hundert Emails pro Tag vorselektiert, danach weiterleitet...einfach weil es seine Aufgabe ist, dann ist die Gefahr auch entsprechend groß, dass solch ein Mist passiert.

Naja, derjenige sollte dann immerhin wissen, dass keine Firma Rechnungen in Form eines Word-Dokuments verschickt.
Dann wäre schon 99% der Gefahr gebannt.

[Capulcu]

BERLIN dpa | Ein aggressiver Erpressungs-Trojaner verbreitet sich aktuell weiter rasant vor allem auf Computern in Deutschland. Der Sicherheitsexperte Kevin Beaumont zählte 5.300 Neuinfektionen mit dem Windows-Trojaner „Locky“ durch gefälschte E-Mails pro Stunde. Damit lag die Infektionsrate in Deutschland deutlich vor den Niederlanden (2.900) und den USA (2.700).

Auch das Fraunhofer-Institut in Bayreuth zählte in dieser Woche zu den Opfern. Der Virus legte dort mehrere Dutzend PC-Arbeitsplätze lahm, indem er die Daten auf einem zentralen Server verschlüsselte und damit unbrauchbar machte.

Rest des Artikels bei taz

Die Frage ist, ob ein Dienst wie SpamFence dagegen schützen kann? Der Schutz vor tatsächlichem Spam ist bei diesem Dienst gigantisch, nur in wie weit er vor so was schützt???

[Solution-Design]

Naja, derjenige sollte dann immerhin wissen, dass keine Firma Rechnungen in Form eines Word-Dokuments verschickt.
Dann wäre schon 99% der Gefahr gebannt.

Das stimmt so nicht. Sehr viele Bewerbungen sind mit Ransoms versehen.

[citro]

Ein Semper-Video dazu

https://www.youtube.com/watch?v=331Fzhc_6nM

[simracer]

Ich bekam gestern auf Anfrage per PN von einem User des TB ein Locky File in eine ZIP gepackt und es wurde sowohl beim entpacken als auch beim Ausführen von Avast erkannt: Man sollte sich aber nicht darauf verlassen ob das installierte AV eine Ransomware Variante erkennt oder nicht und das System davor schützt oder nicht: Wichtiger ist es keine unbekannten E-Mail Anhänge zu öffnen, das System mit den installierten Programmen möglichst immer up to date zu haben und Sicherungen vom System sowie von wichtigen persönlichen Daten auf zum Beispiel einer USB Festplatte zu haben. Hab dann auch ein zuvor erstelltes Komplettbackup mit allen 3 Partitionen mit der Paragon Boot CD eingespielt.

Der Beitrag wurde von simracer bearbeitet: 20.02.2016, 13:57

[Gast_Rocky_*]

Man sollte sich aber nicht darauf verlassen ob das installierte AV eine Ransomware Variante erkennt oder nicht und das System davor schützt oder nicht: Wichtiger ist es keine unbekannten E-Mail Anhänge zu öffnen,

ja das ist schlimm mit dieser Ransomware.

soll ja nun nicht heißen, das es nur dieses avast erkennt,
wenn dann teste doch mal mit anderen AV Schutz. Du testest doch recht gern.

Wichtiger ist es keine unbekannten E-Mail Anhänge zu öffnen

das ist allgemein bekannt. Nur öffnen viele das.

[simracer]

soll ja nun nicht heißen, das es nur dieses avast erkennt,

Hab ich ja auch nicht geschrieben und es gibt bestimmt verschiedene bzw mehrere Varianten der Locky Ransomware vermute ich.

wenn dann teste doch mal mit anderen AV Schutz. Du testest doch recht gern.

Aber auch nur bis zu einem gewissen Punkt den ich gestern mit der erhaltenen Locky Ransom Variante erreicht habe.

das ist allgemein bekannt. Nur öffnen viele das.

Ja das ist bekannt ich habe gelesen es soll auch Varianten geben bzw noch kommen die per Exploits in Webseiten im Browser eingebunden werden und die dann erkennen wenn etwas wie Flashplayer usw nicht aktuell bzw nicht gepatcht ist, automatisch ihre Infektion starten können. Da blüht uns noch einiges mit diesen Ransomware Varianten wie Teslacrypt, Locky usw.

Der Beitrag wurde von simracer bearbeitet: 20.02.2016, 14:25

[Gast_Rocky_*]

Ich habe auch ganz schön Schiss, muss ich schon gestehen, wer nicht.

Man hat alles mögliche installiert, und da kommen solche Banden und zerstören alles,
es ist bald wie Krieg, echt. Bewege mich schon im Internet nur noch auf bestimmte Seiten, und lese bei
bekannten Foren, die mir vertrauenswürdig , sowie Nachrichten bei t online.

ps. übrigens : ich habe was in meiner Signatur von Zemana und da habe ich einen Tread eröffnet. http://www.rokop-security.de/index.php?s=&...st&p=396686 hat aber nichts mit dem hier zu tun.

Homepages traue ich mich bald auch nicht mehr zu klicken, da ich ja beim BA vote. usw.... ich habe regelrecht Schiss.

[Schattenfang]

Ich sehe für Heimanwender überhaupt keinen Grund zur Panik. Unbekannte Email-Anhänge werden eben generell nicht angerührt. Office-Programme lassen sich im Bezug zu Makros mittlerweile wunderbar und sicher konfigurieren. Flashplayer und Java kommen auf dem Heim-PC sowieso nicht mehr auf die Platte - wozu auch? Ich habe keines der beiden Programme jemals für meine umfangreichen Internetaktivitäten gebraucht. Ein ordentlich konfigurierter Browser mit umfänglichen Skriptschutz und Sandbox sollte mittlerweile auch Standard sein. Dazu ein ordentliches AV-Programm sowie eine saubere Rechte-Policy auf dem Benutzerkonto einrichten. Dass das System komplett auf dem aktuellen Stand sein muss, ist doch auch eine Selbstverständlichkeit.

Da können noch so viele Lockys pro Stunde kommen, es passiert einfach nichts.

Für Unternehmen ist die Sache sicherlich wesentlich prekärer. Da kann man solche Dinge nicht so leicht eindämmen, wie auf Heim-PCs. Generell gibt es aber auch gute Möglichkeiten, ein schädliches Nutzerverhalten zu kompensieren. Für mich ist das alles halb so wild, nicht wirklich neu und auch kein Grund zur Sorge. Auch die Erkenntnis, dass AV-Programme "Zweiter" schreien, ist ja seit Jahren hinlänglich bekannt. Bevor ich mir aber irgendwelche pseudoprofessionellen Anti-Locki-Programme oder sonst etwas auf dem PC installiere, mache ich ihn lieber selbst fitt gegen solche Infektionen.

Spannend finde ich an dieser sache eigentlich nur, ob Wege und Mittel der Entschlüsselung gefunden werden können und wie AV-programme auf unterschiedliche Varianten reagieren.

[Gast_Rocky_*]

@Schattenfang

ich finde das Du das sehr gut geschrieben hast und sehr beruhigend für mich, danke ! Für andere sicherlich auch.

[citro]

Ist eine Infektion auch über WPS Office oder dem einfachen Wordpad möglich ?

[Solution-Design]

Nein, können weder Makro noch VBS.

[citro]

Danke

[Rene-gad]

Schlimm ist, dass man recht machtlos ist, gegen diesen Mist.

wieso "machtlos"?
1) Einfach E-Mail-Inhalt (TEXT) lesen und verstehen - dann wird es in 99% der Fälle klar, dass es keine Leistungen der Fa.Schnitt und Co. in Anspruch je genommen worden waren und die Rechnung ein Irrläufer ist und gelöscht werden soll.
2) für das restliche 1% gilt: Anhang erst speichern, dann in Sandbox/VM öffnen.

Schwierig ohne Ende ist das Ganze, oder...

[SLE]

wieso "machtlos"?
1) Einfach E-Mail-Inhalt (TEXT) lesen und verstehen -...

Passt ja nur auf diesen Fall hier, wo man eben mal wieder Office Dokumente nutzt als Start in der Kette.

Der eigentliche Schädling, der über die so erstellte Datei dann nachgeladen wird, ist aber kein ein Makro Virus wie vielerorts geschrieben...folglich kann er auch wie alle Verschlüsselungstrojaner über x andere Wege kommen: Download, lustige exe, Flash Lücken etc.

Alle Tips die sich nur auf Mails beziehen greifen hier also zu kurz.

Die Jungs von Surfright haben eine recht schöne Grafik erstellt, die zeigt wie das Ding funktioniert und wo viele Lösungen versagen können/versagten:


Quelle

Programme die einen gescheiten Schutz gegen Ransoms integriert haben schützen aber auch hier (HitmanPro, KIS, EAM...) ohne das Ding per Signatur kennen zu müssen: Proaktiv und gut.

[Schattenfang]

Alles richtig und auch sehr schöne und informative Grafik für den gesamten Infektionsprozess. Die Kette könnte in der Regel aber bei Punkt 4 immer unterbrochen werden. Und zwar ohne jegliche Zusatzsoftware.