Hallo,

Das kann ich morgen mal testen. Aber es gab auch schon den Hinweis, einfach wieder die Endung zu ändern. Das funktioniert definitiv bei uns nicht.

@Explo wollte ich ja, hatte meine Waffe schon im Anschlag aber Cosinus hatte eine Brandauer um seine PN gezogen.

@Cosinus seit heute gibt's nur noch pdf und jpg als Anlagen - geht doch, aber muss erst was passieren. Wie im waren Leben, wenn was passiert geht's plötzlich...

Übrigens, noch einmal der Hinweis, bei uns waren im Gegensatz zum Heise Beitrag, die Schattenkopien noch vorhanden. Allerdings stolpern wir auch nicht mit Adminrechten durch die Welt.

Zitat:

Zitat von ITSF

Hallo,

Übrigens, noch einmal der Hinweis, bei uns waren im Gegensatz zum Heise Beitrag, die Schattenkopien noch vorhanden.

So gut wie nichts ist hundertprozentig!

Zitat:

Zitat von KernelpanicX

So gut wie nichts ist hundertprozentig!

Malware kann ja auch Bugs haben und nicht immer so laufen, wie von den Erpressern gewollt. Also ohne Adminrechte kann die eh nix an den Schattenkopien rumfummeln. Auf ein Netzlaufwerk, das zu einem von Schattenkopien geschütztem Share eines Windows Servers führt, kann der Schädling auch nix machen. Der tobt sich nur auf der lokalen Kiste aus kann aber durch Schreibrechte auf den Netzlaufwerken entfernte Dateien kleinhacken

Mich wundert, dass nirgends Hinweise zur Prävention gegeben werden, bestenfalls findet man den dumpfen Hinweis auf (letzlich hilflose) Antivirensoftware.
Wie sieht es denn aus mit -> Makros deaktivieren? Oder sein MSOffice sauber konfigurieren? In den Makro-Sicherheitsrichtlinien steht zwar als Standard eingestellt, dass nur Makros "aus sicherer Quelle" ausgeführt werden dürfen, einen Klick weiter kann man dann jedoch lesen, dass standardmäßig "alle Quellen als sicher" angesehen werden (was sich abwählen ließe). Zumindest war das imho bis MSOffice 2010 so.
Wieso liest man nichts über User - versus Administratorrechte? Es kann doch nicht sein, dass sich keiner Gedanken über Prävention macht?

jo eben, für vssadmin braucht man Adminrechte.

Dazu passend: http://www.trojaner-board.de/176082-neuer-bsi-chef.html

Also so auf die Schnelle fällt mir ein für den Laien:

- Microsoft Office rausscheißen und LibreOffice verwenden
- AV mit Verhaltenserkennung verwenden => Emsisoft
- evtl auch prüfen, ob es überhaupt Windows sein muss

hehe.. gerade letzteres ist wirklich unbequem
Ersteres empfehle ich auch gerne, und für die Wirksamkeit von Emsisoft hätte ich gerne etwas Empirie.
Nachdem nun MSOffice leider immer noch ne Art Standard ist: ist Dir bekannt, ob eine Deaktivierung der Vorgabe "alle Quellen als vertrauenswürdig betrachten" im Makro-Ausführungsmodus "nur vertrauenswürdige Quellen ausführen" bereits zur Kastration von locky führt?


_________________
*p.s.: die Präsentation auf der Emsisoft- Seite finde ich sehr gelungen!

Zitat:

Zitat von ichwieder

und für die Wirksamkeit von Emsisoft hätte ich gerne etwas Empirie.

Dennis () hat da was gemacht => http://www.trojaner-board.de/175739-...ml#post1563355

Zitat:

Zitat von cosinus

Also so auf die Schnelle fällt mir ein für den Laien:

- Microsoft Office rausscheißen und LibreOffice verwenden

Das war ein Typo, oder?

Auf die Deaktivierung der Makros würd eich mich NICHT verlassen. Im Zweifel können die User die Makrosausführung ja wieder selbst aktivieren.

Zu Emsi kann schrauber noch was schreiben.

Zitat:

Zitat von cosinus

Auf die Deaktivierung der Makros würd eich mich NICHT verlassen. Im Zweifel können die User die Makrosausführung ja wieder selbst aktivieren.

Ich kann mich täuschen, aber was per GPO gesetzt wird hat idR Bestand.

Zitat:

Zitat von ITSF

Ah, ok vielleicht ist es jetzt Zeit uns von unserem Trend Micro Office Scan zu trennen.

Das ist sicher nicht der schlechteste Gedankegang. Unser Hauptgesellschafter hat das Ding im Einsatz und ich erwarte sehnsüchtig Januar 2017 wenn endlich die verdammte Lizenz abläuft.

Zitat:

Zitat von MightyMarc

Ich kann mich täuschen, aber was per GPO gesetzt wird hat idR Bestand.

Kommt das nicht darauf an, wie der Admin die GPO setzt?
Ich schau mir das grad mal an, irgendwie find ich die Einrichtung der GPOs für Office grad ein wenig schräg

Zitat:

Zitat von cosinus

Kommt das nicht darauf an, wie der Admin die GPO setzt?

Nun ja, im Grunde schon.
Beispiel aus MSO14:
Benutzerkonfiguration/Administrative Vorlagen/Microsoft Excel 2010/Excel-Optionen/Sicherheit/Sicherheitscenter/Einstellungen für VBA-Makrobenachrichtigungen
Wird das konfiguriert ist dicht. Global für Office habe ich es noch nicht gefunden, aber meine Leute nutzen eh nur Excel (für Texttabellen ) und Word (für alles mit Zahlen )

Zitat:

Zitat von cosinus

Leider ist das generelle Deaktivieren von Makros auch nicht immer eine Option. Viele Firmen realisieren ihre Geschäftsprozesse mit Office und Makros...

Da gibt es für Unternehmen aber Möglichkeiten, angefangen von den vertrauenswürdigen Speicherorten hin zur Signatur.
Und mal im ernst: eine Worddatei mit Makro ist nicht nur bei Nacht verdächtig. Bei mir wurde schon so einiges angefordert, aber Word mit Makros konnte ich noch immer umschiffen/verhindern.

Zitat:

Zitat von MightyMarc

Da gibt es für Unternehmen aber Möglichkeiten, angefangen von den vertrauenswürdigen Speicherorten hin zur Signatur.
Und mal im ernst: eine Worddatei mit Makro ist nicht nur bei Nacht verdächtig. Bei mir wurde schon so einiges angefordert, aber Word mit Makros konnte ich noch immer umschiffen/verhindern.

Ich glaub da haben wir eher eine zentrale, sichere und DAU-freundliche Mailverschlüsselung/-signierung etabliert

Bis dahin wird aber erstmal jede Mail mit Schrottanhang blockiert. Die Mail bekommt der Mitarbeiter ja, aber nur als Benachrichtung mit E-Mail blocked: <Betreff der geblockten Mail> und im Body steht auch der Grund der Blockierung. Ein Anruf beim freundlichen Admin und die Mail wird natürlich entsperrt wenn sie legitim ist

Ich hab auch schon erlebt, wie ein externes Unternehmen irgendwelche Daten uns zukommen lassen wollte. Da hatten wir aber schon lange ZIP gesperrt. Als ich das Ding sah traute ich meinen Augen kaum. Der hat einer ne EXE in eine ZIP gepackt weil er dachte die Daten stellt man in ausführbarer Form als Komplettpaket oder so zur Verfügung sowas schafft Vetrauen, die Mail war aber tatsächlich ungefährlich/legitim