Hallo!

Wie ein weitere Post darunter, kann ich das gleiche berichten!
es ist gestern bei 3 Kunden von uns aufgetreten, die nichts miteinander zu tun haben und, man versicherte mir, keine E-Mail oder links geöffnet zu haben. bei einem kunden kann ich mich darafu verlassen, dass es so war. es war auch im temp outlook ordner in dem die anhänge gespeichert werden bei der Ansicht, keine Datei mit tagesdatum war.

bei ALLEN begann die verschlüsselung um 15:06 Uhr

mal sehen, was heute kommt.
bei den kunden bei uns haben wir heute, bis auf weiteres, die Firewall für internetzugriffe gesperrt, so dass nur noch die Filialen auf den terminalserver kommen.

ich gehe von einer externen Aktivierung des Trojaners aus, da ich keinen angelegten Task im Scheduler fand.

er verlschüsselt nicht nur die Dateien, sondern verändert auch die Dateinamen:
test.doc wird A34YF09BA.locky

es sind auch Trojaner die letzten tagen durch das gfi geschlüpft

da rollt etwas übles auf auf uns zu...

gruss sepp

Moin

Sowas wie "externe Aktivierung" gibt es nicht. Dazu hätte der betroffene PC, auf dem die Daten verschlüsselt sind, sperrangeltweit direkt im Internet stehen müssen.

Zitat:

Zitat von mairhubr

bei ALLEN begann die verschlüsselung um 15:06 Uhr

Und woran machst du das fest? Am Änderungsdatum? Da kann man reinschreiben was man lustig ist.

Es ist die Standardaussage von den DAUs schlechthin, wenn man sie fragt was passiert sei oder sie gemacht haben, kommt immer als Antwort "nix!"

Viel wahrscheinlicher ist, dass irgendeine Mail mit dämlichen Word-Anhang (*.DOC) reinkam, sich als Rechnung tarnte und beim Öffnen der Datei mit MS-Word der Kollege aufgefordert wurde, irgendwelche Makros zu aktivieren. Auch Mails mit ZIP-Dateien sind bei den Erpressern sehr beliebt. Virenscanner auch auf zentraler Ebende, also solche auf Gateways, die die reinkommenden Mails untersuchen, erkennen die auch zu spät. Wenn sie erkannt werden, haben es schon viele in die Postfächer der Kollegen geschafft.

Zitat:

Zitat von mairhubr

da rollt etwas übles auf auf uns zu...

Das überrollt uns schon seit vier Jahren, so lange gibt es die cryptransoms schon...

Zitat:

Zitat von mairhubr

er verlschüsselt nicht nur die Dateien, sondern verändert auch die Dateinamen:
test.doc wird A34YF09BA.locky

Das ist auch ein alter Hut...

ihr zitat:
Sowas wie "externe Aktivierung" gibt es nicht. Dazu hätte der betroffene PC, auf dem die Daten verschlüsselt sind, sperrangeltweit direkt im Internet stehen müssen.


kann ich nicht unterstützen, da Trojaner die Möglichkeit zum nachladen haben. geht die Kommunikation nach aussen, öffnet sich der port in fw, und hier geht dann auch eine Kommunikation, es kann dann durchaus zu einem externem ausführungkommando kommen.

was der user am pc macht, entzieht sich meiner Kenntnis. da ich dort kein admin bin und wir dort keine volladministration leisten, weil es der kunde nicht wünscht (jetzt wird er es sich aber überlegen nach dieser aktion).

übrigens habe ich gleich Outlook geprüft, es wurde kein word-dokument (oder sonstiges Office dokument) geöffnet, da an diesem tag keine solche mail einging. ausserdem habe ich diesen kunden schon lange sensibilisiert.

was ist ein alter hut? die locky Dateien? keineswegs, denn beim googlen fand ich gestern abend nichts, erst heute morgen hier. worauf ich mich dann hier registriert habe um das zu posten.

gruss sepp

Zitat:

Zitat von mairhubr

kann ich nicht unterstützen, da Trojaner die Möglichkeit zum nachladen haben. geht die Kommunikation nach aussen, öffnet sich der port in fw, und hier geht dann auch eine Kommunikation, es kann dann durchaus zu einem externem ausführungkommando kommen.

Merkst du was?
Wenn der Trojaner etwas nachgeladen hat, muss der Rechner schon vorher infiziert gewesen sein. Das ist mitnichten eine "externe Aktivierung" eines unkompromittiertem Systems.

Um ein sauberes System von außen zu cracken, muss es schon ohne Absicherung direkt im Internet stehen. Und KEIN Client-Computer tut das.

Zitat:

Zitat von mairhubr

was der user am pc macht, entzieht sich meiner Kenntnis. da ich dort kein admin bin und wir dort keine volladministration leisten, weil es der kunde nicht wünscht (jetzt wird er es sich aber überlegen nach dieser aktion).

Schulungen dürften da eher helfen. Für jeden scheiß gibt es doch sonst auch ne Schulung. Office, ERP-Programme und und und - Computersicherheit gehört auch zum täglichen Umgang im Büro. Zumindest sollten die Basics vermittelt werden.

Zitat:

Zitat von mairhubr

übrigens habe ich gleich Outlook geprüft, es wurde kein word-dokument (oder sonstiges Office dokument) geöffnet, da an diesem tag keine solche mail einging. ausserdem habe ich diesen kunden schon lange sensibilisiert.

Das ist nur eine Möglichkeit. Da ich hier täglich einige Dutzend Logfiles sehe, kann ich mit Fug und Recht behaupten, dass nur eine Minderheit ständig auf Aktualität von zB Browser, Java, PDF-Reader und Flashplayer achtet. Und das sind die größten Einfallstore. Also neben der "manuellen" Installation des Schädlings per Mailananhang ein Drive-By-Download.

Zitat:

Zitat von mairhubr

was ist ein alter hut? die locky Dateien? keineswegs, denn beim googlen fand ich gestern abend nichts, erst heute morgen hier. worauf ich mich dann hier registriert habe um das zu posten.

Ob die Endung .locky oder .karlranseier lautet, das ist doch völlig wumpe, das Prinzip bleibt das gleiche.

sicherlich, kann man locky mit schwanz ersetzen. es geht hier aber um den wiedererkennungswert für andere, die eine lösung suchen.
du bietest nur das prä aber nichts zu post.
bei vielen kleinen firmen, wollen die Chef´s nichts davon hören von Schulungen an die Mitarbeiter. bei vielen kleinen unternehmen ist es nicht gewünscht anhänge zu sperren und vom admin freigeben zu lassen.
du fragtest einen schreiber hier, er ob er schon in grösseren betrieben gearbeitet hat. hier meine Gegenfrage: schon mal in einem kleinem kmu gearbeitet???
da werden massnahmen nur dann ergriffen (Geld für Sicherheit ausgegeben) wenn das Kind in den brunnen gefallen ist.

ich schrieb gestern abend an die heise-redaktion, die mich darauf kontaktiert hatte und dazu noch mehr Nachrichten im laufe des vormittags bekam.

es ist nicht so einfach bei kleinen unternehmen, wie bei siemens, daimler, vw oder BMW, wo eine it-sicherheitsbteilung vorhanden ist, die eine Strategie ausgibt, die die admins umsetzen.
im Handelsunternehmen ist eben viel kunden- und Händlermailverkehr.
das gfi filtert schon einiges aus bei unseren kunden, aber dort zischt hin und wieder eine mail durch.

achja: Java.... viele kmu´s haben sofware, die sie nicht aktualisieren... die können dann bestimmte windows- oder javaupdates machen, weil die Software dann einfach nicht mehr läuft.
ich achte immer auf updates auf den ts, die ich supporte (z.T. mit 120usern), auch Adobe, flashplayer wird erst nicht auf ts installiert, weil es ein verbot zum surfen auf dem ts gibt. das dürfen die nur lokal auf dem pc. dazu kommt die recherche zu Produkten bei Herstellern... und der download von sicherheitsdatenbläter o.ä. des Herstellers.

ich dachte immer man bekäme hier hilfe, statt dessen von grosskotzigen admins von grossunternehmen nicht weiterhelfende zum teil Kommentare, die die verfasser als idioten dastehen lassen.

so... jetzt geh mal in dich, und schau mal über den tellerrand auf kleine kmu´s die bis jetzt nie einen schaden hatten.
du glaubst nicht, welchen ärger wir haben, weil die Chef´s eben keine 6tb datensicherungsspeicher haben wollen, sondern die 3tb Festplatte aus dem Aldi tut´s auch!
wenn der Chef der Firma es eben bei Aldi kaufen will, muss ich eben schauen, wie ich rum komm.
ein anderer kunde, Chef administriert alles selbst... adminpasswort: admin, benutzer 123456
nein, er will es nicht ändern. manche sind nur dann zu überzeugen, wenn es geknallt hat. dann spielt Geld keine rolle.
andere wollen keinen 2 vm-server... aber maxcimale ausfallsicherheit. das ist so, als wenn du mit 9000 euro zum ferrarihändler gehst und zum fiat-preis nen F12 berlinette....

gruss sepp

Ich bin im Admin-Team eines KMU. Und da wurde auf meinen Empfehlungen hin alles geblockt. E-Mails schalten wir erst auf Nachfrage frei falls eine geblockt wurde und das sind so ziemlich alle Mails mit Anhang es sei denn nur reines PDF. (mal sehen wann wir das blockieren müssen ) Und in größeren Unternehmen wird das noch restriktiver gehandhabt.

Bei ganz kleinen Unternehmen ist das echt scheise, ich weiß. Da haben viele ja nicht mal einen Vollzeit-Admin, sondern wenn überhaupt nur einen externen Dienstleister, der angerufen wird wenn es hier und da brennt.

Zum Thema Post statt: BITTE WAS soll man dazu schreiben, wenn alle Sicherheitsmaßnahmen verpennt wurden, der Schädling sein Werk verrichtet hat und es noch keine Möglichkeit gibt, die Daten zu entschlüsseln? Du hast utopische Anforderungen! Das hat auch nix mit großkotzig zu tun, die Realität sieht im Moment so aus. Wenn wirklich alles verpennt wurde kannst du nicht einfach so mit der Kritikkeule ankommen, die dir/euch die schlechte Sachlage schildern...