Hallo,

wir haben uns heute einen Trojaner eingefangen:
Eine e-Mail von einem gewissen Jan Vogel enthielt einen Anhang "Bewerbung.zip". Darin waren die beiden Dateien Bewerbung.doc.js und Lebenslauf.doc.js

Die Zip-Datei wurde leider geöffnet. Danach ließ sich zunächst Outlook und Word nicht mehr starten mit einer ganz kurz aufblitzenden Fehlermeldung, die man allerdings nicht lesen konnte, da sie zu kurz erschien.

Als Sofortmaßnahme wurde erstmal das gesamte Netzwerk heruntergefahren um zusätzlichen Schaden zu vermeiden.

Was empfehlt ihr jetzt als weiteres Vorgehen? Den betreffenden Rechner neu installieren? Was ist mit den anderen Clients im Netzwerk und mit dem Server? Wie stelle ich fest, ob die auch schon irgendwie befallen sind?

Hier sind die Ergebnisse von Virustotal bei der Datei Bewerbung.zip:
AVG JS/Downloader.Agent
AegisLab Archive.Malware.Fakeext!c
Comodo Heur.Dual.Extensions
Cyren JS/Agent.UN!Eldorado
DrWeb JS.DownLoader.1225
ESET-NOD32 JS/TrojanDownloader.Nemucod.AEV
F-Prot JS/Agent.UN!Eldorado
Fortinet JS/Nemucod.AAO!tr.dldr
GData Archive.Malware.FakeExt.N@susp
K7AntiVirus Trojan ( 004dfe6d1 )
K7GW Trojan ( 004dfe6d1 )
Sophos Troj/JSDldr-MI
Tencent Js.Trojan.Raas.Auto

Alle anderen haben nichts gefunden.

Zitat:

Was ist mit den anderen Clients im Netzwerk und mit dem Server? Wie stelle ich fest, ob die auch schon irgendwie befallen sind?

Das ist nicht das Problem. Das eigentlich Probleme bei einem ransom ist, dass der alle Dateien, die er zu fassen bekommt, versucht zu verschlüsseln. Sowohl auf der lokalen Platte, als auch Netzlaufwerke und auch nicht gemapte SMB-Freigaben zB von einem NAS oder Windows.

Wenn nur die ZIP geöffnet wurde, aber nicht eine der Dateien die darin verpackt lagen, dann ist auch kein Schaden entstanden.

Eine der in der Zip verpackten Dateien ist geöffnet worden. Ich vermute auch, dass der schon angefangen hat mit dem Verschlüsseln.
Excel meldet z.B. beim Start, das irgendeine Konfig-Datei nicht lesbar sein. (Die genaue Meldung weiß ich jetzt nicht mehr. der Rechner ist natürlich monentan auch ausgeschaltet).

Könnte man denn mit anderen Clients und dem Server zur Zeit gefahrlos arbeiten? Falls da schon etwas verschlüsselt wurde, ist das ja nicht das Problem, dafür gibt es Backups. Ich will nur vermeiden, dass weiterer Schaden entsteht.

Wie gesagt, ransoms verschlüsseln idR nur, sie kompromittieren aber nicht das System auf dem sie ausgeführt wurden und schon garnicht Rechner remote. Wenn das alles so einfach ginge (Rechner remote infizieren) wie sich das viele in Panik/Hysterie immer vorstellen könnte man Windows nur noch in die Tonne treten...