Ich hab so ein Teil schon selbst gesehen und auch selbst aufgemacht. Ich hab nur die Arbeitsamt-Blume gesehen. Makros hätte ich selbst aktivieren müssen.

Zitat:

Zitat von Fragerin

Die sind sauber, nur verschlüsselt! Sage ich auch ein zweites Mal.

Danke, das scheint so zu sein.

Und interessant ist noch, dass es auch verschlüsselte Dateien gibt, die keine Modifikation in ihrem Bearbeitungsdatum tragen. klingt unlogisch, ist aber so.

Zitat:

Zitat von cosinus

Ich hab so ein Teil schon selbst gesehen und auch selbst aufgemacht. Ich hab nur die Arbeitsamt-Blume gesehen. Makros hätte ich selbst aktivieren müssen.

Ich habe auch die Arbeitsamt-Blume gesehen, musste aber nichts aktivieren.
In dem Moment wusste ich: Das ist er, da ich ihn vorher bei Heise-Security gesehen hatte (also bzw. auf Facebook das Heise-Beitragsbild hatte ich gesehen).

EDIT: Und gerade WEIL ich zu wissen glaubte, dass man ja immer noch separat aktivieren müsste wähnte ich mich in Sicherheit vor dem Ding, weil ich sowas nicht bestätige.

So unlogisch ist das nicht, es gibt Tools, mit denen man den Zeitstempel von Dateien und Ordner ändern kann.

unlogisch ist aber, dass einige Dateien einen neuen Zeitstempel bekommen haben und andere nicht. Geöffnet werden können beide nicht mehr, in einem Backup habe ich die Originale noch, und die gehen einwandfrei.

Was bringt dir das jedes irrelevante Detail zu hinterfragen?
Vllt gehört das zur Taktik der Betrüger, dass man nicht jeden Datumstempel ändert um es den Opfern zu erschweren eindeutige Kriterien zu bestimmen welche Dateien betroffen sind. Oder es ist schlicht un ergreifend ein Bug in der ransomware.

Wie gesagt, das ist ziemlich irrelevant. Wichtig ist, dass du ein aktuelles Backup hast.

Und auch wie gesagt, das Makro führt sich nicht ungefragt aus, da kann es nur die zwei Möglichkeiten geben: entweder selbst genehmigt oder irgendeine Lücke in MSO ausgenutzt.

Ich glaube, ich habe eine Erklärung. Diese kommt aus dem MS-Sicherheitscenter.
Siehe Screen:
* MS-Office schaltet nur dann auf geschützte Ansicht, wenn ein Anhang über Outlook hereinkommt.
* Bei mir kam es über Thunderbird rein (ein Mailclient, der schon weit vor 2010 enorme Verbreitung hatte - Microsoft hätte ihn im Rahmen der Verpflichtung zur Förderung alternativer Formate mit akzeptieren müssen, so wie ja auch immer nach dem OpenOffice gefraqt wird.)



INTERPRETATION:
--------------------------
LEICHTSINNIG und schlecht gemacht von Microsoft!!!
Denn bei den gemachten Einstellungen ("manuell bestätigen") sollte man annehmen, dass in einem solchen Fall *alle* Makros vor Ausführung bestätigt werden müssen, also unabhängig davon ob von einer lokalen Festplatte (auch TEMP-Ordner des Mailprogramms) oder aus dem Netz.

Warum also steht die Einstellung auf "manuell bestätigen", ein separates Feld regelt den Eingang über Outlook. An sich sollte "manuell bestätigen" doch Priorität für alle Dateien haben oder nicht?

Kann ich nicht nachvollziehen.

Wenn eingestellt ist alle Makros MIT BENACHRICHTIGUNG zu deaktivieren, dann darf kein Makro ohne Nachfrage ausgeführt. Völlig egal woher die Datei kommt. Woher will Windows denn überhaupt so genau wissen welche Quelle eine Datei genau hat

Zitat:

Zitat von cosinus

Kann ich nicht nachvollziehen.

Wenn eingestellt ist alle Makros MIT BENACHRICHTIGUNG zu deaktivieren, dann darf kein Makro ohne Nachfrage ausgeführt. Völlig egal woher die Datei kommt. Woher will Windows denn überhaupt so genau wissen welche Quelle eine Datei genau hat

Ja, genau das meine ich.
Office hat anscheinend so viele konkurrierende Regeln, dass man mit etwas Pech aus irgendeiner herausfällt und es passieren kann, dass dann doch in irgendeiner Konstellation irgendwas geöffnet wird.

Heisst eigentlich: die von Microsoft sollten sich die gesamte Makrofreigabe noch mal gründlich anschauen, denn so ist das nix.

Und es ist auch schon ganz schön deppert, dass man mit Makro überhaupt EXE-Dateien erstellen kann, die dann von Windows ungefragt ausgeführt werden

Man kann echt nur noch von diesem Microsoft Geraffel abraten und wo es nur geht statt MSO/Windows lieber LO/Linux verwenden.

Hallo zusammen,
ich habe einen Rechner von einer Bekannten bei mir, welche die Bewerbermail mit Goldeneye geöffnet hat.
Das merkwürdige ist nur, dass ein Neustart und die Erpressermeldung noch nicht aufgetreten ist.
Ich erkenne momentan kein außergewöhnliches Verhalten. Kann mir jemand konkret mitteilen, wie ich somit überprüfen kann, ob der Rechner überhaupt infiziert ist?

Was issen daran merkwürdig?
Nur die Mail öffnen verursacht keinen Schaden!
Und auch die PDF macht nix. Passieren kann erst was wenn das Makro in der Excel-Tabelle abgenickt wird.

Zitat:

Zitat von cosinus

Was issen daran merkwürdig?
Nur die Mail öffnen verursacht keinen Schaden!
Und auch die PDF macht nix. Passieren kann erst was wenn das Makro in der Excel-Tabelle abgenickt wird.

Mal ganz naiv oder blöd gefragt cosinuswenn man als User kein Excel installiert hat, ich hab nur ein Microsoft Word 2000 installiert, dann kann nix passieren?

Ich bin zwar nicht Cosinus, aber ich schätze mal, dass die Datei nur für Excel ausgelegt ist und sofern glaube ich nicht ausgeführt werden kann, wenn nur MS Word installiert ist. (Kann mich aber auch irren)

Ladekabel612, ich hab eh immer das Glück das bei mir in den E-Mail Postfächern keine dubiosen Mails landen mit infizierten oder soll ich lieber sagen bösenAnhängen die meinem System schaden könnten

Ich bin auch noch nie auf solch eine dubiose E-Mail gestoßen mit einem Verschlüsselungstrojaner, schade eigentlich Davon mal abgesehen wird der meiste kram eh gefiltert