Und es ist auch schon ganz schön deppert, dass man mit Makro überhaupt EXE-Dateien erstellen kann, die dann von Windows ungefragt ausgeführt werden

Man kann echt nur noch von diesem Microsoft Geraffel abraten und wo es nur geht statt MSO/Windows lieber LO/Linux verwenden.

Zitat:

Zitat von cosinus

Und es ist auch schon ganz schön deppert, dass man mit Makro überhaupt EXE-Dateien erstellen kann, die dann von Windows ungefragt ausgeführt werden

Man kann echt nur noch von diesem Microsoft Geraffel abraten und wo es nur geht statt MSO/Windows lieber LO/Linux verwenden.

Allerdings... hab mich mittlerweile fortgebildet: Das Makro wird bei WORKBOOK_OPEN ausgeführt (also bei öffnen der Excel-Datei) und lädt aus dem NETZ (!!!) eine Exe-Datei herunter, die es ausführt.

Mal im Ernst: Wenn schon Makros ausgeführt werden, dann muss doch SPÄTESTENS, wenn aus dem Netz .exe-Dateien heruntergeladen und ausgeführt werden sollen ein Alarm seitens Office angehen, völlig egal, was eingestellt ist.
DAS finde ich leichtsinnig von den MS-Entwicklern. Nein, eigentlich sogar fahrlässig!

Zitat:

Zitat von Ladekabel612

Ob du es glaubst oder nicht: Ich habe noch nie ein Systembackup gemacht. Und klar schauen die AV's dann blöd aus der Wäsche wenn der Trojaner mal loslegt. Aber mit dem richtigen Verhalten kommt es dazu erst garnicht

Richtig, nur weiss man nicht immer, was das richtige Verhalten ist.
In unserem Fall habe ich wie im Verlauf dieses Beitrags besprochen etwas Pech gehabt:

1.) Stellenausschreibung war vorhanden, wir erhielten eine HOCH personalisierte Bewerbung - und zahlreiche weitere hochpersonalisierte Bewerbungen. Also alles Mails, die bestellt waren, aber von logischerweise unbekannten Leuten kamen.

2.) Die xls-Datei war so wie es scheint von einer älteren Version, als Version Office 2010

3.) Excel war auf "nachfragen" konfiguriert. In einem Haken aber war geschrieben "Frage bei allen Dateien ab 2010 nach" (oder ähnlich, siehe Screen). Aus diesem Grund konnte die Datei -obwohl ich mich in Sicherheit wähnte es ja bestätigen zu müssen- sich durch die teilweise sehr widersprüchlichen MS-Absicherungen hindurchlavieren. Siehe hierzu auch die Beiträge oben.

DAS war mir nicht klar. Jetzt laden wir nur noch PDF, also gar keine Office-Dokumente mehr, was aber auch niemanden in Sicherheit hält, denn wenn erstmal jemand Schadware in pdf unterbringt - dann sind wir alle dran, du auch!

Zitat:

Zitat von StefanTr

Wegen meiner Frage nochmals: die Bekannte hat die Excel-Datei geöffnet incl. der Makrowarnung.
Kann man also sagen dass wenn eine Infektion mit Goldeneye stattgefunden hat, dass dann unmittelbar danach ein Reboot stattfindet und die Erpresser-Meldung erscheint?
Hoffe hier nun eine ernsthafte und hilfreiche Antwort zu bekommen; sorry wenn ich hier lese was manche Leute für einen Stuss schreiben

Goldeneye beginnt mit der Verschlüsselung dann, wenn das Makro gestartet wurde und anschließend das EXE aus dem Netz heruntergeladen wurde (das ist die Funktion des Makros).

Danach fängt er an zu verschlüsseln.
Vermutlich wird er bei einem Neustart erneut aktiviert und verschlüsselt weiter, das weiss ich aber nicht.

Sicherer ist solange es noch nicht vollverschlüsselt ist: Festplatte rausnehmen, neue einbauen und neues Betriebssystem drauf, dann die alte Festplatte als externe anschließen (nicht davon booten) und die noch nicht verschlüsselten Dateien auf das jetzt wieder saubere System übernehmen. Die anderen Dateien auf der nun neuen externen Platte aufbewahren, falls es mal eine Entschlüsselung gibt.

Grundsätzlich würde ich aber sagen: Man merkt, wenn Goldeneye die Dateien verschlüsselt hat ;-)

Zitat:

Zitat von StefanTr

Es war keine xls-Datei sondern ein PDF.
Hab mir das Mail nun auch mal angeschaut und das PDF nochmals geöffnet (das gleiche hat meine Bekannte auch gemacht.

Das PDF gilt als harmlos. Wenn keine xls-Datei dabei war, wird es wohl kaum Goldeneye gewesen sein.