neuer Verschlüsselungstrojaner erstellt *.locky Dateien
 

Hallo Spezies,

(Musste mich neu anmeden, da ich meinen Benutzernamen nicht mehr weiß)

offensichtlich gibt es einen neuen Verschlüsselungstrojaner, der alle Dokumentdateien verschlüsselt.
Die Dateinamen lauten dann zahlenundBuchstaben.locky.

In dem Ordner einsteht eine Datei mit Namen _Locky_recover_instructions.txt, mit folgenden Inhalt

---
!!! IMPORTANT INFORMATION !!!!

All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanc...ption_Standard

Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. hxxp://6dtxgqam4crv6rr6.tor2web.org/zahlenundBuchstaben
2. hxxp://6dtxgqam4crv6rr6.onion.to/zahlenundBuchstaben
3. hxxp://6dtxgqam4crv6rr6.onion.cab/zahlenundBuchstaben
4. hxxp://6dtxgqam4crv6rr6.onion.link/zahlenundBuchstaben

If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 6dtxgqam4crv6rr6.onion/zahlenundBuchstaben
4. Follow the instructions on the site.

!!! Your personal identification ID: zahlenundBuchstaben !!!
---------------------------------------------------------------------

Ist das Problem schon bei jemanden aufgetreten. Bei uns heute um 15:06 Uhr

Viele Grüße
Mario

Da ja eine Beteiligung an der Diskussion nicht gewünscht ist - Schreib ich einfach als Alleinunterhalter in meinem Fred weiter.
Die in dem Thread über mir erwähnte Zeitsteuerung kann ich bestätigen. Die Zeit 15:06 ist nicht nur die Zeit die als Datumstempel gesetzt wurde sondern die live Serverzeit. Ich habe persönlich der Verschlüsselung zugeschaut. Nach unserer bisherigen Recherche dauerte die Verschlüsselung genau 20 min. Die letzte verschlüsselte Datei wurde um 15:26 Uhr erzeugt. Danach brach die Verschlüsselung ab und wurde nicht mehr fortgesetzt.
Die Dateien lassen sich über die Schattenkopie wiederherstellen. Der Trojaner lässt sich momentan (Stand 12:30 Uhr noch nicht mit MBAM und Trend Micro Officescan, sowie Trend Micros Onlinescanner Housecall erkennen)

Und sorry, mal nebenbei: Unser Unternehmen hat >50 Mitarbeiter und wir leben davon, das Kunden uns Bewerbungen und Lebenslaufe per Email schreiben. Wir erhalten täglich unzählige Worddokumente als Emails, die die Kollegen bearbeiten müssen. Wenn wir den Kollegen sagen öffnet keine Worddokumente von Personen die ihr nicht kennt, lachen die uns aus! Willkommen in der Realität und soviel zum Thema schult doch mal eure Mitarbeiter! Ach so, der Makroschutz von Word ist ne tolle Sache, aber wenn die eingesetzte Firmensoftware per COM-Automation Word-Formulare befüllen muss, was dann?

Viele Grüße aus Brandenburg
Mario,

ja sry, du als Admin hast die Aufgabe, es sicherzustellen, dass die Kollegen gefahrlos die Anhänge öffnen können.
Viele Admins sehen keine Möglichkeit das sicher umzusetzen. Also bleibt nur der Weg über ne zentrale Blockierung von Mails mit potentiell gefährlichen Anhängen.

Schonmal in der größeren Bude gearbeitet? Wohl nicht oder? Da werden grundsätzlich Anhänge blockiert und nur auf Nachfrage freigeschaltet und dann auch nur wenn es einen triftigen Grund gibt.

Wenn du das nicht willst, darfst du dich auch nicht über Schrott in den Postfächern beschweren.

Wenn du deine Kollegen nicht schulen willst, darfst du dich nicht drüber beschweren, dass deine Kollegen nix wissen und deswegen alles falsch machen.

Entweder machst du alles ganz sicher, oder ganz einfach. Bei Letzterem darf sich aber niemand über Sicherheitsprobleme beschweren. :kaffee:

Hallo,
das ist jetzt nichts persönliches, aber deine Antworten die ich zu dem Thema von dir bisher gelesen habe, gehen leider über ein allgemeines Bla Bla nicht hinaus. Bisher gab es nichts Zielführendes von Dir.

Ach so, ich bin seit 1986 in der IT-Branche. Als festangestellter Admin hier seit 12 Jahren und vorher in einer öffentlichen Einrichtung 7 Jahre. Nebenbei betreue ich mehrere kleine Unternehmen als Freiberufler. Übrigens, bei den kleinen Unternehmen klappt es am besten.

Ich hätte dir das gerne als PN gesendet, die hast du aber geblockt. Solltest du noch was sinnvolles beizutragen haben, kannst du den Thread gerne noch einmal öffnen.

VG
Mario

Ja ist ein schwieriges Thema. Dass du deswegen gefrustet bist, ist mir auch klar, aber dennoch kannst du dich zurückhalten anstatt mir inhaltlosen blabla ohne Begründung vorzuwerfen, statt Begründung pakcst du lieber zur Untermauerung deinen Schwanz raus und erzählst was von 30 Jahre Berufserfahrung. Was mit dem Thema der ransoms aber rein garnix zu tun hat, denn die gibt es erst seit ca. vier Jahren in dieser/ähnlicher Form.

Erzähl doch mal lieber was du dir so vorstellst. So etwas was ganz gezielt ist, 100% sicher ist und jede Malware rausfiltert vllt? Alles ganz Easy ohne Aufwand und Hirnschmalz vllt?

BTW: PNs hab ich blockiert, nur wer in meiner Freundesliste steht, darf mir PNs schicken weil ich sonst in Nullkommanix ein volles Postfach hätte. :kaffee:

Sorry, die Antwort bezog sich auf deine Antwort in den anderen Threads zu dem Thema:
z.B. "was sollen wir jetzt machen, wir können die Dateien auch nicht entschlüsseln"
oder "Backup einspielen" war auch gut. Dort kann man ja leider nicht schreiben.

Meinen "Schwanz", den ich rausgeholt habe war die Antwort auf deine provokative Frage ob ich schon mal in einem "großen Unternehmen" gearbeitet habe.

Nichts für ungut, kannst den Thread löschen.

Die Frage in den anderen Thread war ernst gemeint. So ein brandneues Teil kann niemand so entschlüsseln, deswegen die Frage was der TO überhaupt erwartet.

Mal davon abgesehen, dass bei Datenverlust nix anderes mehr hilft als ein Backup: BITTE WAS FÜR EINE Antwort erwartest da???

Wenn man 30 Jahre in der IT gearbeitet hat, wirst du das doch sicherlich selbst wissen, dass man kaputte Daten nicht einfach so wiederbekommen kann! Aber wenn ich eine fachlich völlig korrekte Antwort gebe, dann wird das nicht akzeptiert. Was bitte soll sowas? Oder ist das einfach nur der Frust, der herrscht, wenn man Opfer so einer Attacke wurde und die Kollegen, die jahrelang zu DAUs erzogen wurden, vernünftige aber nervige Sicherheitsmaßnahmen ablehnen?

Beschreib doch einfach mal deine Vorstellungen. Es bringt dOch nichts irgendwelche Lügen zu erzählen, nur weil Betroffene so etwas gerne hören oder lesen wollen :kaffee:

Beim Tesla3 war es schon unmöglich irgendwas zu recovern. Hier schmal die FAQ von BC durch, und die Jungs dort haben richtig was aufm Kasten => TeslaCrypt and Alpha Crypt Ransomware Information Guide and FAQ

gelöst
 

Der Trojaner wird jetzt erkannt: Es ist vermutlich Trojan.Crypt.SPC - ihn erkennt zumindest die aktuelle Version von Antimalwarebytes.

VG

Jo, mit ein paar Stunden Verzögerungen kommen die Signaturen dann rein. Dann ist der Schaden aber schon bei vielen passiert. Und die nächsten Versionen der ransoms, die noch nicht erkannt werden stehen schon in den Startlöchern.

Habt ihr keine AVs mit Verhaltenserkennung?

So, ich hab jetzt nach Diskussion verschoben, damit andere hier auch posten können.

Aber wirklich ehrlich gemeint: mich interessiert was Betroffene bei sowas hören wollen. Wenn es keine Möglichkeiten außer zu bezahlen gibt. Ich find langsam auch nervig, dass man immer wieder doof angemacht wird,einem dummes blabla unterstellt wird nur weil man nicht um den heißen redet und gleichzeitig wichtige aber unbequeme Sicherheitsmaßnahmen nicht umgesetzt werden wollen. :kaffee:

Heise berichtet jetzt auch => Erpressungs-Trojaner Locky schlägt offenbar koordiniert zu | heise online

Zitat aus dem Artikel: "Ein Leser berichtet uns, dass der Schädling bei mehreren seiner Kunden, die er als IT-Dienstleister betreut, am gestrigen Montag um 15:06 zugeschlagen hat. ".
Das ist unser TS !:blabla:

Ja, Ransomware ist echt eine Pest und bei neuen Schädlingen gibt's erstmal keine Heilung.:heulen: Besonders schlimm für kleine und mittlere Unternehmen.

M.E. sind die Infrastruktur und das Sicherheitsbewußtsein bei deutschen Unternehmen bei WEITEM nicht ausreichend sicher und ausgeprägt .:kloppen:

Joa, hast den TO ja gelesen:

Wenn das Sicherheitsbewusstsein nicht da ist, keiner sich auch nur ein bisschen Basiswissen aneignen will und eh alle darüber sich kaputtlachen, dann kann das alles ja kein großes Problem sein :D

Es bleibt dann konsequenterweise nur eins übrig: Mails blocken was das Zeug hält und bei Bedarf freischalten. Und natürlich Virenscanner mit Verhaltenserkennung verwenden. Über tägliche Backups in Firmenumgebungen müssen wir ja nicht weiter diskutieren, oder? :pfeiff:

Hallo,
Nun ja ...
1. Habe ICH keine Hilfe erwartet oder angefordert sondern wollte
2. lediglich auf die Existenz eines unbekannten Trojaner hinweisen.
3. Wenn man keine zielführenden Hinweise geben kann, kann man einfach auch mal nix schreiben
4. Habe ich nicht gesagt, dass wir keine Datensicherungen haben und den Client nicht schon isoliert hatten und das System wieder laufen könnte, sondern wir auf einen AV warten der den Trojaner erkennt - einfach um nicht morgen wieder anzufangen.
Na ja und du hattest dich ja sehr weit aus dem Fenster gelehnt, als du einen Dienst der die Shares überwacht ausgeschlossen hast. Denn möglicherweise war es genau so ein zeitgesteuerter Dienst, der am 15.02.2015 15:06 seine Arbeit begonnen hat. Auch eine Zeitsteuerung hast du für Abwegig gehalten, obwohl der Kollege gesagt hat, dass definitiv keiner zu der Zeit eine Mail geöffnet hat.

Zum Userverhalten stimme ich euch aber zu. Ein wenig liegt es auch daran, dass man die gute alte Email soweit aufgebohrt hat, dass es überhaupt erst möglich ist 20Mb Worddokumente in einer schicken Mail mit Briefpapier zu versenden. Ich denke Herr Tomlinson hat noch immer ein Grinsen im Gesicht.

So, zum Abschluss wollte ich aber noch sagen, dass deine letzten Postings auch wieder sinnvolle Hinweise enthielten und ich eure Arbeit natürlich sehr schätze. Nur manchmal ist eben weniger auch mehr... In diesem Sinne :party:

Einen schönen Abend
Mario

Natürlich kann ich so einen Dienst, der alles monitored, nicht ausschließen. Vllt kommt sowas ja auch noch :D Zeitsteuerung hab ich nicht direkt ausgeschlossen, ok aber erwähnt, dass das Ding bei Ausführung verschlüsselt. Für die Zeitsteuerung muss aber nicht zwingend ein Dienst her. runonce und bei der nächsten Anmeldung oder geplante Aufgabe die gestartet und nach getaner Verschlüsselung gelöscht wird...

Und meine Einleitung klang auch schon ein wenig hart, sry dafür, aber Admin sein ist kein Zuckerschlecken ;) da sind deutliche Worte zumindest manchmal besser als ein Kuschelwuschel-Ton :D

Und nochmal zum AV: wenn du eins willst, dass die Dinger schnappt, musst du eins mit Verhaltenserkennung nehmen. Emsisoft wäre da ein Beispiel, lt. unserem Kollegen schrauber schnappte das Teil bisher alle ransoms auch wenn die signaturbasierte Erkennung versagte.

Ah, ok vielleicht ist es jetzt Zeit uns von unserem Trend Micro Office Scan zu trennen. Ich werde mir Emsisoft auf jeden Fall ansehen. Gibt ja eine Testversion.

Danke

Vllt kann sich schrauber nochmal dazu äußern. Er arbeitet ja auch bei Emsisoft ;)
Ich weiß jetzt nicht im Detail was EAM bei Office-Dokumenten macht bzw sich bei Makros verhält.

Das wissen viele wohl zu schätzen und das ist sehr wichtig. :daumenhoc

In dem Artikel von @Heise heißt es:
Vielleicht ist es sogar der, oder eine Variation davon:

Ich durchforste mal die Q unseres Mailblockers..mal sehen ob ich denselben schiss finde :D

Ja, knapp drei Dutzend sind da...unscannable blocken wir auch :)

http://cosinus.trojaner-board.de/ima..._sophosUTM.png

Trend Micro wird jetzt anscheinende auch fündig.
(noch nicht getestet)

Es wäre schön, wenn Schrauber noch was sagen könnte. Bekomme nämlich einen blue Screen bei Windows 10 Prof bei der Installation (System_Service_exception (epp.sys) :crazy:

VG

Du kannst auch schrauber gerne eine PN schicken. Lies dazu auch mal das => http://www.trojaner-board.de/166031-...-produkte.html

Glaub ITSF arbeitet mit Kronos zusammen :D - Bekommt eine bzw. mehrere klare Fragen und antwortete mit "du bist doof, weil blah"
Wenn du lediglich auf eine neue Art etc. hinweisen wolltest, warum gehst du Cosinus dann direkt an den Kragen als er darauf hinweist, wie man sich vorher verhalten sollte.
Das ist gut für eben jene, die den Thread via google o.Ä. finden.
Aber nein, Helfer anpöbeln scheint hier Mannschaftssport zu sein :D

Explo ist doch schon gut, vllt wollte ITSF einfach keine Belehrung hören, weil er weiß wie man die Systeme absichert, ich das aber nicht wissen konnte weil er nix drüber schrieb vorher. Ich hätte mein erstes Posting ja auch etwas diplomatischer formulieren können aber wie schon gesagt ist der Kuschelwuschel Ton nicht immer zielführend :blabla:

Mir ist erst jetzt aufgefallen, daß auch "Profis" von der dunklen Seite ganz banale Fehler machen. Der Fehler ist im Screenshot zu sehen: Oben steht "Rechnung Januar 2016-378287", die doc-Datei lautet aber "Rechnung-Jan-2015-378287.doc". :applaus: :blabla:

Beim Gedanken an die ganzen möglichen Coins wohl etwas zu viel hier reingeguckt: hxxp://www.buehrmann-weine.de/media/image/thumbnail/7c82a24164d68ece6207ebaa9dd787c6_720x2000.png :alc:

Solche Flüchtigkeitsfehler passieren aber auch u.U. bei legitimen Rechnungen...Fehler sind halt menschlich ;)

Schon wahr, aber bei einer solchen Attacke sollte das nicht passieren. Na, mal sehen, vielleicht waren die Typen beim Programmieren des Trojaners genau so schlampig ...

Einige sind aber schon echt gut gemacht... :o

Die TelefonNr stimmt nicht, ist aber im ersten Teil real:
Die Seite fürs Zahlen soll ja auf einem russischen Server gehostet sein, dann müssen die Betreffenden sowohl gut deutsch wie russisch können.:rolleyes:

Ach ja, schon gelesen (Linux): hxxp://www.heise.de/security/meldung/glibc-Dramatische-Sicherheitsluecke-in-Linux-Netzwerkfunktionen-3107621.html

Öffnet mal den IrfanView und öffnet mal eine .locky datei die mal ein Bild war.

IrfanView will es dann in jpg wandeln und schon ist das Bild sichtbar.

Hallo,

Das kann ich morgen mal testen. Aber es gab auch schon den Hinweis, einfach wieder die Endung zu ändern. Das funktioniert definitiv bei uns nicht.

@Explo wollte ich ja, hatte meine Waffe schon im Anschlag aber Cosinus hatte eine Brandauer um seine PN gezogen. :kaffee:

@Cosinus seit heute gibt's nur noch pdf und jpg als Anlagen - geht doch, aber muss erst was passieren. Wie im waren Leben, wenn was passiert geht's plötzlich...

Übrigens, noch einmal der Hinweis, bei uns waren im Gegensatz zum Heise Beitrag, die Schattenkopien noch vorhanden. Allerdings stolpern wir auch nicht mit Adminrechten durch die Welt.

jo eben, für vssadmin braucht man Adminrechte. :D

So gut wie nichts ist hundertprozentig! ;)

Malware kann ja auch Bugs haben und nicht immer so laufen, wie von den Erpressern gewollt. Also ohne Adminrechte kann die eh nix an den Schattenkopien rumfummeln. Auf ein Netzlaufwerk, das zu einem von Schattenkopien geschütztem Share eines Windows Servers führt, kann der Schädling auch nix machen. Der tobt sich nur auf der lokalen Kiste aus kann aber durch Schreibrechte auf den Netzlaufwerken entfernte Dateien kleinhacken :blabla:

Mich wundert, dass nirgends Hinweise zur Prävention gegeben werden, bestenfalls findet man den dumpfen Hinweis auf (letzlich hilflose) Antivirensoftware.
Wie sieht es denn aus mit -> Makros deaktivieren? Oder sein MSOffice sauber konfigurieren? In den Makro-Sicherheitsrichtlinien steht zwar als Standard eingestellt, dass nur Makros "aus sicherer Quelle" ausgeführt werden dürfen, einen Klick weiter kann man dann jedoch lesen, dass standardmäßig "alle Quellen als sicher" angesehen werden :headbang: (was sich abwählen ließe). Zumindest war das imho bis MSOffice 2010 so.
Wieso liest man nichts über User - versus Administratorrechte? Es kann doch nicht sein, dass sich keiner Gedanken über Prävention macht?

Dazu passend: http://www.trojaner-board.de/176082-neuer-bsi-chef.html

Prävention wurde doch längst genannt!

Restriktive Mailfilter, blocken aller Mails mit Schrottanhängen, Freischaltung der Mail durch einen Admin nur auf Nachfrage.

Tägliche Backups müssen wir nicht drüber diskutieren oder?

Makros in Office deaktivieren? Du hast den TO doch gelesen! In vielen Firmenumgebungen geht das nicht, weil viele Firmenprozesse von Word/Excel Dateien mit Makros abhängig sind.

Und nein, nicht jeder Virenscanner ist hilflos. Wenn du aber nur auf nen Virenscanner setzt, der signaturbasiert arbeitet, dann bist du hilflos, weil die Signaturen später reinkommen und der Schädling somit zu spät erkannt wird!

User vs Admin: Der Schädling erreicht auch ohne Rechte sein Ziel, zerhackt alle Userdateien. Das einzig tolle an Benutzerrechten ist, dass der Schädling die Schattenkopien nicht löschen kann. Dann verliert man im Büro aber u.U. trotzdem einige Stunden an Arbeit. Vorausgesetzt man hat Schattenkopien über aktiviert und richtig konfiguriert. Viele Kleinunternehmen haben keinen Windows-Server sondern nur ein NAS, da gibt es keine Schattenkopien => Daten weg, da hilft es auch nix wenn der User an dem Client keine lokalen Adminrechte hatte! :kloppen:

Wirklich? Umfassend? Für das in Panik versetzte Publikum da draussen?

Das ist im Beispiel mit den Bewerbungen nicht machbar. Für mich als Privatuser erledigt das allerdings in der Tat brain.exe.

Vielleicht würde das Deaktivieren der Vorgabe "jedes Makro als vertrauenswürdig betrachten" schon mal weiterhelfen - die firmeninternen Makros könnten dann vertrauenswürdig sein, andere nicht. Wenn sowas funktionieren würde, sollte man auch davon lesen - nicht hier in den Foren, sondern da draussen, bei Chip, Heise und Co.

Mist. Läuft da bei Win10 was anders? Es scheint ja nicht betroffen. Nicht dass die Aktion noch ein verstecktes Updatemarketing darstellt :aufsmaul:

Aha. Und was genau gefällt dir da nicht?
Ich stell die Frage gern nochmal:"Aber wirklich ehrlich gemeint: mich interessiert was Betroffene bei sowas hören wollen. Wenn es keine Möglichkeiten außer zu bezahlen gibt."
Und was du gerne noch zusätzlich an Prävention wissen willst. Ohne Komfortverlust geht das nicht!

Aber selbstverständlich ist das machbar. Es ist nur unbequem. Und das willst du nicht.

VIELLEICHT? :wtf:
Du wolltest doch "umfassenden" Schutz!

Kein Plan was du da genau meinst. Unter W10 verrichtet der Schädling jedenfalls auch sein Werk. Ich weiß aber nicht, ob er da immer auch die Schattenkopien löschen kann.

Vielleicht hab ich mich missverständlich ausgedrückt - ich wundere mich, warum "da draussen" in der Medienwelt keine klaren Hinweise auf mögliche Prävention gegeben werden. Hier im internen Forum mag ja alles hybsch fundiert sein, aber die meisten Betroffenen finden wohl eher nicht hierher.

Naja.. was ich will oder nicht kannst Du nicht wissen. ICH hab ja das Problem nicht. Ich habs auch nicht nötig, ich bin Laie und Privatanwender. Wenn das aber so selbstverständlich machbar ist, wäre vielleicht ein Hinweis für den interessierten Profi sinnvoll, auf welche Weise genau. Also: da draussen. Wo die vielen lesen. Und vielleicht auch hier drin.

Ich suche in erster Linie umsetzbare Prävention für den Laien, also die 99,3% User, die da draussen unterwegs sind. Und frage mich, warum die nirgends (im Sinne von: an prominenter Stelle) angesprochen wird. Da draussen. Bei Heise, Chip und Co. Und vielleicht auch hier drin.

Also so auf die Schnelle fällt mir ein für den Laien:

- Microsoft Office rausscheißen und LibreOffice verwenden
- AV mit Verhaltenserkennung verwenden => Emsisoft
- evtl auch prüfen, ob es überhaupt Windows sein muss

hehe.. gerade letzteres ist wirklich unbequem :p
Ersteres empfehle ich auch gerne, und für die Wirksamkeit von Emsisoft hätte ich gerne etwas Empirie.
Nachdem nun MSOffice leider immer noch ne Art Standard ist: ist Dir bekannt, ob eine Deaktivierung der Vorgabe "alle Quellen als vertrauenswürdig betrachten" im Makro-Ausführungsmodus "nur vertrauenswürdige Quellen ausführen" bereits zur Kastration von locky führt?


_________________
*p.s.: die Präsentation auf der Emsisoft- Seite finde ich sehr gelungen!

Auf die Deaktivierung der Makros würd eich mich NICHT verlassen. Im Zweifel können die User die Makrosausführung ja wieder selbst aktivieren.

Zu Emsi kann schrauber noch was schreiben.

Dennis (:dankeschoen:) hat da was gemacht => http://www.trojaner-board.de/175739-...ml#post1563355

http://www.trojaner-board.de/attachm...en-locky-2.jpg

Das war ein Typo, oder? :rofl:

Nee...das war Absicht :D denn Kacke wird ja rausgeschissen :rofl: :lach:

Ganz ehrlich, MS Office ist viiiiieeeeel besser als LibreOffice. Also falls du die Features brauchst.

Impress ist ein schlechter Witz, das DB-Tool kann mit Access auch nicht mithalten und mit Calc kann man keine anständig gut ausschauenden Tabellen erstellen...

Auf meiner Linux Maschine hab ich mir sogar eine Extra VM nur für Office eingerichtet :blabla:

LO/OO ist schlicht das alte StarOffice, und bei dem wurde schon vor 20 Jahren im Usenet die monolithische Struktur kritisiert, zu recht. Ich gebe mal eine Prognose ab: LO/OO wird so enden wie einst Mozilla das man aufgab, weil der Code nicht mehr wartbar war.
Bei LO/OO muß das doch inzwischen noch schlimmer aussehen.:eek: :daumenrunter:

MS hat es da mit seinem Office von Anfang an besser gemacht - unabhängige Anwendungen die aber doch perfekt zusammen arbeiten. :applaus: :daumenhoc

Der Schluchtenscheißer und der Colonel Panic müssen die ironie tags vergessen haben, anders lassen sich deren Postings nicht erklären :rofl:

Oder du hast Office nie gelernt und zuletzt die 95er Version verwendet :rofl: :D

Als sysadmin ist jetzt nicht gerade msoffice das tägliche Werkzeug zum Überleben :pfeiff:

Ich kann aber schon verstehen, dass in FIrmenumgebungen Microsoft Office unverzichtbar ist. Im privaten Wohnzimmer hab ich jedenfalls kein/kaum Verständnis dafür, Microsoft Office als lebenswichtiges/unverzichtbares Stück Software zu betrachten.

Aber vllt kannst du mit ein Beispiel nennen :kaffee:

Wer ?:confused:

Arne muss seine Minderwertigkeitskomplexe rauslassen :blabla:

Ich kann mich täuschen, aber was per GPO gesetzt wird hat idR Bestand.

Das ist sicher nicht der schlechteste Gedankegang. Unser Hauptgesellschafter hat das Ding im Einsatz und ich erwarte sehnsüchtig Januar 2017 wenn endlich die verdammte Lizenz abläuft.

Kommt das nicht darauf an, wie der Admin die GPO setzt?
Ich schau mir das grad mal an, irgendwie find ich die Einrichtung der GPOs für Office grad ein wenig schräg :crazy:

So werden "liebevoll" die Ösis genannt :D

Einziger Schönheitsfehler: Wenn die Rechnung oder Mahnung schlecht formatiert ist, und es heisst, dass man Makros aktivieren solle, damit das Dokument korrekt angezeigt werden kann...was dann?
Wenn ich als ahnungsloser Nutzer die Rechnung sehen möchte, dann gehe ich halt in die GPOs und deaktiviere sie temporär, oder bitte, jemanden das zu tun!
Sind ja nur gegen die automatische Ausführung von Makros gedacht :Boogie: .

Heise hatte ja vor einigen Monaten etwas zum Formatierungsproblem und der manuellen Aktivierung von Makros geschrieben, "Comeback der Makroviren" oder so.

Grüsse - Microwave

jo, das hatte heise getan => Gefährliches Duo: Erpressungstrojaner kommt mit Word-Datei | heise Security

Leider ist das generelle Deaktivieren von Makros auch nicht immer eine Option. Viele Firmen realisieren ihre Geschäftsprozesse mit Office und Makros... :(

Nun ja, im Grunde schon.
Beispiel aus MSO14:
Benutzerkonfiguration/Administrative Vorlagen/Microsoft Excel 2010/Excel-Optionen/Sicherheit/Sicherheitscenter/Einstellungen für VBA-Makrobenachrichtigungen
Wird das konfiguriert ist dicht. Global für Office habe ich es noch nicht gefunden, aber meine Leute nutzen eh nur Excel (für Texttabellen :Boogie:) und Word (für alles mit Zahlen :crazy:)

Da gibt es für Unternehmen aber Möglichkeiten, angefangen von den vertrauenswürdigen Speicherorten hin zur Signatur.
Und mal im ernst: eine Worddatei mit Makro ist nicht nur bei Nacht verdächtig. Bei mir wurde schon so einiges angefordert, aber Word mit Makros konnte ich noch immer umschiffen/verhindern.

Ach deshalb.:stirn: Danke für die Erklärung.:dankeschoen:

Ich glaub da haben wir eher eine zentrale, sichere und DAU-freundliche Mailverschlüsselung/-signierung etabliert :rofl:

Bis dahin wird aber erstmal jede Mail mit Schrottanhang blockiert. Die Mail bekommt der Mitarbeiter ja, aber nur als Benachrichtung mit E-Mail blocked: <Betreff der geblockten Mail> und im Body steht auch der Grund der Blockierung. Ein Anruf beim freundlichen Admin :teufel2: und die Mail wird natürlich entsperrt wenn sie legitim ist ;)

Ich hab auch schon erlebt, wie ein externes Unternehmen irgendwelche Daten uns zukommen lassen wollte. Da hatten wir aber schon lange ZIP gesperrt. Als ich das Ding sah traute ich meinen Augen kaum. Der hat einer ne EXE in eine ZIP gepackt weil er dachte die Daten stellt man in ausführbarer Form als Komplettpaket oder so zur Verfügung :wtf: :headbang: sowas schafft Vetrauen, die Mail war aber tatsächlich ungefährlich/legitim :balla:

Freundliche Admins... :lach::lach:

Hey :) ich bin freundlich, schließlich entsperre ich die Mail ja und verschieb sie nicht nach /dev/null :D

Jup. Jemand frägt an und du löst eine Aktion aus. Mir geht's eher um das "dazwischen" :D

Wie soll ich diese Anführungszeichen jetzt interpretieren :rofl:

Zwischen Anfrage und Aktion gibt's für gewöhnlich Kommunikation, bei der sich entscheidet, ob jemand freundlich ist oder auch nicht.

Das meinte ich mit "dazwischen".

Da gibts ne Anfrage per Mail oder Telefon. "Kannst diese Mail bitte entsperren ist kein Spam" oder so ähnlich. Da kommt niemand und will uns Admins mit der Brechstange drohen, außerdem entsperrt niemand ihre Mails wenn wir betäubt sind :blabla:

Das nicht, da aus meiner Erfahrung heraus die User eher freundlich sind :D

Wenn aber das x-te mal wegen irgendeinem Schrott angefragt wird, bei dem es eigentlich offensichtlich ist, dass es Phishing, Trojaner oder ähnliches ist, da bin ich dann nicht unfreundlich, aber teilweise (für die "Gegenstelle") spürbar genervt :headbang:

Nö, die fragen nur wenn was wichtiges dabei ist. Dass jmd auf Schrott besteht hab ich noch nicht erlebt. Aber wenn, dann erklärt man kurz und das wars dann. Wenn ich Sicherheitsbedenken habe kommt die Mail nicht durch.

Die ein oder andere Person ist nur genervt weil unsere Spam-Filter so restriktiv sind. Da kommt es auch mal öfter vor, dass ein "newsletter", der nur nervig ist geblockt wird, lt. Argumentation eines Mitarbeiters aber durchgelassen werden kann, weil es ja keinen Unterschied mache ob er den "newsletter" oder die "mail blocked" Nachricht lösche...

Dann erklär ich aber, dass wir nicht 100.000e Ausnahmen machen können wegen so nem scheiß, restriktive Filterung ein plus ne Liste an gesperrten Anhangtypen in der UTM und fertig.

Suche Locky word Datei
 

Servus alle zusammen,

ich suche zu Demozwecken die Word Datei mit dem Locky Trojaner drin. Gibt es die Möglichkleit das ihn mir jemand zusendet oder einen Link wo ich ihn bekommen kann?

Grüße King Luy

@King_Luy

da biste hier verkehrt.
Hier werden so Sachen bekämpft,
und nicht verteilt

MfG

Das ist ja auch gerade mein Bestreben. Ich will ein Demovideo erstellen was alles beschädigt wird. Es geht um eine Mitarbeiterschulung. Keineswegs ist dort ein bösartiger Hintergrund!!!

Reicht Dir evtl so ein Video? *KLICK*

Das ist nett, aber ich muss es leider selber machen.

Sieh dich doch noch mal in den Nachbarthreads hier um.

Hey Leute,
ich weiß das der Thread jetzt schon etwas älter ist aber wollte nur kurz meinen Senf dazugeben.

Wir mussten gerade selber mit dem Locky Trojaner kämpfen. Wir haben das Lösegeld bezahlt (1 Bitcoin = ca. 405€). Das war ein schönes Lehrgeld und ein kleiner Anstoß für zukünftige Datensicherung...

Wollte nur noch sagen das wir innerhalb von 30 min den Decrypter bekommen haben und alle Daten wieder entschlüsselt wurden.
Aber trotzdem kann ich nur jedem raten eine Datensicherung zu machen und wenn nicht wirklich wichtige Daten betroffen sind dann das Lösegeld NICHT zu bezahlen!!!

Grüße! :)

Mir wärs lieber, du würdest Dich darüber nicht so freuen.
Ein erfolgreiches Geschäftsmodell neigt dazu, kräftig zu wachsen -
und jeder, der zahlt, heizt das Problem so richtig an.

Vielleicht einfach "Lieber Datensicherung und Prophylaxe" als Message,
das könnte eine langfristig wertvollere Nachricht sein :-(

Die meisten haben aber kein Bock auf Datensicherung, lieber diskutiert man jeden Tag drei Stunden darüber welcher Virenscanner der beste sei. :balla:

Du kannst dir den Mund fusselig reden darüber wie wichtig Backups sind, interessiert einfach keine Sau. Aber wenn dann die Platte stirbt oder man völlig bescheuerterweise so einen ransom ausführt aus einer Mail, deren Anhang 10 km gegen den Wind schon stinkt, dann kommt das große Rumgeheule... :heulen: :crazy: :balla:

Und weil es dann KEINE andere Möglichkeit mehr gibt an die Daten ranzukommen, wird eben die Kohle abgedrückt :stirn: