Ja haste schon recht damit, aber wir beide haben ja sowohl Systembackups als auch Datensicherungen auf offline USB Festplatten:pfeiff: und wir könnten feststellen wenn wir so einen Anhang öffnen und die böse Datei darin ausführen würden, ob dein Eset und bei mir Avast und ZAM Premium dann nur hilflose "Zuschauer" wären oder ob unsere Virenschutzlösungen reagieren würden und die bösen Verschlüsselungstrojaner kaputt machen würden:blabla:

Ob du es glaubst oder nicht: Ich habe noch nie ein Systembackup gemacht. :D Und klar schauen die AV's dann blöd aus der Wäsche wenn der Trojaner mal loslegt. Aber mit dem richtigen Verhalten kommt es dazu erst garnicht ;)

Purzel, öffne doch mal für uns so eine Excel-Tabelle mit Word 2000, keine Ahnung was passiert. :rofl:

Jetzt weiß ich wieder was ich beim nächsten Mal in der Kirche:blabla:für ein Gebet für dich in petto habe:zunge::blabla:

Ach, mir ist noch nie was derartiges passiert welches ein Systembackup gebraucht hätte :D Private Daten sind eh mit GPG und VeraCrypt verschlüsselt auf nem USB Stick :D

Merkt ihr eigentlich noch was für nen Stuss ihr da labert?

So lange der USB Stick nicht angeschlossen ist wenn ein Verschlüsselungstrojaner zuschlagen würde, sind ja deine Privaten Daten safe aber wenn der USB Stick angeschlossen wäre, würden dir auch GPG und Veracrypt nichts nutzen bzw die Verschlüsselung durch den trojaner nicht verhindern.
cosinus, jetzt tue aber nicht so als wenn du das nicht auch ab und an machen würdest. Die Forensuche würde da auch bei dir mehrfach fündig werden.
Back zum Thema: ehrlich gesagt hätte ich keine Bammel davor wenn mal ein Cerber, Locky, Goldeneye usw. auf mein System käme und dort ungewollt Dateien von mir verschlüsseln würde weil der Spuck dann vorbei wäre wenn ich von der Paragon Boot CD booten würde und damit Backups von der offline USB Festplatte einspiele.

Wegen meiner Frage nochmals: die Bekannte hat die Excel-Datei geöffnet incl. der Makrowarnung.
Kann man also sagen dass wenn eine Infektion mit Goldeneye stattgefunden hat, dass dann unmittelbar danach ein Reboot stattfindet und die Erpresser-Meldung erscheint?
Hoffe hier nun eine ernsthafte und hilfreiche Antwort zu bekommen; sorry wenn ich hier lese was manche Leute für einen Stuss schreiben

@Stefan:

Wenn nur die Makro-Warnung kam, ist ansich noch nichts passiert, da die Makros noch nicht ausgeführt wurden. Wenn die Makros allerdings ausgeführt wurden, kann man von einer Infektion mit dem Goldeneye-Erpressungstrojaner ausgehen. D.h. sobald ein Reboot stattfindet, dürfte die Meldung erscheinen, ja.

Muss das ganze doch noich korrigieren: hab mit meiner Bekannten nochmals Rücksprache gehalten. Es war keine xls-Datei sondern ein PDF.
Hab mir das Mail nun auch mal angeschaut und das PDF nochmals geöffnet (das gleiche hat meine Bekannte auch gemacht.
Es öffnet sich eine 5-seitige PDF ganz normal ... es passiert nichts weiter.
Eine weitere Datei (xls etc. war keine dabei)
Die CPU_last geht nicht nach oben, der PC stürzt nicht ab und man kann ganz normal daran arbeiten.
Habe den PC auch mal mit einer Sardu-DVD und integrierten Virenscanner von Avira, Kaspersky geprüft - nichts gefunden)
Ich habe gelesen dass bei der Mail immer entweder nur die Excel-Datei oder eine PDF UND die Excel-Datei angehängt waren.
Wie gesagt ich habe die Mail vor mir gehabt - es gibt nur die PDF-Datei.
Hat schon jemand mal von dieser Variante gehört?
Oder was meint Ihr?

Das PDF ist komplett harmlos. Nur die Excel-Datei ist der Schädling, weil darüber nachgeladen wird.

Allerdings... hab mich mittlerweile fortgebildet: Das Makro wird bei WORKBOOK_OPEN ausgeführt (also bei öffnen der Excel-Datei) und lädt aus dem NETZ (!!!) eine Exe-Datei herunter, die es ausführt.

Mal im Ernst: Wenn schon Makros ausgeführt werden, dann muss doch SPÄTESTENS, wenn aus dem Netz .exe-Dateien heruntergeladen und ausgeführt werden sollen ein Alarm seitens Office angehen, völlig egal, was eingestellt ist.
DAS finde ich leichtsinnig von den MS-Entwicklern. Nein, eigentlich sogar fahrlässig!

Richtig, nur weiss man nicht immer, was das richtige Verhalten ist.
In unserem Fall habe ich wie im Verlauf dieses Beitrags besprochen etwas Pech gehabt:

1.) Stellenausschreibung war vorhanden, wir erhielten eine HOCH personalisierte Bewerbung - und zahlreiche weitere hochpersonalisierte Bewerbungen. Also alles Mails, die bestellt waren, aber von logischerweise unbekannten Leuten kamen.

2.) Die xls-Datei war so wie es scheint von einer älteren Version, als Version Office 2010

3.) Excel war auf "nachfragen" konfiguriert. In einem Haken aber war geschrieben "Frage bei allen Dateien ab 2010 nach" (oder ähnlich, siehe Screen). Aus diesem Grund konnte die Datei -obwohl ich mich in Sicherheit wähnte es ja bestätigen zu müssen- sich durch die teilweise sehr widersprüchlichen MS-Absicherungen hindurchlavieren. Siehe hierzu auch die Beiträge oben.

DAS war mir nicht klar. Jetzt laden wir nur noch PDF, also gar keine Office-Dokumente mehr, was aber auch niemanden in Sicherheit hält, denn wenn erstmal jemand Schadware in pdf unterbringt - dann sind wir alle dran, du auch!

Goldeneye beginnt mit der Verschlüsselung dann, wenn das Makro gestartet wurde und anschließend das EXE aus dem Netz heruntergeladen wurde (das ist die Funktion des Makros).

Danach fängt er an zu verschlüsseln.
Vermutlich wird er bei einem Neustart erneut aktiviert und verschlüsselt weiter, das weiss ich aber nicht.

Sicherer ist solange es noch nicht vollverschlüsselt ist: Festplatte rausnehmen, neue einbauen und neues Betriebssystem drauf, dann die alte Festplatte als externe anschließen (nicht davon booten) und die noch nicht verschlüsselten Dateien auf das jetzt wieder saubere System übernehmen. Die anderen Dateien auf der nun neuen externen Platte aufbewahren, falls es mal eine Entschlüsselung gibt.

Grundsätzlich würde ich aber sagen: Man merkt, wenn Goldeneye die Dateien verschlüsselt hat ;-)

Das PDF gilt als harmlos. Wenn keine xls-Datei dabei war, wird es wohl kaum Goldeneye gewesen sein.