Goldeneye Trojaner gefährliche Mutation - Erfahrungen
 

Hallo zusammen,

über den Goldeneye Trojaner wurde bereits viel berichtet. Heise Security hat darüber geschrieben, auch hier gab es einiges.

Die ursprüngliche Beschreibung lautete:
* Excel-Datei wird um "Bearbeitung aktivieren" bitten.

Es scheint eine Mutation zu geben, bei der das nicht der Fall ist.
An sich bin ich nicht naiv, was Trojaner angeht, aber folgendes war passiert:
1.) Wir hatten eine Stellenausschreibung für Softwareentwickler.
2.) Es kamen einige Bewerbungen, eine davon mit einem individualisierten (!) Anschreiben in der Mail selber, plus einem ordentlichen PDF samt Handynummer und Foto. In dem PDF ist die Firma erneut personalisiert und es wirkt alles eigentlich ok.
-- also denkt man: Entwickler sind ja manchmal etwas eigen, öffne ich das Excel, werde aber keine Makros oder Bearbeitung aktivieren, falls der Inhalt verdächtig ist.

==> PROBLEM: Keine Aufforderung, das Ding führt SOFORT Makros aus und infiziert das ganze System. Doppelklick und man ist chancenlos. Alle Dateien werden verschlüsselt.

Übrigens scheint die Reihenfolge der Verschlüsselung nach Dateityp zu laufen, erst Office Dokumente, dann PDF, dann andere.

IMPLIKATION:
------------------------
Überhaupt keine externen Office-Dokumente mehr öffnen, allgemein nur PDFs öffnen und hoffen, dass der nächste Trojaner nicht diese betrifft.
Ich hab jetzt eine neue Festplatte besorgt und mache gerade eine frische Windows-Installation (geringer Verlust, da ab und zu Backup, aber eben doch ein bisschen Verlust... verkraftbar).

FRAGEN:
-------------------------
Weiss jemand, ob der Trojaner über das Windows selber gesteuert wird oder sich über die infizierten Dateien weiterverbreitet?
Würde heissen: Falls über OS könnte man ja die infizierte Festplatte als externe Platte anschließen und selektiv die noch nicht infizierten Dateien herunterziehen.

* Habt ihr weitere Erfahrungen?

Danke Euch,
Tobias

Ja ich hab auch so eine Mail gesehen. Haben die Betrüger sich schon Mühe gegeben.
Die sah ziemlich echt aus, und v.a. wurde auch die Person aus der Personalabteilung mit richtigem Namen angesprochen - die Stelle auf die sich beworben wurde, passte auch zur Stellenanzeige.

Aber komisch war, dass es zwei Anhänge gab, eine PDF und eine XLS. In der PDF wurde man darüber informiert, dass alle Infos in der Exceltabelle stünden.

Leider gibt es ein es ein paar spezielle Deppen, die wirklich solche Bewerbungen schicken. Also wundern würde mich das nicht. Auch wenn in der Stellenanzeige steht, dass NUR PDF benutzt werden soll, wird oft ignoriert.


Wenn das der Fall ist, wurde Office vorher so eingestellt, dass es Makros immer aktiviert. Da das nicht die default Einstellung ist, kann man eigentlich nur schlussfolgern, dass jmd die Makroeinstellung verstellt hat.

Default lautet: "Alle Makros mit Benachrichtigung deaktivieren."

Das wurde verstellt, ob nun absichtlich oder nicht weiß ich nicht.


Die Frage ergibt so keinen Sinn.
Es gibt auch keine "infizierte Festplatte". Wohl aber kann auf der Festplatte eine Partition oder Volume eingerichtet sein, welches ein Dateisystem mit malwarefiles enthält. Aber nicht die Festplatte an sich.
Und es gibt auch keinen Grund die Platte auszubauen.

Warum muss man deswegen eine neue Festplatte kaufen? wenn Windows neu installiert wird, Partitionen löschen und die Festplatte formatieren lassen mit dem Setup der Windows DVD, das "überlebt" auch der Goldeneye Trojaner nicht und zudem wird dabei auch der MBR der Festplatte neu geschrieben. Den gleichen Effekt hättest du, wenn du von der Festplatte des betroffenen PC's ein sog. Komplettbackup hättest, wenn das eingespielt wird, dabei wird auch alles überschrieben inkl. den MBR der bei solchen Backups auch mitgesichert wird. Generell: wie ich gestern schon im CB Forum einem User schrieb: egaol ob Cerber, Locky oder eben Goldeneye usw: wichtig ist das man auf offline USB bzw externen Festplatten regelmässig Datensicherungen macht und idealerweise auch mit Backup bzw image Programmen sog. Komplettbackups bzw Komplettimages vom Windows System der Computer macht bei denen man vorbeugen will.

Es handelt sich um Office 2010. Es wurde nichts vom default verstellt. Sonst fragte Excel immer bezüglich "Bearbeitung aktivieren" und Makroausführung. Diesmal nicht.
Die Datei kam als .xls daher, nicht als .xlsm



Der Goldeneye verschlüsselt die Dateien so schnell er kann, aber eines nach dem anderen. Es hat mir Zeit gegeben einige wichtige Ordner noch schnell auf eine externe Festplatte zu schieben.
Als ich ausgeschaltet habe war er noch nicht komplett durch mit der Verschlüsselung, was bedeutet, dass noch zahlreiche unverschlüsselte Dateien auf der Festplatte sind.

Klar, eine Formatierung überlebt auch Goldeneye nicht, leider aber die noch unverschlüsselten Dateien auch nicht.

Die Frage bezog sich daher darauf, ob bei einem anklemmen der alten Festplatte (die ich noch nicht löschen will) an das neue System, dieses neue System mit infiziert wird, oder ob das nur bei Ausführung/Öffnen von infizierten Dateien passiert.
Die Denklogik lautet so: Wenn es betriebssystemgesteuert ist, dann dürfte eigentlich nichts passieren mit einem frischen Windows, wenn es filegetriggert ist, dann sollte man die Files nicht anklicken und die nicht-infizierten darum herum herausfischen.
Leider kenne ich aber das Verhalten des Trojaners nicht und weiss nicht, was passiert.
Werde es auf einem anderen Altsystem mal testen...

Grüße Tobias

Ich würde die Festplatte an einem unwichtigen PC anschliessen und dann erstmal die Festplatte mit 1 oder 2 Antivirus Live CD's überprüfen, okay du musst halt kurz für die Antivirus Live CD deren Signaturen aktualisieren, aber wenn möglich mach danach das Internet wieder aus und zudem: wenn du von einer Live CD bootest hat ja dann Goldeneye keinen Zugriff auf das Windows auf dem PC. Dann mit den Scannern bereinigen bevor du versuchst von der Festplatte noch Dateien zu retten. Wenn du das dann gemacht hast, kannst du die Festplsatte formatieren und wieder benutzen.

Die verschlüsselten Dateien sind nicht infiziert, sie tragen nicht den Schadcode weiter (jedenfalls weiß ich von keinem solchem Fall und es wäre ja auch nur bei Office-Dateien überhaupt vorstellbar). Ich würde diese auch nicht löschen, sondern aufbewahren, für den Fall, dass es noch mal in ein paar Jahren eine Entschlüsselung dafür gibt.

Inwieweit das Betriebssystem nachher noch infiziert ist, ist wohl auch unterschiedlich. Bei vielen Verschlüsselungstrojanern werden die aktiven Dateien alle gelöscht, wenn er "fertig" ist, damit man nicht mit deren Hilfe den Algorithmus herausfinden kann.

Und genau das kann nicht sein. Denn die default Einstellung lautet wie ich sagte:

Alle Makros mit Benachrichtigung deaktivieren.

Das kannst du auch schlecht widerlegen, ich hab eben selbst noch ne Installation von einem Office 2010 Standrad gemacht und die Einstellung war auch so. :kloppen:

Vielleicht wurde es ja durch ein Programm (auch Malware?) verstellt und nicht durch den User?

Ja das kann schon sein. Aber dann muss er ja vorher schon nen Mist ausgeführt haben. Ich hab wie gesagt extra nochmal auf nen frisch installierten MSO 2010 nachgeschaut. Da ist nix mit Makros aktiv, die muss man man wenn man so ein Mistdokument öffnet schon selbst mit einem Klick auf "Inhalt aktivieren" selbst aktivieren.

Genau für diese Bezeichnung wurde Microsoft v.a. bei heise sehr stark kritisiert => https://www.heise.de/forum/heise-Sec...29602107/show/

Aber von allein werden keine Makros ausgeführt, da bedarf es entweder den Klick oder der Juhser muss was verstellt haben....

Sagen wir es mal so: Einen Blankoscheck stelle ich weder für mein Konto aus, noch für mein Computersystem. Dies bedeutet, dass es eine pauschale Akzeptanz aller Makros ohne Nachfrage NIE geben würde. Das fallweise Bestätigen ist eine grundsätzlich gute Lösung. Bei Internet-Dateien wurde auch immer "Bearbeitung aktivieren" gefragt.

Diese Datei aber kam (bestellt, als Reaktion auf Stellenausschreibung, dazu personalisiert mit Namen und Firmennamen + schlüssigem PDF-Lebenslauf) als E-Mail. JEDE Personalabteilung öffnet Bewerberunterlagen von unbekannten, weil diese bestellt wurden - und es wurde überhaupt keine "Zulassen"-Frage durch Excel gestellt.

Reaktion kann nur sein:
1.) Restriktiver mit Anhängen werden (alles, was nicht PDF ist zurückgehen lassen)
2.) Falls irgendwann auch PDF betroffen ist hoffen, alle Dateien vorher in einem Verzeichnis speichern und separat vom Virenscanner prüfen lassen. ABER: In diesem Fall lief die Mail ja beim Eingang auch schon durch den Scanner, der Goldeneye aber nicht erkannt hat (Avira, Updates immer regelmäßig). Bzw.: Sofern Avira auch eingehende Mails scannt. Wäre aber eigentlich fahrlässig, wenn nicht.

Aber egal wie man es dreht und wendet: Die Kritik an Microsoft bezüglich der Zulassung von Makros ist berechtigt. Eine grundsätzliche Messagebox "Ein Code soll ausgeführt. Möchten Sie zustimmen?" ist sicher möglich, besonders wenn man es mit einem Haken "für diese Arbeitsmappe immer zustimmen" verallgemeinern könnte (Arbeitsmappenbezogen, und NICHT als globale Regel).

Die Office-Produkte sind an vielen Stellen wenig konsistent. Leider.

Ich habe den Avira-Scanner aktualisiert und ein vom Trojaner modifiziertes File gescannt. Ergebnis: "Kein Virus gefunden". Muss ich das als schwache Leistung werten?

Unabhängig davon bin ich noch nicht sicher, ob man durch Aufruf einer betroffenen verschlüsselten Datei den Virus weiterträgt. Aktuell scheint es so, als sei das nicht der Fall, was dafür spricht, dass er sich über das OS weiterverbreitet.

Ansonsten tendiere ich auch zum Aufbewahren, daher habe ich auch gleich eine neue Festplatte besorgt, hoffen wir aber, dass es eine Frage von Wochen und nicht Jahren ist.


Weitere Beobachtung zum Infektions-, bzw. Ausbreitungsvorgang:
------------------------------
Es scheint, als würde dieser aktuelle Goldeneye-Trojaner insbesondere auf Office-Dateien gehen, anschließend auf PDF.
Allerdings ist mir aufgefallen, dass auch weniger massentaugliche Formate attackiert werden, wenn auch scheinbar unsichtbar. Die in den betroffenen Ordnern liegenden .PSD und .AI und weitere andere Formate haben zwar nicht diese kryptische Endung in den Dateinamen bekommen, wurden aber mit ähnlichem Timestamp modifiziert. Liessen sich auch nicht mehr öffnen, da corrupted.


Mein Betriebssystem ist noch "offen", das heisst, dass die Festplatte noch nicht gesperrt ist. Ich komme an alles dran, nur nicht an die Dateien, die verschlüsselt sind (bzw. komme dran, aber kann sie nicht verwenden).

Die sind sauber, nur verschlüsselt! Sage ich auch ein zweites Mal.

Aber du hast dennoch behauptet, dass das Makro OHNE Nachfrage einfach so ausgeführt wurde. Das kann einfach nicht sein, wenn die Standardeinstellung nicht verstellt wurde.

Vllt checkst du einfach mal deine Makroeinstellung in Excel? So siehts in Excel 2010 Standardmäßig aus:

http://saved.im/mtg0odkxm2s5/excel_makros.png


Nun überleg mal welchen Sinn es ergibt, verschlüsselte Dateien zu scannen. Richtig, gar keinen, weil man eh nicht an den echten Inhalt kommt. Sinnigerweise geben daher viele AVs ein "unscannable" als Rückmeldung zurück wenn sie eine verschlüsselte Datei als solche erkennen.
Außerdem liegt Ruth (Fragerin) mit ihrer Aussage schon richtig, deine persönlichen Daten auf dem Rechner wurden zwar verschlüsselt, aber da wurde kein Schadcode drangepappt.

Danke für den Screenshot... ja, siehr (und sah) bei mir genauso aus.
Die dritte und vierte Option hätte ich NIEMALS aktiviert.

Da ich ja dank des Trojaners nun wieder ein frisches System habe konnte ich einfach mal einen weiteren Screenshot jungfräulich nach der Installation machen:

https://picload.org/image/raawdlid/excel-standard.jpg

Interessant hier:
* es sind KEINE Kreuze gesetzt für "Makroaktivierte Arbeitsmappen".
* es ist insgesamt eher unübersichtlich
* es ist beschriftet mit "ab Format Excel 2007 und später".

Die verschickte Goldeneye-Datei in der von mir beschriebenen Mutation wurde als .xls ausgeliefert. Also möglicherweise in einer Vor-2007-Version, die das Excel entsprechend nicht mit Dialog ausbremst, vielleicht gilt die Makroeinstellung deines Screens ja auch nur ab Version 2007.

Wäre für mich jetzt eine mögliche Erklärung, die zu prüfen wäre.

Grüße
Tobias

Ich denke da hat jmd auf "Inhalt aktivieren" geklickt und weiß es nicht mehr oder will es nicht wahrhaben ODER es wurde eine Sicherheitslücke ausgenutzt. Wäre möglich wenn man die Updates für MSO verschlampt.

1.) "Jemand" war ich persönlich. Und dieser jemand hat garantiert nicht "aktivieren" geklickt. Sowas von 100% nicht, und das hat nichts mit Nicht-Wahrhaben zu tun.

2.) Es wurde eine Sicherheitslücke ausgenutzt: Klingt am wahrscheinlichsten.

3.) Updates wurden keine verschlampt, diese sind auf automatisch machen konfiguriert und das Gerät ist beinahe immer online.

ANGEBOT:
Wenn du es nicht glaubst, die Mail habe ich noch, schick mir eine PM mit deiner E-Mail und ich leite dir auf eigene Gefahr den Goldeneye als Anhang zur weiteren Forschung weiter.
Der Anhang ist ein .xls (kein .xlsm) und daher möglicherweise eine Vor-2007-Version. Vielleicht probiere ich es selber auch nochmal mit einem separaten System aus.

Ich hab so ein Teil schon selbst gesehen und auch selbst aufgemacht. Ich hab nur die Arbeitsamt-Blume gesehen. Makros hätte ich selbst aktivieren müssen.

Danke, das scheint so zu sein.

Und interessant ist noch, dass es auch verschlüsselte Dateien gibt, die keine Modifikation in ihrem Bearbeitungsdatum tragen. klingt unlogisch, ist aber so.

Ich habe auch die Arbeitsamt-Blume gesehen, musste aber nichts aktivieren.
In dem Moment wusste ich: Das ist er, da ich ihn vorher bei Heise-Security gesehen hatte (also bzw. auf Facebook das Heise-Beitragsbild hatte ich gesehen).

EDIT: Und gerade WEIL ich zu wissen glaubte, dass man ja immer noch separat aktivieren müsste wähnte ich mich in Sicherheit vor dem Ding, weil ich sowas nicht bestätige.

So unlogisch ist das nicht, es gibt Tools, mit denen man den Zeitstempel von Dateien und Ordner ändern kann.

unlogisch ist aber, dass einige Dateien einen neuen Zeitstempel bekommen haben und andere nicht. Geöffnet werden können beide nicht mehr, in einem Backup habe ich die Originale noch, und die gehen einwandfrei.

Was bringt dir das jedes irrelevante Detail zu hinterfragen?
Vllt gehört das zur Taktik der Betrüger, dass man nicht jeden Datumstempel ändert um es den Opfern zu erschweren eindeutige Kriterien zu bestimmen welche Dateien betroffen sind. Oder es ist schlicht un ergreifend ein Bug in der ransomware.

Wie gesagt, das ist ziemlich irrelevant. Wichtig ist, dass du ein aktuelles Backup hast.

Und auch wie gesagt, das Makro führt sich nicht ungefragt aus, da kann es nur die zwei Möglichkeiten geben: entweder selbst genehmigt oder irgendeine Lücke in MSO ausgenutzt.

Ich glaube, ich habe eine Erklärung. Diese kommt aus dem MS-Sicherheitscenter.
Siehe Screen:
* MS-Office schaltet nur dann auf geschützte Ansicht, wenn ein Anhang über Outlook hereinkommt.
* Bei mir kam es über Thunderbird rein (ein Mailclient, der schon weit vor 2010 enorme Verbreitung hatte - Microsoft hätte ihn im Rahmen der Verpflichtung zur Förderung alternativer Formate mit akzeptieren müssen, so wie ja auch immer nach dem OpenOffice gefraqt wird.)

https://picload.org/image/raogaord/geschuetzt.jpg

INTERPRETATION:
--------------------------
LEICHTSINNIG und schlecht gemacht von Microsoft!!!
Denn bei den gemachten Einstellungen ("manuell bestätigen") sollte man annehmen, dass in einem solchen Fall *alle* Makros vor Ausführung bestätigt werden müssen, also unabhängig davon ob von einer lokalen Festplatte (auch TEMP-Ordner des Mailprogramms) oder aus dem Netz.

Warum also steht die Einstellung auf "manuell bestätigen", ein separates Feld regelt den Eingang über Outlook. An sich sollte "manuell bestätigen" doch Priorität für alle Dateien haben oder nicht?

Kann ich nicht nachvollziehen.

Wenn eingestellt ist alle Makros MIT BENACHRICHTIGUNG zu deaktivieren, dann darf kein Makro ohne Nachfrage ausgeführt. Völlig egal woher die Datei kommt. Woher will Windows denn überhaupt so genau wissen welche Quelle eine Datei genau hat :headbang:

Ja, genau das meine ich.
Office hat anscheinend so viele konkurrierende Regeln, dass man mit etwas Pech aus irgendeiner herausfällt und es passieren kann, dass dann doch in irgendeiner Konstellation irgendwas geöffnet wird.

Heisst eigentlich: die von Microsoft sollten sich die gesamte Makrofreigabe noch mal gründlich anschauen, denn so ist das nix.

Und es ist auch schon ganz schön deppert, dass man mit Makro überhaupt EXE-Dateien erstellen kann, die dann von Windows ungefragt ausgeführt werden :headbang: :pfui:

Man kann echt nur noch von diesem Microsoft Geraffel abraten und wo es nur geht statt MSO/Windows lieber LO/Linux verwenden.

Goldeneye infiziert?
 

Hallo zusammen,
ich habe einen Rechner von einer Bekannten bei mir, welche die Bewerbermail mit Goldeneye geöffnet hat.
Das merkwürdige ist nur, dass ein Neustart und die Erpressermeldung noch nicht aufgetreten ist.
Ich erkenne momentan kein außergewöhnliches Verhalten. Kann mir jemand konkret mitteilen, wie ich somit überprüfen kann, ob der Rechner überhaupt infiziert ist?

Was issen daran merkwürdig?
Nur die Mail öffnen verursacht keinen Schaden!
Und auch die PDF macht nix. Passieren kann erst was wenn das Makro in der Excel-Tabelle abgenickt wird.

Mal ganz naiv oder blöd gefragt cosinus:pfeiff:wenn man als User kein Excel installiert hat, ich hab nur ein Microsoft Word 2000 installiert, dann kann nix passieren?

Ich bin zwar nicht Cosinus, aber ich schätze mal, dass die Datei nur für Excel ausgelegt ist und sofern glaube ich nicht ausgeführt werden kann, wenn nur MS Word installiert ist. (Kann mich aber auch irren)

Ladekabel612, ich hab eh immer das Glück das bei mir in den E-Mail Postfächern keine dubiosen Mails landen mit infizierten oder soll ich lieber sagen bösen:blabla:Anhängen die meinem System schaden könnten:blabla:

Ich bin auch noch nie auf solch eine dubiose E-Mail gestoßen mit einem Verschlüsselungstrojaner, schade eigentlich :D Davon mal abgesehen wird der meiste kram eh gefiltert :D

Ja haste schon recht damit, aber wir beide haben ja sowohl Systembackups als auch Datensicherungen auf offline USB Festplatten:pfeiff: und wir könnten feststellen wenn wir so einen Anhang öffnen und die böse Datei darin ausführen würden, ob dein Eset und bei mir Avast und ZAM Premium dann nur hilflose "Zuschauer" wären oder ob unsere Virenschutzlösungen reagieren würden und die bösen Verschlüsselungstrojaner kaputt machen würden:blabla:

Ob du es glaubst oder nicht: Ich habe noch nie ein Systembackup gemacht. :D Und klar schauen die AV's dann blöd aus der Wäsche wenn der Trojaner mal loslegt. Aber mit dem richtigen Verhalten kommt es dazu erst garnicht ;)

Purzel, öffne doch mal für uns so eine Excel-Tabelle mit Word 2000, keine Ahnung was passiert. :rofl:

Jetzt weiß ich wieder was ich beim nächsten Mal in der Kirche:blabla:für ein Gebet für dich in petto habe:zunge::blabla:

Ach, mir ist noch nie was derartiges passiert welches ein Systembackup gebraucht hätte :D Private Daten sind eh mit GPG und VeraCrypt verschlüsselt auf nem USB Stick :D

Merkt ihr eigentlich noch was für nen Stuss ihr da labert?

So lange der USB Stick nicht angeschlossen ist wenn ein Verschlüsselungstrojaner zuschlagen würde, sind ja deine Privaten Daten safe aber wenn der USB Stick angeschlossen wäre, würden dir auch GPG und Veracrypt nichts nutzen bzw die Verschlüsselung durch den trojaner nicht verhindern.
cosinus, jetzt tue aber nicht so als wenn du das nicht auch ab und an machen würdest. Die Forensuche würde da auch bei dir mehrfach fündig werden.
Back zum Thema: ehrlich gesagt hätte ich keine Bammel davor wenn mal ein Cerber, Locky, Goldeneye usw. auf mein System käme und dort ungewollt Dateien von mir verschlüsseln würde weil der Spuck dann vorbei wäre wenn ich von der Paragon Boot CD booten würde und damit Backups von der offline USB Festplatte einspiele.

Wegen meiner Frage nochmals: die Bekannte hat die Excel-Datei geöffnet incl. der Makrowarnung.
Kann man also sagen dass wenn eine Infektion mit Goldeneye stattgefunden hat, dass dann unmittelbar danach ein Reboot stattfindet und die Erpresser-Meldung erscheint?
Hoffe hier nun eine ernsthafte und hilfreiche Antwort zu bekommen; sorry wenn ich hier lese was manche Leute für einen Stuss schreiben

@Stefan:

Wenn nur die Makro-Warnung kam, ist ansich noch nichts passiert, da die Makros noch nicht ausgeführt wurden. Wenn die Makros allerdings ausgeführt wurden, kann man von einer Infektion mit dem Goldeneye-Erpressungstrojaner ausgehen. D.h. sobald ein Reboot stattfindet, dürfte die Meldung erscheinen, ja.

Muss das ganze doch noich korrigieren: hab mit meiner Bekannten nochmals Rücksprache gehalten. Es war keine xls-Datei sondern ein PDF.
Hab mir das Mail nun auch mal angeschaut und das PDF nochmals geöffnet (das gleiche hat meine Bekannte auch gemacht.
Es öffnet sich eine 5-seitige PDF ganz normal ... es passiert nichts weiter.
Eine weitere Datei (xls etc. war keine dabei)
Die CPU_last geht nicht nach oben, der PC stürzt nicht ab und man kann ganz normal daran arbeiten.
Habe den PC auch mal mit einer Sardu-DVD und integrierten Virenscanner von Avira, Kaspersky geprüft - nichts gefunden)
Ich habe gelesen dass bei der Mail immer entweder nur die Excel-Datei oder eine PDF UND die Excel-Datei angehängt waren.
Wie gesagt ich habe die Mail vor mir gehabt - es gibt nur die PDF-Datei.
Hat schon jemand mal von dieser Variante gehört?
Oder was meint Ihr?

Das PDF ist komplett harmlos. Nur die Excel-Datei ist der Schädling, weil darüber nachgeladen wird.

Allerdings... hab mich mittlerweile fortgebildet: Das Makro wird bei WORKBOOK_OPEN ausgeführt (also bei öffnen der Excel-Datei) und lädt aus dem NETZ (!!!) eine Exe-Datei herunter, die es ausführt.

Mal im Ernst: Wenn schon Makros ausgeführt werden, dann muss doch SPÄTESTENS, wenn aus dem Netz .exe-Dateien heruntergeladen und ausgeführt werden sollen ein Alarm seitens Office angehen, völlig egal, was eingestellt ist.
DAS finde ich leichtsinnig von den MS-Entwicklern. Nein, eigentlich sogar fahrlässig!

Richtig, nur weiss man nicht immer, was das richtige Verhalten ist.
In unserem Fall habe ich wie im Verlauf dieses Beitrags besprochen etwas Pech gehabt:

1.) Stellenausschreibung war vorhanden, wir erhielten eine HOCH personalisierte Bewerbung - und zahlreiche weitere hochpersonalisierte Bewerbungen. Also alles Mails, die bestellt waren, aber von logischerweise unbekannten Leuten kamen.

2.) Die xls-Datei war so wie es scheint von einer älteren Version, als Version Office 2010

3.) Excel war auf "nachfragen" konfiguriert. In einem Haken aber war geschrieben "Frage bei allen Dateien ab 2010 nach" (oder ähnlich, siehe Screen). Aus diesem Grund konnte die Datei -obwohl ich mich in Sicherheit wähnte es ja bestätigen zu müssen- sich durch die teilweise sehr widersprüchlichen MS-Absicherungen hindurchlavieren. Siehe hierzu auch die Beiträge oben.

DAS war mir nicht klar. Jetzt laden wir nur noch PDF, also gar keine Office-Dokumente mehr, was aber auch niemanden in Sicherheit hält, denn wenn erstmal jemand Schadware in pdf unterbringt - dann sind wir alle dran, du auch!

Goldeneye beginnt mit der Verschlüsselung dann, wenn das Makro gestartet wurde und anschließend das EXE aus dem Netz heruntergeladen wurde (das ist die Funktion des Makros).

Danach fängt er an zu verschlüsseln.
Vermutlich wird er bei einem Neustart erneut aktiviert und verschlüsselt weiter, das weiss ich aber nicht.

Sicherer ist solange es noch nicht vollverschlüsselt ist: Festplatte rausnehmen, neue einbauen und neues Betriebssystem drauf, dann die alte Festplatte als externe anschließen (nicht davon booten) und die noch nicht verschlüsselten Dateien auf das jetzt wieder saubere System übernehmen. Die anderen Dateien auf der nun neuen externen Platte aufbewahren, falls es mal eine Entschlüsselung gibt.

Grundsätzlich würde ich aber sagen: Man merkt, wenn Goldeneye die Dateien verschlüsselt hat ;-)

Das PDF gilt als harmlos. Wenn keine xls-Datei dabei war, wird es wohl kaum Goldeneye gewesen sein.