Virenwarnung - Locky Verschlüsselungs-Virus unverändert weiter sehr aktiv

  • Virenwarnung: Der Locky Verschlüsselungs-Virus ist unverändert weiter sehr aktiv.
    Golem.de berichtete über 5000 Infektionen pro Stunde.
    Locky mutiert mehr als 400 Mal stündlich und verwendet Absender-Spoofing.

    Empfohlene Maßnahme: - Wegen weiterhin anhaltender Angriffe auf Betriebe und Behörden vorübergehend
    den GRAYLISTING-Spamschutz für alle verwalteten Domains aktivieren.
    ( Postman / GRAYLISTING / Erweitert / Konfigurieren [steht ganz unten] )
    - Verweilzeit im TRANSIT auf mindestens vier Minuten erhöhen.
    - wichtige Daten auf externen Platten sichern, selbige danach vom Netz trennen (!) .


    Weitere Infos auf der Facebook-Seite   ,
    auf http://www.golem.de und auf der Facebook-Seite .

    Anmerkung: Die beiden hier genannten Facebook Business-Seiten sind ohne Facebook-Anmeldung nutzbar.

    13 Mal editiert, zuletzt von Arno (23. Februar 2016 um 10:35)

  • Danke für den Hinweis!

    Und was trage ich in den restlichen Felder der Konfiguration ein?

    ------------------------------------------------

    Nur dummer User mit gefährlichem Halbwissen.... ;(

    Denken is' wie Google. Nur krasser, ey.... 8o

  • RobDust: In David geht das ohne ein zusätzliches Script-Programm nicht.

    Denn dazu müsste die Regel auf Betriebssystem-Ebene arbeiten und die Anhang-Typen identifizieren.
    Das ist aber nicht ohne Risiko und sollte daher dem Virenscanner überlassen werden:
    "Alle eMail-Anhänge von Typ .doc oder .exe sofort unter Quarantäne stellen."

  • @ Wulff:
    Die Reputation der Seite sureshotsoftware.com ist absolut unzureichend.
    Es gibt auf der Webseite kein Impressum, keinen Ansprechpartner und keinen Betriebssitz.

    Besser für die eigenen Nerven und die der gestressten Kunden ist ein Restore einer virenfreien Datensicherung.

    Der Beitrag von Serpantor könnte ein Versuch sein, die Seite zu puschen, um gerade Trojaner zu verbreiten.
    Denn sein heutiger Beitrag zu sureshotsoftware.com ist der erste und bisher einzige von diesem anonymen Forumsneuling.

    Empfehlung aus der Praxis:
    Bei tatsächlichem Befall eines Rechners oder Netzwerks mit einem Erpresservirus den Herstellersupport des eingesetzten Virenschutzprogramms kontaktieren. Aufgrund der bestehenden internationalen Kontakte haben die ausreichend Möglichkeiten, Entschlüsselungstools mit Quellen ausreichender Reputation zu nennen.

    4 Mal editiert, zuletzt von Arno (23. Februar 2016 um 19:08)

  • Zitat aus Heise Security:
    "Ist man Opfer eines Verschlüsselungs-Trojaners geworden, sollte man der Lösegeldforderung nicht nachgehen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

    Stattdessen soll man ein Foto von dem digitalen Erpresserbrief machen und bei der Kripo Anzeige erstatten. Es ist ratsam, eine Kopie der verschlüsselten Daten aufzuheben, für den Fall, dass ein Weg bekannt wird, die Verschlüsselung zu knacken. So konnte heise Security kürzlich mit dem Tool TeslaDecoder eine Festplatte retten, die der verbreitete Krypto-Trojaner TeslaCrypt2 chiffriert hatte."
    und weiter:

    Oft lässt sich gerade mit den von David aufgezeichnete Wegen einer empfangenen eMail (rechte Maustaste / Erweitert/ Eigenschaften / SMTP-Header) verwertbares Beweismaterial sammeln.

    Die Verschlüsselungsviren haben Mitte Februar die gesamte EDV und damit auch die Diagnose- und Behandlungssysteme mehrerer Krankenhauses lahm gelegt. Zum Beispiel traf es das Neusser Lukas-Klinikum. Da waren Patientendaten wie Blutgruppe und Allergien waren nicht zugänglich, viele Operationen konnten nicht erfolgen, digitale Röntgenbilder gab es nicht, und die Notfall-Beatmung lief teils nur noch manuell. Trotz rund-um-die Uhr Schicht-Arbeit der IT-Mitarbeiter hat es mehrere Tage gedauert, um alle vorrangig wichtigen Systeme wieder in Betrieb zu nehmen.

    Doch kommen wir zurück zu den einnehmenden Wesen, die Locky und ähnliches in Umlauf bringen.
    Nota bene: Wenn das Tracing einer Zahlung Sinn machen soll, dann muss es entweder sehr rasch nach dem Virusbefall oder in Ruhe vorher mit einem fachlich kompetenten Mitarbeiter der Polizei oder des Verfassungsschutz vereinbart werden. Es ist recht aussichtsreich, dem Weg der Zahlung via Western Union nachzugehen. Denn da muss am Ziel der Geldzustellung eine Person existieren, die das Bargeld in Empfang nimmt. Eine Zahlung via Bitcoin wäre Verschwendung. Im Strudel des drohenden Zusammenbruchs ist mir die Wahrscheinlichkeit für zu hoch, dass die Betreiber die Zahlung selbst einsacken.

    70 Mal editiert, zuletzt von Arno (26. Februar 2016 um 16:04)

  • Nochmals eine Verständnisfrage zum Graylisting:

    So wie ich es verstehe, nützt Graylisting nur etwas bei reinem SMTP-Betrieb, also eigene Mailserver direkt betrieben.

    Wenn Senden/Empfangen (und evtl auch noch per David/Smarthost) über Pop-Server des Providers läuft, ist es nutzlos, weil ich dann ja "Temporär beschäftigt" nicht sinnvoll einsetzen kann. Mail ist ja schon im Userpostfach meines Providers drin..... Da ich dann noch mit PUll meine Mails hole, ist es für diesen Fall sinnlos..

    Oder?

    ------------------------------------------------

    Nur dummer User mit gefährlichem Halbwissen.... ;(

    Denken is' wie Google. Nur krasser, ey.... 8o

  • korrekt, greylisting ist eine SMTP funktion, keine POP3 funktion.

    im prinzip lässt sich gegen die ganze crypto trojaner geschichte momentan nicht viel machen. was hilft ist das generelle löschen/aussortieren von office dokumenten (und natürlich aller anderen potenziel gefährlichen anhänge) oder das konvertieren (auf dem mailserver oder der fw) in .pdf.

    alles andere scheint momentan kein wirksamer schutz zu sein bei der rate in der sich die teile verändern.

  • kann man nicht eine Regel erstellen, dass sobald anhänge erkannt werden (bzwl. spezielle Anhänge, wie zip oder doc.) , diese gesondert irgendwo verschoben werden?

    Wir setzen das Tool PopCon () ein. Das holt per POP3/iMAP usw. die Emails ab, prüft auf Virus und Blacklisteintrag, führt benutzerdefinierte Regeln aus und sendet die Email dann per SMTP an den Postman.

    Wir haben im PopCon aktuell eine Regel aktiv, die Emails mit potenziell gefährlichen Dateianhängen an den Admin umleitet. Erst nach Prüfung gehen die Emails an den eigentlichen Empfänger. Ist zwar für den Admin nicht besonders angenehm, aber dafür ist er eben Admin. ;)

    Bzgl. Greylisting: Normalerweise ist diese Option in den Mailaccounts aller gängiger Provider vorhanden, nur leider nicht immer voreingestellt aktiviert. Einfach mal nachschauen.

    Matthias

  • NoHopeNoFear: Stimmt, Graylisting müsste beim Provider aktiviert werden, wenn eMails per GrabbingServer abgeholt werden.

    Der MIS Spamschutz von David sortiert die Spams mit Virenanhang momentan erstaunlich zuverlässig aus.
    Beim Virenschutz sieht's nicht so erfreulich aus: Weder die Wochened-Prüfung von David Doorkeeper noch Norman Endpoint Protection schlagen bei der Sammlung im Spamorder an, solange die Anhänge nicht geöffnet werden. Genau den Check bereite ich gerade auf einem abgeschotteten Notebook vor, auf das ich eine komplette StronBox-Sicherung in ein aktuelles David Basic kopiert habe. Brauche meinswegen etwas Zeit für die Kunden, deswegen bin ich mit den Tests noch nicht weiter gekommen.

    Vorsichtshalber bin ich zu Kunden rausgefahren, für die ich die Administration von Server und Netzwerk mache. Bei jedem mal eine vollständige Acronis-Sicherung des Servers auf eine externe USB3-Platte ausgeführt und dann die Platte wieder von Server und LAN getrennt. Nur wenn die Kunden ein Bandlaufwerk gehabt hätten mit funktionierender Sicherung hätte ich mir diesen Aufwand gespart.

    Einstellung der Firewall oder des Spamschutz dahingehend, dass jede eingehende eMail mit einem .doc, .docm, .pdf.exe, .doc.doc und jede .exe sofort kommentarlos gelöscht wird, kann viel Arbeit ersparen.

    Einmal editiert, zuletzt von Arno (25. Februar 2016 um 20:51)

  • Hallo matthiasr,

    herzlich willkommen als neuer Beitragsschreiber hier im Forum.
    Seien Sie bitte so nett, sich kurz etwas vorzustellen.

    Dann ist die Kommunikation nicht so anonym, und wir können eher davon ausgehen,
    dass interessant aussehende Tipps nicht auf Schadcode-hinterlegte Webseiten und entsprechende Links führen.
    Entsprechende Versuche dieser Art gab es leider in den letzten Monaten schon mal.
    Daher ist bei Einträger neuer Mitglieder schon etwas Vorsicht geboten.

    5 Mal editiert, zuletzt von Arno (25. Februar 2016 um 23:44)

  • Wenn ein Locky-Virus richtig zuschlägt, dann gibt es keinen Wiederherstellungspunkt mehr, um den PC darauf zurück zu setzen.

    Das einzige was dauerhaft hilft ist, die Platte des PC zu formatieren und ein Image von einer externen Festplatte wiederherstellen, die zum Zeitpunkt des Angriffs nicht mit dem Rechner oder dem Netzwerk verbunden war.

    "Zahlen" wäre übrigens die falsche Entscheidung, so die Mitteilung des BSI.
    Nicht nur, weil dadurch unnötig Gelder in die Kassen der Angreifer gespült würden.

  • Arno hat Recht. Mit solchen Viren ist schwer umzugehen. Arno hat vorgeschlagen, dass die Viren auf der Betriebsebene erkannt werden müssen, aber ich denke, dass so etwas nicht hilft, weil die, die diese Vieren produzieren immer etwas Neues entwickeln. Sind immer Nase vorn. Weil hier es ums Geld geht. Im Grunde genommen, verdienen nur die die diese Scheisse entwickeln und die Antimalware Entwickler, die Antiviren entwickeln. Einfache Menschen leiden nur.

    Zum Locky. Gleiche Kacke wie die anderen Crypto. Hier habe ich gelesen, dass z.B. Emsi Locky entschlüsseln kann: .
    Ich habe mir vor eine Liste Antimalware Programmen zu machen, die wirklich bei Crypto helfen. Weil jeder nur Vermutungen schreibt.

  • Locky ist schon Asbach Urwald.
    Siehe Menüpunkt Aktuelles.

    Moin naja geht so...

    haben uns am 12.05 jetzt das Teil eingefangen, trotz Virenscanner mit update vom 11.05.2016 Version 8162
    Super. Und dafür zahlen wir aber jeden Monat schön an Tobit...

    Erst mal nachfragen was da los ist :(

  • haben uns am 12.05 jetzt das Teil eingefangen, trotz Virenscanner mit update vom 11.05.2016 Version 8162
    Super. Und dafür zahlen wir aber jeden Monat schön an Tobit...


    Das Problem ist wohl die hohe Mutationsrate bei den zahlreichen Varianten. Ich habe gestern bei einem Kunden den "Cerber" gehabt, der ist am Avira-Scanner vorbei marschiert, obwohl die Grundvariante auch schon aus dem März stammt. Aber wenn die Malware-Entwickler ein paar Zeilen Code austauschen passt die Signaturerkennung nicht mehr, und der zu 98% identische "neue" Schädling wird nicht erkannt. Da hilft dann nur noch eine Verhaltenserkennung, und die (siehe AVG-Thread nebenan) kann wieder ganz andere Probleme mit sich bringen.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!