ANZEIGE
Werbung auf Sifaboard
  • Hallo Kollegen,
    habe gerade von unserem Systemhaus eine Warnung bekommen:
    "
    Der oben genannte Trojaner kommt durch Spammails insSystem. bekannte Mails:
    - BuchungsbestätigungFahrradverleih/Hotel/Tagungszentrum/Gruppenreise
    - die klassischen "Rechnungen"
    -Kopierer@Firmendomain<mailto:Kopierer@Firmendomain>
    Wie kommt er aufs System?
    an die Mails ist ein .doc Dokument an gehangen, das mitkryptischen Zeichen voll ist. Eine Zeile beinhaltet den Hinweise, dass man, umden Klartext lesen zu können, das zugehörige Makro ausführen soll. Sobald daspassiert, lädt dieses Makro den eigentlichen Virus runter.
    Was macht der Trojaner?
    Er verschlüsselt auf ALLEN Laufwerken sämtliche Dateien,die im Büroalltag gebraucht werden, also Excel- Outlook, Word- ... Dateien.
    Das passiert auch auf allen in dem Moment verknüpftenFreigaben.
    Aus den Dateien werden xxxxxxxxx.locky- Dateien und injeden Ordner kommt ein .txt das Anweisungen enthält, wie man sich wiederfreikaufen kann.
    Sobald der Virus fertig ist, erscheint auf dem Desktopeine Meldung, dass sämtliche Dateien verschlüsselt wurden und dieVerfahrensweise, wie man wieder seine Daten freikaufen kann.
    Aktuell scheinen die Entwickler davon recht aktiv zusein, denn bisher kam jeden Freitag eine neue Version heraus, die von kaumeinen Virenscanner erkannt wurden.
    Daher bitte noch mal die eindringliche Bitte, weist eureKunden darauf hin, dass sie keine Anhänge auf machen sollen von unbekanntenQuellen und schon gar keine Anhänge, die ******.doc heißen.
    Danke."


    Was an der Meldung dran ist kann ich noch nicht einschätzen.
    Aber Vorsicht kann nicht schaden.


    VG Reinhard

  • ANZEIGE
  • Hallo Kollegen,
    habe gerade von unserem Systemhaus eine Warnung bekommen

    *hüstel*


    Das Ding rast seit Tagen durch das web und infiziert tausende Rechner, und heute reagiert das Systemhaus? :whistling: Übrigend ist der Trojaner wirklich nicht ohne, da er sich mittlerweile auch über Java-Scripte verbreitet, dürfte die Zahl der Infektionen rasant ansteigen. Die Schwachstelle sitzt halt wie in den meisten Fällen vor dem Bildschirm. :/


    Gruß Frank

    Ich stelle die Schuhe nur hin. Ich ziehe sie niemandem an.

    2 Mal editiert, zuletzt von Guudsje ()

  • Was bedeutet das "verbreitet sich durch Java-Scripte" ?!? Noch ein anderer Verbreitungsweg als durch anklicken aus purer Neugierde??


    Gruß Frank

    Es ist nicht genug, zu wissen, man muss auch anwenden;
    es ist nicht genug, zu wollen, man muss auch tun. (Johann Wolfgang von Goethe)

  • *hüstel*
    Das Ding rast seit Tagen durch das web und infiziert tausende Rechner, und heute reagiert das Systemhaus? :whistling:


    Gruß Frank

    Mussten wohl erst ihre Rechner frei kaufen :)



    Sicherer wird das Netz zumindest nicht...


    Wenn man so zurück denkt wie es damals einen Autokonzern erwischt hatte, oder den ILOVEYOU virus.. Unbekannt dagegen war ja Stuxnet der SPS Systeme angegriffen hat. Das er wohl ausgelegt wurde um eine Atomanlage anzugreifen wurde nur beiläufig erwähnt


    Aber schlimmer als Viren u Co ist eigentlich das wir in der heutigen Zeit mehr Daten im Netz lassen als wir es je unserer Familie / Bekannten erzählen


    Auf Fratzebook u Co sind alle Live dabei und google sagt wo es stattfindet und was du gestern Online gekauft hast. Wer solch Belästigungen abstellen will hat letztlich dann ein löchriges Internet



    Mfg

    Mfg Dierk

    Elektriker aus Leidenschaft :thumbup:

  • Moin,


    das Netz kann ja auch nicht sicherer sein, wie die User. Wenn ich mir shodan einige Haussteuerungen, Webcams oder gar ganze Industrie-SPSen ansehen kann, dann darf ich ich doch nicht wundern.


    Jeden Tag was neues. Da sind Kontoverifizierungen und Office-Dokumente noch am harmlosesten. Das sieht man ja noch selber.

    .
    .
    .
    ... viele Grüße vom Waldmann.





    "Et kütt, wie et kütt."
    (kölsche Zuversicht)

  • ANZEIGE
  • Noch ein anderer Verbreitungsweg als durch anklicken aus purer Neugierde??

    Moin Frank,


    der Trojaner benötigt immer noch Dumme oder Unbedarfte. Locky Die gibt es aber immer wieder zur Genüge. In meinem IT-Leben hatte ich unzählige Anrufe, weil die User den Dateianhang der Mail "ihrer" Bank oder die Sendungsverfolgung von DHL nicht öffnen konnten.


    "Haben Sie etwas bei DHL bestellt?" - "Nein, warum?" :cursing:
    "Wann haben Sie denn der Bank Ihre Mailadresse übermittelt?" - "Gar nicht, warum?" :cursing::cursing:
    "Warum wollen Sie die Mail aus Nigeria öffnen?" - "Ich habe angeblich im Lotto gewonnen" - "Spielen Sie Lotto?" - "Nein, warum?" :cursing::cursing::cursing:


    Bei diesen "Nein, warum?"-Antworten haben sich mir immer die Fußnägel aufgerollt. Es ist eigentlich so einfach, einen Trojaner zu platzieren. Suche Dir eines großes Netz aus, schicke an verschiedene User eine Mail mit einem Text, deren Orthographie und Syntax die Mail nicht sofort als Schädling erkennbar macht und warte ab. Kommt Zeit, kommt klick.


    Gruß Frank

    Ich stelle die Schuhe nur hin. Ich ziehe sie niemandem an.

  • Was an der Meldung dran ist kann ich noch nicht einschätzen.

    Die Bedrohung ist real und in Deutschland scheinen auch einige Kliniken betroffen zu sein.
    Wir werden auch schon seit Wochen mit solchen Mails bombardiert, in meinem Falle immer mit DHL im Text und der Ankündigung mein Wertpaket wäre da und ich müsste nur das angehängte Formular ausfüllen. Auffallend bei mir ist, dass eine relativ alte und nicht mehr aktiv benutzte Mailadresse als Ziel verwendet wird.
    Es werden nicht nur Office Dokumente verschlüsselt, sondern alles, was Locky finden kann. Auch über Netzwerkfreigaben funktioniert dies, so dass man nicht einmal selbst der Trottel sein muss, der auf den Mailanhang geklickt hat. Alle Laufwerke auf die derjenige der den "Auslöser" gedrückt hat Zugriff hat, werden verschlüsselt. Kritisch bei Krankenhäusern, da dort doch über die elektronische Patientenakte und die medizinischen bildgebenden Systeme viele Zugriff auf umfangreiche Datenbestände haben.

    Zur besseren Lesbarkeit verwende ich in meinen Beiträgen das generische Maskulinum. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

  • Moin Frank,
    ja das war mir schon klar. Darum hab ich ja gefragt ob es noch andere Wege der Verbreitung gibt. Als eben über diese "Nein warum? Ich bin nur neugierig..."- Wege. Auch aus deinem link geht hervor, daß sich das Javascript in einer E-Mail befindet.
    Unsere IT hat übrigends den Usern geraten, nur Anhänge zu öffnen, deren Absender man für vertrauenswürdig hält.... *lol*. Das ist genau die Masche. Ich verstehe es auch nicht, warum nicht einfach das öffnen aller angehängten links verboten wird, um das Netzwerk zu schützen.


    Gruß Frank

    Es ist nicht genug, zu wissen, man muss auch anwenden;
    es ist nicht genug, zu wollen, man muss auch tun. (Johann Wolfgang von Goethe)

  • Hallo Zusammen,


    das Problem an Locky ist eher, dass die Anhänge nicht als Schädlich von Antivirensoftware erkannt werden. Da sie selbst keinen "Schädlichen" Code ausführen. Stattdessen kopieren sie eine exe Datei von einer infizierten Webseite herunter und führen diese dann aus.


    Hier hilft es den User die Rechte zum Verschlüsseln von Daten zu entziehen, dann kann auch der Trojaner nicht mehr so agieren. Theoretisch :D


    [...]
    Unsere IT hat übrigends den Usern geraten, nur Anhänge zu öffnen, deren Absender man für vertrauenswürdig hält.... *lol*. Das ist genau die Masche. Ich verstehe es auch nicht, warum nicht einfach das öffnen aller angehängten links verboten wird, um das Netzwerk zu schützen.

    Es gibt Mitarbeiter die müssen Dateien im Anhang empfangen können, z. Bsp. Angebote, Protokolle etc.


    Gruß


    Stephan

    --- Wer schreit hört auf zu denken. --- Manche Dinge erledigen sich von selbst, wenn man ihnen genug Zeit gibt. --- Um ein tadelloses Mitglied einer Schafherde sein zu können, muss man vor allem ein Schaf sein. A.E. ---

    Einmal editiert, zuletzt von NewWave ()

  • ANZEIGE
  • Weiteres Problem ist, dass sich der Trojaner in die Adressdatenbanken der Server einnisten kann. Somit ist die Vorbereitung eine Kettereaktion....


    Wir verschicken tagtäglich Mails mit Anhängen, da wir quer im Land verteilt sitzen.


    Unsere IT gibt mittlerweile nahezu täglich neue Infos und Verhaltensregeln heraus, mal schauen ob wir verschont bleiben.


    Sven

    Die Verhütung von Unfällen ist nicht eine Frage gesetzlicher Vorschriften, sondern unternehmerischer Verantwortung und zudem ein Gebot wirtschaftlicher Vernunft.
    (Werner v. Siemens, 1880)

  • Für meine Email adressen habe ich eine eigene Domain. Die Email konten verwalte ich selbst.
    Nun krieg ich seit einigen Tagen Rechnungen zugeschickt für Reifen die ich gar nicht bestellt habe oder irgendwelche anderen Dubiosen Waren sollen mir geliefert werden. Im Anhang soll ich doch bitte prüfen ob Anschrift, Konto oder sonst was stimmen. Soweit so gut.


    Im Anhang befindet sich immer ein Dokument xxxxdoc.doc


    Aber, der Absender ist ein Name mit einer 5stelligen Zahl @meinedomain.de.


    Und das kann definitif nicht sein. Bei einer großen Firma kann es dann schon passieren dass da jemand draufklickt weil er denkt er hat von einem Kollegen den er noch nicht kennt was bekommen.


    Von daher ist auch die Domain kein Hinweis auf Vertrauenswürdigkeit. Wenn man den Absender genau unter die Lupe nimmt kann man auch schnell feststellen dass die Email eine Fälschung ist.


    Also, wenn man im Betrieb Mails bekommt die scheinbar von einem Kollegen sind der einem nicht bekannt ist, dann erst mal nachfragen bei der IT ob der überhaupt existiert.

  • Moin,


    das ist dann auch etwas, was ich nicht verstehe:


    Klare richtige eMail-Adresse mit korrekter Zustellung, ok. :!:
    Absolut falsche eMail-Adresse mit falscher Zustellung (bei mir). :?:


    Wie geht das? Warum bekomme ich und natürlich auch viele andere, Mails, die offenbar völlig falsch adressiert sind. :?::?::?:

    .
    .
    .
    ... viele Grüße vom Waldmann.





    "Et kütt, wie et kütt."
    (kölsche Zuversicht)

  • ANZEIGE
  • Jepp,


    auf der Internetseite des Wurstbauers, der mehr als genervt ist, steht auch etwas dazu. Die komplette Mail kursiert in verschiedenen Nachrichtenportalen. Da ist nichts geschwärzt!


    So wird man wenigstens bekannt. :D

    .
    .
    .
    ... viele Grüße vom Waldmann.





    "Et kütt, wie et kütt."
    (kölsche Zuversicht)

    Einmal editiert, zuletzt von Waldmann ()

    • Offizieller Beitrag

    Hallo zusammen,


    ich finde es schon recht krass, was sich Menschen einfallen lassen um an das Geld anderer Menschen dran zu kommen. Kann man nur hoffen, das es einen nicht selber trifft und das diese Schw....priester bald erwischt werden...

    Bei E-Mail-Anhängen ist weiterhin Vorsicht geboten: Denn der Verschlüsselungs- Trojaner Locky tarnt sich jetzt auch als Fax in einer Zip-Datei oder als Scanner-Mail. In den versendeten Zip-Dateien steckt allerdings eine Java-Script-Dateimit der Schadsoftware. Bislang nutze Locky zumeist modifizierte Office-Dokumente, die über Phishing-Mails verbreitet wurden. Gegen die neue Masche hilft hingegen nur äußerste
    Vorsicht.
    Die zur Verbreitung genutzten Phishing-Mails aus der neuen Locky-Kampagne sollen unter anderem von der sipgate GmbH stammen. Entsprechend warnt der VoIP-Anbieter aktuell auf seiner Webseite vor den gefälschten Mails.Einfacher gestrickt sind hingegen die Phishing-Versuche, die vorgaukeln, von einem Scanner zu stammen. Wie Heise Security berichtet verwenden diese den Betreff "Scanned image" sowie den Text "Image data in PDF format has been attached to this email". Als Absenderadresse nutzen die Betrüger die Domain des Opfers, um dadurch etwa die Zugehörigkeit zur gleichen Firma vorzutäuschen.


    Virenscanner bieten keinen Schutz


    In allen Fällen empfiehlt es sich, E-Mails mit Anhängen ganz genau zu prüfen und bei Zweifeln am besten gleich zu löschen. Von den meisten Virenscannern können Nutzer derzeit noch keine Hilfe gegen Locky erwarten. Die von heise bei Virus Total überprüfte Locky-Binary wird nur von drei Virenscannern als erkannt.

    Alle sagten: Es geht nicht. Da kam einer, der das nicht wusste und tat es einfach.(Goran Kikic)

    Wer nichts weiß, muß alles glauben. (Marie von Ebner-Eschenbach)
    „Habe Mut, dich deines eigenen Verstandes zu bedienen!“
    (Sapere aude)

  • ANZEIGE
  • Moin,


    wirklichen Schutz hat man im Moment nur, wenn man sich abkoppelt. Also kein Internet, kein Netzwerk, keine USB-Stöpsel!


    Doch wer will so arbeiten?


    Wir haben an der Uni im Moment zwei Rechner, deren Besitzer, ein wenig zu neugierig waren. Datensicherung: Klar, ich habe doch alles extra nochmals auf dem Desktop gespreichert. Externe Festplatte oder Serverlaufwerk, ist mir zu mühsam. Muß man das denn? Warum macht das nicht die EDV. Meine Daten, die brauche ich aber bis die Tage. |?


    Willkommen in der bösen Welt. :Lach:

    .
    .
    .
    ... viele Grüße vom Waldmann.





    "Et kütt, wie et kütt."
    (kölsche Zuversicht)

  • Wir haben an der Uni im Moment zwei Rechner, deren Besitzer, ein wenig zu neugierig waren. Datensicherung: Klar, ich habe doch alles extra nochmals auf dem Desktop gespreichert. Externe Festplatte oder Serverlaufwerk, ist mir zu mühsam. Muß man das denn?

    Warum speichern die überhaupt etwas lokal? Bei uns ist dies weitgehend unterbunden, da gibt es nur Speicherung im Netz mit entsprechender Sicherung.
    Allerdings birgt diese Variante auch Risiken, denn alles was von einem befallenen PC aus erreichbar ist, kann verschlüsselt werden, somit möglicherweise auch Daten anderer Nutzer, auf die der befallene PC Zugriff hat. Feingliedrige Netzwerkfreigaben sind also hier hilfreich aber eben auch aufwändig, besonders bei vielen Nutzern. Da werden dann gerne pauschale Freigaben für viele Bereiche erteilt, auch wenn so manch ein Nutzer dies überhaupt nicht benötigt.
    Kritischer sehe ich, dass inzwischen auch Internet-Server Ziel des Angriffs wurden, denn daraus ergibt sich die potentielle Gefahr, dass man beim Ansurfen von Internetseiten Bekanntschaft mit dem Trojaner macht. Dabei muss man sich nicht auf dubiosen Seiten herumtreiben, denn anscheinend werden PHP und Wordpress hier als Ziel gewählt und das sind dann doch sehr häufig eingesetzte Produkte.

    Zur besseren Lesbarkeit verwende ich in meinen Beiträgen das generische Maskulinum. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

  • Moin,


    das ist mir schon klar.


    Gegenfrage:
    Warum sind einige Leute geradezu penetrant immun gegen Wissen von außen (=blöd)???

    .
    .
    .
    ... viele Grüße vom Waldmann.





    "Et kütt, wie et kütt."
    (kölsche Zuversicht)