Locky: Erpressungstrojaner wird mittlerweile besser erkannt

artikel_windowsEin Verschlüsselungstrojaner macht seit mehreren Tagen von sich reden. Er wütend auch in Deutschland und hat schon massig Rechner befallen. Es ist das alte Spiel der Erpressungstrojaner, sie verschlüsseln eure Daten und fordern dann in gutem Deutsch eine Zahlung, damit die Daten wieder entschlüsselt werden. Die neue und sich aggressiv verbreitende Variante hört auf den Namen Locky. Locky, das könnte auch der nette Kumpel von Karl Klammer sein, kommt beispielsweise über Makros in Word-Dateien auf euer Windows-System.  Hier ist es vielleicht angeraten, auf Makros innerhalb von Office generell zu verzichten – zumindest momentan (im Unternehmensumfeld sicherlich schwer). Auch eine offizielle Quelle kann ja infiziert sein.

locky1

Und die Sache mit E-Mails in Anhängen muss sicherlich auch nicht separat erwähnt werden. Locky ist ein heimtückischer Typ, denn er verschlüsselt nicht nur lokale Dateien, sondern fräst sich auch auf Netzwerkfreigaben – dank externer Datenträger wie NAS und Co dürfte das der Horror für viele sein, die extern ihr System sichern. Mittlerweile hat es ein Beta-Tool von Malwarebytes wohl geschafft, Locky Einhalt zu gebieten. Malwarebytes Anti-Ransomware ist mittlerweile als Beta 5 zu haben und schützt das System dementsprechend. Auch SpyHunter von Enigma ist mittlerweile auf Locky angepasst und könnte euch vor dem Schädling schützen, der eure Daten mit AES 128Bit verschlüsselt, auch Sophos hat Vollzug gemeldet.

Auch das Bundesamt für Sicherheit in der Informationstechnik warnt derzeit. Ist der Rechner befallen, so solle man nicht auf Lösegeldforderungen eingehen. Die weiteren Tipps sind aber eher lala (Stattdessen sollten betroffene Nutzer den Bildschirm samt Erpressungsnachricht fotografieren und bei der Polizei Anzeige erstatten.). Was man dieser Tage zur Hand haben solle? Eine aktuelle Sicherung, die nicht irgendwie im Netzwerk hängt. Und ist das Kind erst in den Brunnen gefallen, so sollte man vielleicht nicht die verschlüsselten .locky-Dateien in das digitale Nirvana blasen – denn vielleicht gibt es in naher Zukunft ja ein Entschlüsselungsprogramm eines Sicherheitsherstellers. Wäre nicht das erste Mal.

Sofern ihr mit Locky in Berührung gekommen seid: hinterlasst doch einmal einen Kommentar, was passierte und was ihr anschließend getan habt, ist vielleicht auch interessant für andere Leser. Kann man in vielen Fällen, wenn sich jemand was eingefangen hat, über Doofheit lachen, so ist dies bei Locky nicht angebracht. Sehr gezielt und in sehr guter deutscher Sprache wurden hier Mails verschickt, die teilweise den Anschein erwecken, als seien sie spezifisch und gezielt erstellt worden.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

54 Kommentare

  1. Ganz ehrlich: Anhänge von unbekannten Personen gehören nicht geöffnet. Insbesondere wenn es um angeblich nicht gezahlte Rechnungen geht.

  2. Dieser Trojaner soll auch beim Besuch gewisser Internetseiten übertragen werden. Leider schreibt keiner um welche Seiten es sich handelt.

  3. Karl Kurzschluss says:

    Gut, Anhänge von unbekannten Personen öffnet man eigentlich nicht. Eigentlich. Aber mal ehrlich: Die meisten Menschen wollen schon mal in das Dokument reinschauen. Warum auch nicht? Nur sicher sollte sowas eben sein. Daß ein Word-Dokument ein „Eigenleben“ führt, dürfte an sich nicht sein. Ich habe in den letzten Tagen vermehrt solche Dokumente erhalten (und natürlich nie geöffnet). Heute früh allerdings war auch mal eine HTML-Datei dabei, weil angeblich mein PayPal-Account gesperrt wurde. Auf Englisch. Und das Mail-Konto ist bei PayPal nicht hinterlegt. Also: Nonsens! Dennoch: das Betrachten von Dokumentenanhängen sollte sicher sein! Programmcode hat darin nichts verloren.

  4. Es muss nicht unbedingt ein Anhang von einer unbekannten Person sein, es sind auch genügend gehackte Mail Accounts im Netz vorhanden. Und diese schicken auch mal schnell eine Mail über die Adressbücher der Freunde.

  5. Ich frage mich immer, ob nach Zahlung tatsächlich wieder entschlüsselt wird, oder ob einfach nur abgezockt wird

  6. Seitdem ich ein unixbasiertes Betriebssystem verwende, können mich solche Trojaner kreuzweise.

  7. Herr Hauser says:

    @ Tuxi

    Das hat man auch mal von Linux oder Mac gesagt.

  8. Anruf einer der Büroangestellten meiner Steuerberaterin: “ Hier wurde alles verschlüsselt mit RSA 2048 bla bla bla“ Kurz eingewählt, 40000 Dateien mit 15GB hatten die locky Endung erhalten, es war in der Tat eine email vor einer Stunde an die sie sich erinnern konnte^^. https://ax64.com/ angeworfen, Snapshot von vor 2h restored und alles wieder gut. Netzwerk Scanner Ordner war auch betroffen. Kann das Programm nur empfehlen, als der Anruf kam wurde mir kurz übel, so schnell wieder alles unter Kontrolle zu haben war schon klasse. Jruuss vum Mikk

  9. Herr Hauser says:

    Oder von Firefox, bis halt die ersten Lücken aufgetaucht sind die ausgenutzt wurden.

    Je mehr eben was Verbreitung findet, desto lukrativer ist es für Kriminelle.

  10. Eine Sandbox ist sicher auch kein Fehler…

  11. Herr Hauser says:

    @ Mikk Schleifer

    Geht das auch in Deutsch?

  12. @ Herr Hauser

    Dearest users, With the release of AX64 Time Machine v2 comes a ton of bug fixes and optimizations. But we’ve got an exciting feature for some of our friends across the globe: Multi-lingual support. We now support the following languages: English German French…

    Also ja, ist aber wirklich easy doing, Product Tour mal anschauen, gruesse

  13. @ Herr Hauser

    Dearest users, With the release of AX64 Time Machine v2 comes a ton of bug fixes and optimizations. But we’ve got an exciting feature for some of our friends across the globe: Multi-lingual support. We now support the following languages: English German French…

    Auch Deutsch, easy doing, schau mal die Product Tour an, gruesse

  14. Dearest users, With the release of AX64 Time Machine v2 comes a ton of bug fixes and optimizations. But we’ve got an exciting feature for some of our friends across the globe: Multi-lingual support. We now support the following languages: English German French…

    Auch Deutsch, easy doing, schau mal die Product Tour an, gruesse

  15. Das hat mich jetzt interessiert, was die Makros, in Worddokumenten betrifft:
    In Office 2016 zum Beispiel, sind Makros standardmäßig deaktiviert. Sieht man im Trustcenter.

    Anleitung, um es mal zu prüfen.
    https://support.office.com/de-de/article/Aktivieren-oder-Deaktivieren-von-Makros-in-Office-Dateien-12b036fd-d140-4e74-b45e-16fed1a7e5c6

  16. also alle Makros erstmal auf „deaktivieren“ stellen hilft schon mal halbwegs?
    Mailanhänge öffne ich sowieso nie, selbst „Rechnung.exe“ nicht:-)

  17. Ja Herr Hauset, heißt Dateiversionsverlauf und ist in Win 8 und 10 eingebaut.

  18. Davon mal ab, als Privatmann bei Gmail habe ich solche Emails nie gesehen… Vielleicht mal im Spamordner, dann aber auch schon ohne Anhang.

  19. Christian W. says:

    Einige unserer Kunden hat es am Mittwoch erwischt. Bei einem waren ca. 300.000 Dateien willkürlich im Netzwerk verschlüsselt. Das ding scheint 20 minuten aktiv gewesen zu sein. Da blieb nur noch dad Backup von letzter Nacht. Das ganze kam per mail.

  20. 1. würde mich interessieren, ob Gmail auch davon betroffen ist. Denke mal eher, dass man da reichlich sicher ist. Punkt für Google!

    2. lese ich immer, dass auch online-Backups betroffen sind, weil die dann auch verschlüsselt werden. Mhh. Unglaubwürdig. Ehe meine 1300 GB hochgeladen sind, dauert es eine Weile. Und selbst wenn die Dateien online ersetzt worden sind, kann man ja sowohl bei Dropbox und auch bei Crashplan die Dateien auf frühere Versionen zurücksetzen. Ich wüsste auch nicht, wie „Locky“ das unterbinden könnte.

  21. Es lässt sich immer leicht sagen, dass man nicht auf Anhänge klicken soll. Leser dieses und anderen Techblogs ist das auch völlig klar. Aber es gibt auch noch andere Menschen da draußen.
    Und wenn eine Sachbearbeiterin im Unternehmensumfeld auf einen Rechnungsanhang klickt, kann man ihr das nicht vorwerfen. Die aktuellen Mails sind so perfide gemacht, dass es für unbedarfte User nicht zu erkennen ist.

    Gerade letzte Woche wieder eine Anfrage von einer Freundin bekommen, dass Amazon ihr Konto eingeschränkt hat und sie ihre Kontodaten eingeben soll, damit es wieder freigeschaltet wird. #Facepalm

  22. Was kostet eigentlich die Entschlüsselung? Und sind die Dateien dann wieder nutzbar, also wirklich entschlüsselt?

  23. @TVB
    Die Schattenkopien (Dateiversionsverlauf) werden von Locky gelöscht, also hilt das bei einem Befall nicht.
    https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/

  24. Abgesehen davon dass ich keine Mails öffne von Anbietern etc. die ich nicht kenne, hab ich mich bei jedem Anbieter mit einer Mailadresse in der Form „anbieter@domain.de“ angemeldet und kommt über eine Adresse nun Spam oder eine Mail eines vermeintlichen anderen Anbieters mit angeblicher Rechnung etc weiß man sowieso direkt was los ist 😀

  25. Angeblich soll auch HitmanPro.Alert vor Locky schützen … https://www.youtube.com/watch?v=0sZnLr6Qsbw … nein – ich bin kein Mitarbeiter und bekomme keine Provi 😉

  26. Kann vlt. jemand hier im Forum mal wieder ein Tutorial über Backup/Restore Lösungen verfassen? möglichst mit Bordmitteln von Windows. Solche Kaufprogramme wie AX64 mögen ja gut sein, aber ich glaube (ohne zu wissen), dass es auch mit Windows-Bordmitteln möglich sein sollte, sein Windows komplett zu sichern und im Falle eines Falles wieder herzustellen (natürlich mit Bootmedium, falls Windows gar nicht mehr startet).
    Cachy hatte da in der Vergangenheit schon immer mal wieder die eine oder andere Lösung aufgezeigt (auch für Windows 10??). Ich bin gar nicht für mich selbst daran interessiert, da ich überwiegend portable Programmlösungen benutze (á la Portableapps.com), meine Bilder und DOCS und EXCEL-Dateien regelmäßig (täglich) auf verschiedenen Medien sichere und gerne regelmäßig mein Windows System plattmache und neu-installiere.
    Aber im Bekannten-/Verwandtenkreis werden solche Lösungsansätze gerne aufgenommen.

  27. Im Unternehmens-Netzwerk (Micorsoft Umgebung) ist ggf. nachfolgende Masnahmen interessant:

    Über die Funktion „Dateiprüfungs-Verwaltung“ im RessourcenManager eins Fileservers lassen sich bestimmte/konfigurierte Dateiendungen blockieren bzw. das Erstellen solcher Dateien verhindern. Nachteil: Die Liste der Dateiendungen, welche in Verbindung mit dem Virus stehen wird sich weiter verändern und muss nachgepflegt werden.

    Weitere Informationen+Anleitung:

    https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen/

    Bei mehreren/vielen Fileservern können mit dem Befehl „filescrn“ die Einstellungen/Konfigurationen relativ komfortabel exportieren/importieren werden.

    Diese Masnahme wurde, zusätzlich zu den bekannnten Schutzmaßnahmen (Makros blockieren usw.) in unserem Netzwerk an ca. 100 Fileservern (W2K3, W2K8, W2012) umgesetzt.

  28. minimalwerk says:

    Gibt es irgendwo einen offiziellen Link von Sophos der die Erkennung von Locky bestätigt?

  29. Ich habe mir Locky auf einem Testsystem von 3 frisch betroffenen Webseiten heruntergeladen. Avast Free (Mac) hat es dreimal erkannt. Vorher habe ich den Webschutz deaktiviert, damit die Datei tatsächlich auch auf dem Gerät landet. Kann den Hype nicht verstehen.

  30. @ zynisch Dateiversionsverlauf unter Win 8 und Win 10 ist eine stinknormale externe Sicherung wie Apples Time Machine. Ob die gesicherten Daten nun von dem Virus gelöscht oder verändert werden, hängt nur davon ab, wo sie sich zum Zeitpunkt der Infektion befinden und ob ein Zugriff darauf vom infizierten Rechner aus möglich ist.
    Ich denke, hier gepriesene zusätzliche Backuplösungen haben da auch nicht viel mehr zu bieten, außer vielleicht paar buntere Knöpfe oder einen Wizard. Dafür kosten sie einen Haufen Geld und werden von mittelständischen EDVlern gerne in den Himmel gepriesen, weil man sie kleineren Kunden für paar Euro zusätzlich andrehen kann.

  31. Grundsätzliche Frage zum Schutz von Backupdateien:
    Ich erstelle Backups mit Aomei Backupper auf einer externen Festplatte – automatisch und täglich.
    Wie kann ich diese Backupdateien nun davor schützen, dass sie gelöscht und/oder verändert werden – Schreibschutz sozusagen – ohne dass ich ständig die externe Festplatte abstöpseln müsste – und vollautomatisch?
    Denn wenn so eine Ramsonware auch meine Backupdateien verändert, stehe ich doof da.

    Bin für Tipps dankbar und wäre sicher auch für andere User interessant.

  32. @ Mart bei einer USB Platte fällt mir keine unkomplizierte Lösung ein.
    Mögliches Szenario mit wenig Aufwand (Aufwand einmalig für die Beschaffung und Einrichtung, so mache ich das): Man sichert auf ein NAS, am NAS hängt zusätzlich eine USB Festplatte. Rechner wird auf NAS gesichert, NAS wiederum sichert noch mal auf den angehängten USB-Datenträger. Ein Zugriff vom Rechner aus auf die USB-Festplatte vom NAS ist nicht möglich. Oder man sichert den NAS-Inhalt bei einem nur dafür eingerichtete Cloudanbieter. (Synology kann das z.B.)

  33. Nach kurzer Recherche:
    Die Backupdateien liegen in einem bestimmten Verzeichnis.
    Rechte Maustaste auf das Verzeichnis – Eigenschaften – Sicherheit: Hier kann ich doch Berechtigungen für bestimmte Gruppen vergeben: Könnte ich hier nicht einfach einstellen, dass Dateien erstellt werden dürfen, aber nicht verändert oder gelöscht werden können? Ja, ich könnte, ich weiß. Aber hat es den gewünschten schützenden Effekt und für welche Benutzergruppe müsste ich dies durchführen. Bin nicht so tief drin in der User/Berechtigungen-Materie.

  34. @TVB
    Der Grundgedanke ist richtig, die Ausführung aber schlecht.
    Eine immer angeschlossene externe Festplatte ist anfällig für Brand, Blitzschlag, Diebstahl. Im schlimmsten Falle zerstört es dir im NAS und gleichzeitig auf der externen Festplatte die Daten.

    Zu Locky: Stell dir vor, Locky verschlüsselt dir vom Rechner aus Dateien auf dem NAS. Du bemerkst es die ersten 1-2 Stunden nicht und zufällig kommt dann der Cronjob (Aufgabenplaner bei Syno) um die Ecke und synct die verschlüsselten Daten mit den Daten auf der externen HDD. Dann hast du überall Müll.

    Eine Lösung ist u.a. mit abgestöpselter Festplatte zu arbeiten. Dafür gibt es schöne Tools für das NAS von Synology (Stichwort Paket „Autorun“).

  35. Dann doch lieber die kostenlose Variante von Crashplan nutzen. Die erstellt beliebig viele Versionen von Dateien. Dann geht man im schlimmsten Fall eine Version zurück und erstellt diese wieder neu. Egal wie stark verschlüsselt die aktuelle Datei/Backupdatei ist.

    Kostenpflichtig gibt es das ganze dann noch 256bit-verschlüsselt in der Cloud. Dann kann meinen Daten auch Wohnungsbrand, Blitzschlag, Diebstahl etc. nichts anhaben.

  36. @Bulli Cloudbackup gekonnt überlesen? Wo kommt überhaupt die Anforderung her, räumlich getrennte Backupaufbewahrung einzubauen, wenn jemand nach Möglichkeiten zum Schutz seiner Daten einer lokalen USB Platte fragt?
    Der Rest lässt sich mit sinnvollen Intervallen für die Sicherung und Synchronisation regeln. Wem das nicht reicht, kann sich gerne mit Backupstrategien auseinandersetzen, das Netz ist voll davon.
    @ Mart Was Du mit Dateirechten machst, kann ein Schadprogramm, das die Kontrolle über dein System übernommen hat, auch machen. Insofern halte ich lokale Änderungen an Zugriffsberechtigungen für nicht ausreichend.

  37. Wolfgang Denda says:

    Für Privatleute mit relativ wenigen Änderungen im Datenbestand hilft nur eine Backupsoftware, die eine gerade angeschlossene USB Festplatte erkennt, die Sicherung durchführt, und hinterher das Medium wieder auswirft.

    So ab und an den Schalter zu betätigen, bekommen wohl auch Noobs hin. Wenn nicht, selber schuld. Die Leute benehmen sich teilweise, als ob sie früher ihre Fotoalben und Leitzordner alle drei, vier Jahre einfach verbrannt hätten.

  38. Ich lass alle paar Monate immer das Windows 7 Systemabbild durchlaufen, Daten extern gespeichert, denke das reicht auch oder?

  39. phantomaniac says:

    So rein interessehalber, also Frage an die, die solche Verschlüsselungtrojaner schon in Aktion erleben „durften“.
    Verschlüsseln die nur bestimmte Dateien (also gewisse Nutzdateien?) Oder Pauschal alles, was nicht im Windowsverzeichnis (inkl. Netzwerk und USB) liegt ?

    Weil wenn letzteres der Fall wäre, bringt ja ein Backup ala TimeMachine gar nix….
    Weil dann AX64 (oder auch andere) gar nicht mehr auf Ihre Backups zugreifen könnten….

  40. Kann doch eigentlich nicht so schwer sein, das Decryptor Tool irgendwo öffentlich zugänglich hochzuladen. Oder hat man Angst, die Verbrecher könnten einen wegen Urheberrechtsverletzung anmahnen?

  41. Bei 2 unserer Kunden hat es die komplette Server Infrastruktur erwischt, zum Glück nicht den Exchange.
    Komplette Veeam Sicherungen der letzten Nacht wiedergeholt und gut (DomainController, mehrere WTS).So war ’nur‘ 1 Arbeitstag futsch.
    1x kam’s nachweislich per Mail (Word Makro) und 1x gehen wir von einer Website aus. Ich erinnere mich jetzt nicht mehr an die URL, war aber eine US Studentenverbindung. Evtl per Pop-Up..

  42. Mit „Locky“ hatte ich bisher noch keinen Kontakt aber mit unterschiedlichen Variationen von TeslaCrypt. TeslaCrypt hat ebenfalls Daten auf Netzwerklaufwerken verschlüsselt und lässt sich in der aktuellen Version 3 nicht knacken. Meist war es möglich die Daten auf betroffenen Netzwerklaufwerken aus einer recht aktuellen Datensicherung wiederherzustellen (zweimal war die Sicherung aber leider nicht ganz so aktuell).

    Für mich privat war dies der Auslöser einmal wieder über das Thema Datensicherung nachzudenken. Was bei Dropbox liegt ist dagegen wohl gut abgesichert da man alte Versionen wiederherstellen kann, aber viele Dateien liegen auch „nur“ auf dem Raid 1 meines Homeservers (gegen Festplattenausfall also einigermaßen gut absichert aber ein Raid ersetzt wie die Aktuellen „Verschlüsselungstrojaner“ zeigen eben kein Backup) und eventuell noch lokal auf einem Rechner. Nur einige etwas ältere Dateien fahren noch auf drei externen Platten herum die mit 1TB, 750GB sowie 320GB viel zu klein für die ca. 3TB auf dem Homeserver waren. Und wenn ich die Daten wie bisher einfach kopiere und der Trojaner im Hintergrund noch nicht bemerkt wurde würde man ja eventuell die richtigen Dateien mit den unbrauchbaren überschreiben zumindest wenn man die Platte an den Lokalen Rechner hängt, am Server wäre es da von Vorteil das die Programme die Dateien immerhin umbenennen und so beim Kopieren&Ersetzen dann die alten Daten unangetastet bleiben aber trotzdem würde dies einen Aufwand bedeuten alle unbrauchbaren Daten zu löschen. Deshalb wollte ich ein einigermaßen komfortables und zuverlässiges System. Als die Ersten Teslacrypt fälle bei uns ende letzen Jahres aufgeschlagen sind habe ich mir erst einmal eine 5TB USB 3.0 Platte gekauft und alle Daten einmal manuell per cp auf die Platte kopiert damit ich zumindest einmal wieder eine einigermaßen aktuelle Kopie meiner Daten habe. Heute habe ich nun rsnapshot eingerichtet das täglich per Cronejob (falls die Platte angeschlossen ist) alle Änderungen sichert und über Hardlinks eine übersichtliche Versionsverwaltung ermöglicht. Und ist die Sicherung beendet werde ich über etwaige Fehler per Mail informiert.

    Das Konzept sieht aktuell so aus:
    1. Jeder Nutzer hat per SMB schreibender Zugriff auf sein Verzeichnis und ein Gemeinsames Verzeichnis, lesen darf man auch bei anderen. Wenn sich nun ein Nutzer „Locky“ oder „TeslaCrypt“ einfängt sind erst einmal nur dessen Daten und das gemeinsame Verzeichnis betroffen.
    Ein PC Spiegelt seine Daten auf ein Verzeichnis indem es stündlich alle Änderungen abgleicht die anderen arbeiten direkt auf den Netzwerklaufwerken.
    2. Der Server sichert die Daten auf eine 5TB USB 3.0 Platte per rsnapshot welches die älteren Sicherungen eine weile aufbewahrt aber dank Hardlinks nur die Änderungen doppelt abspeichern muss (7 Tages, 4 Wochen und 12 Monatssicherungen werden aufbewahrt).
    3. Über Fehlermeldungen bei der Sicherung werde ich per Mail informiert.

    Eventuell erweitere ich das ganze noch auf eine 2. Platte die ich im Wechsel (wöchentlich oder monatlich) für die Sicherung anschließe dann kann eine Platte auch Räumlich getrennt gelagert werden.

    https://wiki.ubuntuusers.de/rsnapshot/

  43. Relevante Daten liegen auf meinem FreeNAS. Pro Stunde wird ein Snapshot angelegt und für drei Tage behalten. Pro Tag wir ein Snapshot angelegt und für einen Monat behalten. Dazu repliziert es sich mit dem FreeNAS meines Vaters bidirektional.

    Wenn mir da jemand etwas verschlüsselt, wird die Änderung einfach rückgängig gemacht.

  44. Locky habe ich zum Glück noch nicht in freier Wildbahn gesehen, aber die diversen Tesla-Crypt-Varianten haben schon mehrere Kunden erwischt. Das Problem waren aber immer die Benutzer, welche versucht haben die „defekten“ Office-Dokumente irgendwie zu starten und sich teilweise erst nach mehreren Stunden gemeldet haben. Da hatten die Verschlüsselungs-Trojaner dann ausreichend Zeit. Dank Veeam und Drive Snapshot sind aber – wenn überhaut – nur die Daten vom Vormittag weg gewesen…

  45. In meiner Verwandtschaft war jemand davon betroffen. Da half nur neuinstallieren und letztes Backup einspielen.
    Auf „Dummheit“ kann man das mittlerweile nur noch selten schieben, die Infektionswege sind sehr ausgereift geworden. Es werden auch gerne spezifische Mails mit der Absenderadresse @firmendomäne verschickt. Der Empfänger denkt also es wäre eine interne Mail und öffnet diese schon deutlich schneller.

  46. Hier sind in letzter Zeit auch sehr viele Zahlungsaufforderungen in den Postfächern gewesen. Gott sei Dank kann man dies sehr leicht in Postfix mit „reject_unknown_reverse_client_hostname“ unterbinden. (Mit Vorsicht zu verwenden, da viele Sysadmins zu dumm sind, einen Server richtig zu konfigurieren.)

  47. @Felix
    Crashplandaten auf dem eigenen Pc könnten theoretisch auch verschlüsselt werden, also auch die bisherigen versionen darin. soweit ich weiß wäre es aber in der crashplancloud sicher da dort die alten daten dauerhaft bestehen bleiben. nur die geschwindigkeit zu und von crashplan könnte noch schneller sein

  48. @Dirk: Wenn Locky so clever wäre, die Archivdateien von Crashplan zu verschlüsseln, dann wäre es allerdings übel und man müsste sich wohl eine HDD zuschicken lassen mit den Originaldateien. Vielleicht haben die Archivdateien deswegen keine Dateiendungen!?

  49. @Georg Sauer (Schorsch): Danke für den Link. War zu befürchten. Aber dann muss ausser Lösegeld ja noch eine Info/Eindeutige ID vom betroffenen PC an die Geiselnehmer gesendet werden?

    Nur zur Info: Microsoft Security Essential / Windows Defender sollten ihn (nun) entdecken können:
    https://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx?Name=Ransom:Win32/Locky.A

    Gibt es wirklich reale Firmen, die Rechnungen als Word/Excel Dateien verschicken? Die würden wohl nie Geld von mir sehen 😉 Entweder Textdatei, PDF, per Post oder Fax.

  50. @Mart
    Wenn du das Verändern von Dateien über die Rechteverwaltung von Windows regelst, was nur bei NTFS-Laufwerken funktioniert, bist du davon abhängig, dass der Schädling sich an die Rechte-Bestimmungen von Windows hält. Üblicher Weise kommen Schädlinge aber mit Code daher, der genau das umgeht, indem sie sich selbst zum Admin oder System-User erheben, und dann dürfen sie die Dateien auch löschen oder überschreiben.

    So leid es mir tut: Ein Backup muss immer räumlich und datentechnisch getrennt von Ihrer Quelle sein. Sonst hilft sie im Falle eines Brands oder Vernichtung durch Software nicht weiter.

  51. Mal ehrlich, ihr geht immer von euch und eurem eigenen Gebiet aus.
    Aber was ist mit Dem/Der Sachbearbeiter/in die jeden Tag Rechnungen für Dinge geschickt bekommt, die sie selbst nicht bestellt hat ?
    Die Mails sind teilweise so gut, dass man auch als erfahrener Internetuser 3 mal Lesen muss. Die Bearbeiter kommen teilweise garnicht drumherum sowas zu öffnen.
    Im privaten Umfeld lässt sich das noch einigermaßen umgehen, aber die Leute tun mir Leid….

  52. @Mikk Schleifer
    Hey, ist zwar schon ne Weile her aber bei mir grade aktuell.
    Wie stellst du bei deiner AX64 Timemachine sicher das deren Daten nicht von der Ransomware befallen werden?

    Grüße Dave

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.