Achtung! Krypto-Trojaner! Bitte unbedingt lesen. Eine WARNUNG!

    Hallöchen zusammen,

    dann mal zurück zum Thema "Locky" und den Virenscannern.

    Ich hatte hier durch entsprechende Mails tatsächlich 3 verschiedene Versionen von dem Unhold, welche ich immer wieder mal bei VirusTotal prüfe. Am Freitag wieder und was muß ich sehen:

    Noch immer werden diese Teile nicht von allen Virenscannern erkannt!

    Allerdings scheint da bei VirusTotal etwas nicht mit rechten Dingen zuzugehen, denn angeblich erkennt auch ClamAV den Locky nicht. Das entspricht jedoch nicht den Tatsachen, denn hier unter Kubuntu der original ClamAV selbst erkannte alle 3, dann unter Windows 7 auch dessen "großer Bruder" Immunet immerhin noch zwei davon. Kläglich versagt hat allerdings ClamWin, obwohl der laut deren Website auch den neuesten ClamAV verwenden soll! Er hat gar keinen davon erkannt, trotz angeblich aktueller Datenbank.

    Leider habe ich gestern nicht aufgepaßt und das falsche Knöpfchen bei ClamTK gedrückt und schwuppdiwupp, weg waren die drei! :rolleyes:


    Ich habe den ganzen Zinnober mit Locky ja von Anfang an verfolgt und eben durch die genannten drei Versionen auch die Erkennungsrate der verschiedenen Virenscanner beobachtet. Ich muß sagen, daß ich ziemlich erstaunt darüber war, wie langsam sogar manch "großer" Hersteller dieser Scanner laut VirusTotal reagiert haben! Locky ist ja immerhin spätestens Mitte Februar erschienen und wird trotzdem noch nicht von allen Scannern erkannt, das ist irgendwie nicht gerade optimal.


    Edit: Hab gerade noch mal was bei heise nachlesen wollen wegen Locky, dann hat sich mein Antiviren Proxy HAVP gemeldet:

    ClamAV: winnow.malware.ts.malware.938403.UNOFFICIAL

    Dieses Ergebnis kam bei folgender Adresse:

    http://www.heise.de/meldung/Erpres…zu-3104069.html

    Meckert da bei einem von euch auch der Virenscanner oder ist das eine Fehlermeldung von HAVP/ClamAV?

    Hier geht's zum Castle, dort zum Profil

    Einmal editiert, zuletzt von TmoWizard (28. März 2016 um 06:47)

    Hallo,

    Zitat von Basel

    ihr meint vermutlich die kostenpflichtige Software Sandboxie

    "Sandboxie" kann auch als Freeware (mit kleinen Einschränkungen) eingesetzt werden.
    Und um ganz sicher zu sein, dass keine böse Buben ihr Spielchen treiben, geht man einfach nicht ins Internet, setzt sich zu Hause hin und widmet sich seiner Familie, liest Bücher, genießt die Natur... ^^

    Hallöchen zusammen!

    Zitat von graba

    setzt sich zu Hause hin und widmet sich seiner Familie, liest Bücher, genießt die Natur... ^^


    Ok, Familie ist nicht wegen Scheidung. Aber lesen und freie Natur gehört bei mir einfach dazu. Bücher habe ich jede Menge und gleich um die Ecke sind zwei Parks und der Lech! :mrgreen:

    Hallo,

    Zitat von graba

    Und um ganz sicher zu sein, dass keine böse Buben ihr Spielchen treiben, geht man einfach nicht ins Internet, setzt sich zu Hause hin und widmet sich seiner Familie, liest Bücher, genießt die Natur... ^^

    auch dann ist ein digitaler Identitätsdiebstahl möglich. :-)

    Hallo Basel,

    Zitat von Basel

    Ich vermisse den Hinweis, dass es Brwoser wie Opera/Chrome mit Sandbox-Technologie gibt

    Ich selbst benutze seit einigen Monaten fast ausschließlich einen solchen Browser*. Es ist aber ein Unterschied, ob der Browser mit eigenen Mitteln einzelne Prozesse (bzw. Tabs) sandboxed, oder ob man eine Ebene tiefer geht und den gesamten Browser in eine Sandbox packt.


    Zitat von Basel

    Intuitiv ist das Programm aber nicht. Da muss man ja wohl einiges lesen, bis man das versteht.

    wie bei jeder Software, die man sich installiert, sollte man zumindest grob wissen, was diese Software macht und wie sie funktioniert. Bezogen auf den Firefox ist das meiner Meinung nach jedoch sehr einfach gelöst und erfordert keine lange Einarbeitung.

    Sandboxie ist bereits für den Firefox vorkonfiguriert. Man muss fast nichts mehr selbst konfigurieren.

    Ansonsten solltest Du bei weitergehende Fragen zu Sandboxie einmal in das Sandboxie-Forum schauen. Dort wird es ähnlich sein wie hier: Auf die meisten Fragen findest Du vermutlich rasch eine Antwort in den bereits vorhandenen Artikeln oder Postings.


    Gruß

    Susanne

    * :
    Chrome bzw. auf Chromium basierende Browser beherrschen den Markt seit einiger Zeit deutlich. Der Firefox kommt weltweit gerade noch auf einen Marktanteil von 15% oder so, in Deutschland auf mehr. Mach' es jetzt nicht an 2 oder 3 Prozentpunkten fest. Ich habe die Zahlen aus dem Kopf rezitiert.
    Das macht den Firefox vielleicht zu einem weniger lohnenswerten Ziel und könnte deshalb durchaus ein sicherheitsrelevanter Aspekt sein bzw. werden.

    Moin,

    schön, das auch in diesem Forum vor der noch immer aktiven Plage der Krypto-Trojaner gewarnt wird. Aber diese Aussage

    Zitat von Peter_Lehmann

    Und bitte jetzt nicht mit dem aktiven "on-access-Scanner" ("Virenwächter", "Hintergrundwächter") kommen! Dessen Erkennungsrate ist niemals so gut, wie die eines bewusst durchgeführten "on demand"-Scans!

    kann ich nicht einfach im Raum stehen lassen, weil sie so nicht richtig ist.

    Korrekt ist: Die Erkennungsrate eines On-Demand-Scans liegt seit einigen Jahren deutlich unter denen eines "Hintergrundwächters". Manuelle Scans können Malware frühzeitig auch in Dateien, die nicht angefaßt werden, dadurch kommt es zu "Erkennungen" die sonst zufällig oder nie erfolgen, eben weil die Datei nicht genutzt wird. Es ergibt sich eine "gefühlte" bessere Erkennungsrate.

    Der Grund ist einfach: ein manueller Scan durchsucht die Datei auf Grund von Signaturen. Moderne Hintergrundwächter arbeiten aber zusätzlich mit "Verhaltensüberwachung" und blockieren die Anwendung bei "auffälligem Verhalten". Genau das kann aber der manuelle Scan nicht.

    Der Unterschied wird deutlich, wenn man sich die Testergebnisse von AV-Test ansieht. Microsoft arbeitet (bisher) ohne Verhaltensüberwachung und endet irgendwo bei 85%.

    Aber: bei Locky versagt auch die Verhaltenserkennung, denn "eine Datei lesen, modifizieren und zurückschreiben" ist ein Grundprinzip der EDV und die Scripte die Locky und Co. verwenden sind so einfach gestrickt, das kaum ein zusätzliches auffälliges Verhalten erkennbar war.

    Inzwischen haben aber alle AV-Hersteller nachgerüstet und die Erkennung wird besser.

    Signaturbasierte Erkennung hinkt meist mehrere Stunden hinterher, Server-gestützte Erkennung ist recht schnell verfügbar. Hängt aber stark vom Einzelfall ab.

    Also bitte auf keinen Fall auf einen "Echtzeitschutz", Verhaltensüberwachung" oder Servergestützte Verfahren verzichten! Nur in der Summe und bei aktuellen Systemen können sich die Schutzmechanismen ergänzen.

    (Um diesen Thread nicht zu hijacken bitte Rückfragen per PM)

    Liebe Freunde des Thunderbird!


    Ich habe diesen Thread im Februar aus leider sehr aktuellem Grund eröffnet, um etwas Awareness beim Umgang mit Mailanhängen zu erzeugen. Ich wollte euch also anregen, einen zum betreffenden Zeitpunkt und mit euren Möglichkeiten maximal erreichbaren Schutz für eure Daten und überhaupt für eure Systeme zu erreichen. DEN maximalen Schutz vor Schadcode gibt es leider nicht und den wird es auch nie geben.
    Ich habe auch an keiner Stelle empfohlen, den verhaltensbasierten heuristisch arbeitenden on-access-Scanner (außer im TB-Usreprofil selbst!) zu deaktivieren oder nicht zu nutzen. Denn nur beide zusammen erreichen den gegenwärtig maximal erreichbaren Schutz!
    Und ich möchte als dritten Bestandteil und perfekte Ergänzung das supertolle kostenlose Programm Brain.exe - Die Rundumlösung für viele Probleme empfehlen.

    Leider musste ich feststellen, dass sich aus meiner gut gemeinten Absicht mittlerweile eine Art Glaubenskrieg entwickelt hat. Ich habe es inzwischen bereut, diesen Thread überhaupt begonnen zu haben.

    Alles, was ich in bestimmt Hunderten (sicherlich ein klein wenig durch meine jahrzehntelange Tätigkeit im Bereich der IT-Sicherheit gefärbten) Beiträge zu diesem Thema geschrieben habe sind reine Empfehlungen und niemals Dogmen!

    Ich habe persönlich absolut nichts dagegen, wenn ihr aus Gründen der Bequemlichkeit oder um etwas Zeit zu sparen Zehntausende von E-Mails im Posteingang hortet. Es ist euch überlassen, den "Hintergrundwächter" auf das TB-Userprofil loszulassen und euren AV-Scanner so einzustellen, dass dieser erkannten (oder besser: vermuteten) Schadcode schnell und vor allem ohne belästigende Rückfragen sofort löscht.
    Ich "verbiete" euch auch nicht, erhaltene Mails mit lustigen Mailanhängen sofort an alle eure Freunde weiterzuleiten und ich verlange auch nicht, Mailanhänge vor dem Anfügen an eine Mail zuerst einmal zu überprüfen. Warum auch? Sollen doch eure Mailpartner deine/eure Freude an den lustigen Mailanhängen oder Mitteilungen der Bank, bei der sie keine Kunden sind, oder vom BKA usw. ruhig teilen. Sollen sie auch etwas davon haben.
    Und immer daran denken, dass regelmäßige Datensicherungen nur etwas für Weicheier sind - und wer will schon ein Weichei sein?
    Ich habe auch persönlich nichts dagegen, wenn ihr sofort nach Erhalt einer entsprechenden E-Mail blitzartig und vor allem ohne darüber nachzudenken direkt aus dem Mailclient auf den Mailanhang mit dem interessanten Namen klickt.

    Ihr habt ja einen supertollen Antivirenschutz, der wie der bekannte Engel aus dem Werbespot einer Versicherung still im Hintergrund auf dich aufpasst und bei Gefahr seine Hände und Flügel über dich hält und jeden Schaden verhindert.

    Aber BITTE heult uns beim nächsten Datenverlust (wenn der Schutzengel mal schnell die INBOX geshreddert hat) oder bei der nächsten Infektion des Systems oder wenn der Thunderbird träge wie mit Honig begossen läuft, nicht die Ohren voll!

    Das waren hier meine letzten Bemerkungen zu diesem Thema.
    Es ist alles gesagt, und ich schließe jetzt diesen leider ausgeuferten Thread. Dieses war nicht meine Absicht!


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!