Achtung! Krypto-Trojaner! Bitte unbedingt lesen. Eine WARNUNG!

    Hallo!

    Ich empfehle jedem Windows-Nutzer die beiden verlinkten Beiträge genau durchzulesen. Es geht ggw. eine sehr erste Bedrohung um:
    Über 5000 Infektionen pro Stunde Krypto-Trojaner Locky wütet in Deutschland Die neue Ransomware Locky findet hierzulande offenbar massenhaft Opfer, darunter inzwischen auch ein Fraunhofer-Institut. Nun haben die Täter ihrem Schädling sogar Deutsch beigebracht. 1161 Kommentare mit Bilderstrecke mit Video
    und
    Krypto-Trojaner Locky Was tun gegen den Windows-Schädling Gegen den Verschlüsselungs-Trojaner Locky ist noch kein Kraut gewachsen. Umso wichtiger ist eine hinreichende Vorsorge, damit bei einer Infektion keine Dateien unrettbar verloren gehen. Deswegen sollten Computernutzer einiges beachten. 311 Kommentare mit Bilderstrecke

    Die extrem hohe Verbreitung in unserem Land der "Dichter und Denker" liegt IMHO vor allem darin begründet, dass wir hier wohl einen hohen Bestand an Menschen haben, die ohne jedes Nachdenken aus dem Mailprogramm heraus auf jeden darin befindlichen Mailanhang Klicken. Mein Begriff dafür ist der so genannte "Dummklick". Das Ergebnis sehen wir oben.
    Deshalb kann ich nur jedem raten, an seinem eigenen Sicherheitsverständnis zu arbeiten - und nicht erst zu warten, bis dabei durch den AHA-Effekt nachgeholfen wird.

    Für diejenigen, die es immer noch nicht wissen:

    • Einen Mailanhang immer zuerst in einen festgelegten Downloadordner abspeichern.
    • Falls noch nicht (automatisch) geschehen, den AV-Scanner aktualisieren.
    • Den kompletten Downloadordner scannen lassen (um auch Schadcode zu erkennen, der in Dateien vorliegt, welcher zum Zeitpunkt ihres Downloads noch nicht erkannt werden konnte)
    • Und erst jetzt die erhaltene Datei vor Ort starten.

    Und bitte jetzt nicht mit dem aktiven "on-access-Scanner" ("Virenwächter", "Hintergrundwächter") kommen! Dessen Erkennungsrate ist niemals so gut, wie die eines bewusst durchgeführten "on demand"-Scans!

    Und noch ein Hinweis:
    Einen echten aussagefähigen Systemchek kann man niemals mit dem auf dem laufenden Betriebssystem arbeitenden AV-Scanner durchführen. Moderner Schadcode ist sehr wohl in der Lage, den AV-Scanner zu deaktivieren oder zu blenden oder sonstwie zu täuschen. Der installierte AV-Scanner ist eigentlich nur für die Überprüfung einer gerade heruntergeladenen oder per Datenträger auf den Rechner gebrachten Datei geeignet. Und diese sollte natürlich auch noch nie auf diesem Rechner ausgeführt worden sein.
    Eine aussagefähige Überprüfung kann deswegen nur von einem (oder mehreren) AV-Scannern durchgeführt werden, welche nicht auf dem gestarteten Betriebssystem, sondern auf einem speziell dafür gebooteten System (fast immer ein Linux) laufen. Meine Empfehlung: "desinfec´t" vom Heise-Verlag.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Da der Locky sich nicht nur über E-Mailanhänge verbreitet sondern auch über Webseiten, die Sicherheitslücken in Browsern und Plug-Ins nutzen, möchte ich an dieser Stelle eine alte Empfehlung wieder hervorholen:

    Sperrt euren Firefox in eine Sandbox und erlaubt nur die Zugriffe nach außerhalb, die unbedingt erforderlich sind! Stellt die Sandbox so ein, dass sie beim Beenden automatisch gelöscht wird.

    Der Sicherheitsgewinn ist sehr hoch. Ich habe bisher noch von keiner Schadsoftware gehört, die in der Lage wäre Sicherheitslücken im Browser + in der Sandbox + ggf. in Windows zu nutzen.

    Und auch von mir ein Tip zum Thema Virenscanner:

    VirusTotal

    Dort kann man Dateien hochladen, welche dann von derzeit 55 verschiedenen aktuellen Virenscannern geprüft wird! Auch Websites kann man dort prüfen, was ich immer wieder mal mit meinem Blog auch mache. ;-)

    Was in vielen Berichten über "Locky" leider nicht erwähnt wird ist die Tatsache, daß auch der Linux-Server in der Ecke nichts hilft! Wenn ein befallener Rechner darauf schreibend Zugriff hat (z. B. bei einem Dateiserver), dann werden auch die Daten auf diesem Server verschlüsselt! :motz:

    Wie immer gilt:

    Es gibt kein sicheres System!

    Dreimaliges "full ack"!

    Es war zwar dafür nie beabsichtigt, aber (wenn ich denn überhaupt eine WinDOSe nutzen würde) mein Backup-NAS ist (aus puren Gründen der Energieeinsparung) nur am Abend für 1 Stunde aktiv. Es bootet neu, empfängt die Backups und schaltet wieder vollständig ab.
    Und ich gehe mal davon aus, dass ich bis dann (wenn Windows ...) schon gemerkt hätte, dass meine Dateien verschlüsselt sind.

    Auf jeden Fall ist das was du geschrieben hast (und selbstverständlich auch der Beitrag von Susanne) richtig und vielleicht hilft es auch so manchem User beim Nachdenken über die Problematik.


    Der Schutz mit dem richtigen AV-Scan kann von jedem angewandt werden. Leider tun es die wenigsten. Die Zahl der bequemen, "unwissenden" (um nicht mit "d****n" jemand zu beleidigen) und vor allem ignoranten Nutzern ist wohl grenzenlos. (Und wieder mal sind wir "Weltmeister"!)

    Die Nutzung von VirusTotal kann auch jeder. Auch keinerlei Aufwand - im Vergleich mit dem Neuaufsetzen des Systems.

    Die Sandbox war schon immer eines der perfektesten Methoden, um den Browser oder auch andere Programme einzusperren. Hier ist allerdings der Aufwand wesentlich größer, so dass ich dieses von ONU nicht oder kaum erwarten kann.
    Aber anzuregen über dieses fast perfekte Mittel nachzudenken, hier Fragen zu stellen und dann vielleicht auch zu nutzen, ist uns jeder Tastenanschlag und jede Minute aufgewendete Freizeit wert!


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Zitat von Peter_Lehmann

    Hier ist allerdings der Aufwand wesentlich größer, so dass ich dieses von ONU nicht oder kaum erwarten kann.

    Sandboxie kommt mit fertigen Profilen für den Firefox und den Thunderbird und funktioniert damit out-of-the-box. Weitere zu empfehlende Anpassungen sind minimal. Das sollte wirklich fast jeder hinbekommen.

    Hallo zusammen!

    Zitat von SusiTux

    Sandboxie kommt mit fertigen Profilen für den Firefox und den Thunderbird und funktioniert damit out-of-the-box. Weitere zu empfehlende Anpassungen sind minimal. Das sollte wirklich fast jeder hinbekommen.


    Ich muß hier gestehen, daß ich keine Sandbox für SeaMonkey verwende. Selbst bei AppArmor habe ich für meinen SeaMonkey kein Profil, allerdings kann man mich mit meinen ~30 Jahren Erfahrung kaum mit einem normalen Anwender vergleichen!

    Ich habe mir unter Windows meine eigene Arbeitsweise angeeignet und muß sagen, daß diese hier und jetzt mit Linux/Kubuntu weiterhin ganz gut funktioniert.

    Meine neueste Errungenschaft ist übrigens HAVP, allerdings gibt es hierfür keine wirklich vernünftige Anleitung in der deutschen Sprache... eigentlich gar keine... Aus dem Grund bin ich derzeit am ausarbeiten für ein entsprechendes Tutorial auf meinem Blog. Wenn es gestattet ist, dann werde ich dieses hier im Forum auch verlinken. Ich verwende zwar nur ClamAV als Virenscanner, er genügt bei mir aber auch.

    Und komme mir jetzt keiner von wegen Linux und Virenscanner, das Thema ist inzwischen jenseits von gut und böse!

    Vielleicht noch eine Antwort von mir, damit hier keine Missverständnisse stehen bleiben.

    Ich schrieb ja:

    Zitat von Peter_Lehmann

    Die Sandbox war schon immer eines der perfektesten Methoden, um den Browser oder auch andere Programme einzusperren.

    Und ich denke mal, da sind wir uns (die wir etwas davon verstehen) alle einig.
    Das immer wieder festzustellende menschliche (nein, nicht technische!) Problem ist aber, dass sehr viele der heute üblichen Klickibunti-Nutzer einfach zu <zensiert> sind, bestimmte notwendige Schutzmaßnahmen anzuwenden. Das beginnt bei denen, die steif und fest behaupten, dass sie einen (nein: den allerbesten und allersichersten weil gekauften!) AV-Scanner haben und damit auf ewig mit ihrem Windows XP das Internet nutzen können und geht eben hin bis zu den Dummklickern, die einfach ohne nachzudenken aus dem Mailprogramm heraus auf jeden Dateianhang klicken, welcher nicht bei 3 auf dem Baum ist.
    Und genau eben jene, die zu <wieder zensiert> sind, eine per Mail oder Datenträger erhaltenen Datei zuerst (bei E-Mailanhängen) abzuspeichern und danach bewusst zu überprüfen, die dafür "keine Zeit" haben oder 100% sicher sind, dass ihnen "nichts passiert", weil es ja "immer gut ging", diejenigen sind es, die die gleichen Argumente gegen die Nutzung einer Sandbox für den Browser und andere Programme vorbringen werden.
    Ja, manche benötigen eben gewisse AHA-Erlebnisse bis der Lernprozess einsetzt.

    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Hallöchen Peter!

    Zitat von Peter_Lehmann

    Ja, manche benötigen eben gewisse AHA-Erlebnisse bis der Lernprozess einsetzt.


    Auch hier muß ich dir leider zustimmen! Ich hatte vor kurzem tatsächlich einen Rechner hier zu "Reparatur", auf welchem ein Windows XP SP2 (ja wirklich SP2!) mit dem damals aktuellen Avira installiert war. Nur auf Drängen seiner Frau hat er das Ding dann zu mir gebracht und mich hat fast der Schlag getroffen, was da alles auf seinem PC war.

    Frei nach dem Motto "ich habe ja einen Virenscanner" zeigten sämtliche Browser und auch andere Programme, daß da nichts so lief wie es sollte. Jetzt ist dort Windows 7 Ultimate installiert, da verschiedene gekaufte Programme auch unter WINE nicht zur Mitarbeit zu überreden sind.

    Ich bin mir allerdings nicht sicher, ob ich mit Immunet und dem Defender als Virenscanner eine gute Wahl getroffen habe. Irgendwie habe ich das Gefühl, daß ich den Rechner noch öfter sehe... Ich bin mir allerdings sicher, daß ein anderer (besserer?) Virenscanner in diesem Fall auch nicht viel weiter hilft.

    Um vielleicht wieder etwas näher zum eigentlichen Thema "Locky" zurückzukommen ...

    Es ist etwas zu einfach, an dieser Stelle auf mangelnde Vorsicht bei den Benutzern zu verweisen. Wenn man im Heise-Forum und anderswo die großspurigem Kommentare einiger Schlaumeier liest, fragt man sich wirklich, wer hier die dummen User sind.

    Laut den Artikeln, die ich bisher dazu gelesen haben, waren die Virenscanner der meisten Hersteller mit Stand letzter Woche noch nicht in der Lage, Locky zu erkennen. Es kann sogar sein, dass Locky bereits längere Zeit unbemerkt auf zahlreichen Rechnern schlummerte und nur darauf gewartet hat, den Befehl zum Loslegen zu bekommen. Das würde auch die plötzliche hohe Infektionsrate erklären.

    Das ist aus Sicht der Angreifer ziemlich clever: Sie infizieren zunächst unbemerkt eine hohe Anzahl an Rechnern, und wenn sie entdeckt aktivieren sie den Schädling noch das Gros der AV-Hersteller die Signaturen angepasst hat.

    Der wichtige Punkt ist also der, dass weder Virenscanner noch Proxies hier Schutz geboten hätten.

    Bei bei einer Infektion über eine Webseite (Drive By) hätte auch alle Vorsicht auf Seiten des Nutzers nichts genutzt, weil auch völlig unbescholtene Webseiten infiziert wurden, ohne dass deren Betreiber das bemerkt hätten.

    Von den hier erwähnten Maßnahmen hätte allein die Sandbox Schutz vor einem solchen Drive-By geboten - kein Virus-Total (erst recht kein ClamAV), kein HAVP, kein Immunet und nicht einmal ein gehöriges Maß an Vorsicht.

    In den Fällen, in denen der Schädling über eine Werbung geladen wurde, hätte u.U. ein Add-Blocker geschützt. Da diese aber von ihren Blacklisten abhängig sind, stellen Add-Blocker bestenfalls einen eingeschränkten Schutz vor Locky (und seinen kommenden Nachfolgern) dar.

    Dass gegen Locky zur Zeit noch kein Kraut gewachsen ist, bedeutet nicht automatisch, dass die User nun völlig ohne Nachzudenken Dummklicken können.

    Eines habe ich aus dieser Diskussion gelernt: ich werde mich ab jetzt mit entsprechenden Hinweisen zurück halten. Macht doch, was ihr wollt!


    P.

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Zitat von Peter_Lehmann

    Dass gegen Locky zur Zeit noch kein Kraut gewachsen ist, bedeutet nicht automatisch, dass die User nun völlig ohne Nachzudenken Dummklicken können.

    Richtig, es bedeutet genau das Gegenteil. Deshalb überrascht mich der Rest Deinen Postings g'rad sehr, zumal der Tipp zu Virus Total ja gar nicht von Dir stammte.

    Noch ein weiterer, wichtiger Hinweis

    Semper hat heute ein Video zu Locky veröffentlicht, das im Kommentar einen bösen Fehler enthält. Siehe hier

    Im Video wird erwähnt, dass eine virtuelle Maschine einen sehr guten Schutz bieten würde. Das ist, zumindest so allgemein, nicht korrekt!

    Zunächst würden die Benutzerdateien in der VM natürlich verschlüsselt. Schlimmer ist aber folgendes: Wenn die virtuelle Maschine (z.B. über die shared folders) Zugriff auf Bereiche der Festplatte hat, die nicht exklusive der VM gehören, dann kann Locky natürlich auch diesen Bereich verschlüsseln.
    Viele Nutzer einer VM werden schon allein zum Dateiaustausch mit dem Hostsystem solche Shared Folders eingerichtet haben.

    Im Video wird erwähnt, das Locky sich über JavaScript verbreite. Der Dateiexplorer zeigt das auch so an. Hier scheint aber ein Verknüpfungsfehler vorzuliegen. Laut den Berichten auf Heise enthält die Datei keinen Java Script Code sondern JScript. Das ist eine Scriptsprache vom Microsoft und hat mit Java Script nicht viel zu tun*. Sie benötigt deshalb auch keinen Browser, um ausgeführt zu werden und lässt sich deshalb auch nicht mittels NoScript und Co. blockieren.

    Positiv am Video:
    Es wird erläutert, weshalb Virenscanner und Co. nicht vor Locky schützen. Außerdem führen sie live vor, dass Sandboxie den Locky wirksam blockiert.

    * Bevor es Schimpfe gibt: JSript ist eine MS-Erweiterung von Java Script und kann von der zugehörigen Laufzeitumgebung auf Windowssystemen und von Browsern ausgeführt werden.

    Einmal editiert, zuletzt von SusiTux (25. Februar 2016 um 18:25) aus folgendem Grund: * ergänzt

    Das Landratsamt Rosenheim hat heute bekanntgegeben, dass sie zum Schutz vor Locky ab sofort sämtliche MS-Office-Dateien automatisch aus E-Mails entfernen.
    Quelle: Landkreis Rosenheim
    Ich kann mir vorstellen, dass andere Behörden das ebenfalls so handhaben.

    Vielleicht bekommen wir nach dem Limux ja nun auch bald ein Ronux. ;-)

    Einmal editiert, zuletzt von SusiTux (18. März 2016 um 22:06)

    Hallo Susanne,

    Deine Verlinkung nützt leider nichts:

    Zitat von OVB Online

    Bitte loggen Sie sich ein, um diesen Artikel lesen zu können.


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

    Das ist komisch. Wenn ich Link aus der Trefferliste meiner Suchmaschine heraus aufrufe, funktioniert er. Kopiere ich ihn und nutze ihn direkt, bekommen ich ebenfalls eine Aufforderung zum Login. Ich korrigiere den Link oben mal auf die offizielle Mitteilung des Landkreises.

    Bitte entfernt diesen Schwachsinn aus dem Forum ... Mail-Anhänge werden von den meisten Nutzern "gelöscht" und es wird nicht nachgesehen ob das Gelöschte wirklich gefährlich ist ... und dann fangen die Tölpel, die den Quatsch gelöscht haben damit an sich in diversen Foren zum Retter der Menschheit aufzuspielen.

    In gut 20 Jahren habe ich praktisch alle Mail-Anhänge angeschaut, die man mir da zugeschickt hat ... nicht einer hat einen Virus enthalten (von xx xxx Mail-Anhängen). Jeder verblödete Virenscanner erkennt sogar Viren die gar keine sidn.

    Edit: User wurde wegen überwiegend sinnfreier Beiträge gesperrt. graba, S-Mod.

    Einmal editiert, zuletzt von graba (23. März 2016 um 17:51)

    Hallöchen zusammen!

    Zitat von ps6666

    Bitte entfernt diesen Schwachsinn aus dem Forum ...

    Das ist aber kein guter Einstieg in ein Forum!


    Zitat von ps6666

    Mail-Anhänge werden von den meisten Nutzern "gelöscht" und es wird nicht nachgesehen ob das Gelöschte wirklich gefährlich ist ... und dann fangen die Tölpel, die den Quatsch gelöscht haben damit an sich in diversen Foren zum Retter der Menschheit aufzuspielen.

    Das kann ich aber nicht bestätigen.


    Zitat von ps6666

    In gut 20 Jahren...

    Warum nur glaube ich dir das mit meinen 50 Jahren nicht? Soll ich mal versuchen, daß ich meine alte Mailbox auf dem ATARI TT030 wieder online stelle?


    Zitat von ps6666

    ...habe ich praktisch alle Mail-Anhänge angeschaut, die man mir da zugeschickt hat ... nicht einer hat einen Virus enthalten (von xx xxx Mail-Anhängen). Jeder verblödete Virenscanner erkennt sogar Viren die gar keine sidn.

    Ich als Linuxer verwende ausschließlich ClamAV und bei von mir verwalteten Windows-Rechner "Immunet", also den Virenscanner, welcher auch auf wahrscheinlich den meisten Mailservern installiert ist. Ein "false positive" habe ich allerdings schon seit Jahren nicht mehr erlebt!

    Außerdem überprüfe ich verschiedene andere Rechner immer wieder mit verschiedenen anderen Virenscannern, da gab es wirklich mehr wie einmal mehr wie nur einen Treffer!


    Edit: User wurde wegen überwiegend sinnfreier Beiträge gesperrt. graba, S-Mod.

    Gute Idee, auch wenn ich den Beitrag nicht als "sinnfrei" betrachte. Er ist schädlich, denn eigentlich negiert er sämtliche Falschmeldungen, welche ein Virenscanner bringen kann. Daß durch fehlerhafte Signaturen ganze Rechenzentren ausgefallen sind wird nicht beachtet. Gleichzeitig will er uns weismachen, daß sämtliche ihm zugeschickte Mails garantiert keine Schadware intus hatten.

    Eigentlich will uns ps6666 hier erklären, daß ein Virenscanner absolut keinen Nutzen hat. Wenn dem wirklich so wäre, warum werden diese Teile dann auf wirklich allen Mailservern verwendet? Warum nur habe ich HAVP installiert und alle Rechner im Netzwerk greifen über diesen Proxy auf "das Internet" zurück? Zum Spaß mit Sicherheit nicht!

    Die Sperrung des Nutzers ist also berechtigt, nur der Grund paßt nicht so ganz.


    EDIT: Ups! Gerade eben hab ich den anderen Beitrag des Nutzers gesehen...

    Zitat von "ps6666"

    Ich bin WELTWEIT der Einzige, der eine Methode entwickelt hat, die dafür sorgt, dass ALLE Emails beim Empfänger ankommen, die er braucht ...


    Ist da eventuell der gute alte "KRYPTOCHEF Detlef Granzow (persönlich)!" am Werk, oder was?

    Hier geht's zum Castle, dort zum Profil

    Einmal editiert, zuletzt von TmoWizard (23. März 2016 um 18:39)