Makro Virus "Locky" verbreitet sich rasend schnell!

Krypto-Trojaner Locky wütet in Deutschland: Über 5000 Infektionen pro Stunde

Krypto-Trojaner Locky: Was tun gegen den Windows-Schädling

Es wird ja gerne mal was gehyped…aber ich sehe dieses Ding als echt kritisch an! Was wir in der Firma in letzter Zeit an Spam mit Makro-Mist bekommen ist echt abnormal :rolleyes: Selbst privat haben mich schon einige solcher Dinger erreicht…

Wie geht ihr, besonders in Firmen, mit einer solchen Bedrohung um? Per GPO entsprechende Sicherheitseinstellungen verteilen für Makro-Code? Vertrauenswürdige Quellen brav gepflegt? …?

Grüße,
Chris

Alles mit Code aus Emails blocken - konkret mit Email Cloud Services in Security & Archiving | Mimecast.

Wow, ich hatte das gar nicht mehr verfolgt aber das klingt nicht gut. Nod32 kann den mittlerweile erkennen, was mich etwas beruhigt.
Die Leute lernen auch nicht wirklich dazu. Im Gegenteil finde ich sogar, dass sogar die Kids durch dieses Geklicke ohne Nachdenken zu müsse eher verblöden. [emoji849]

Also, ich würde ich mich nicht drauf verlassen, ich jage meistens die Dinger durch Virustotal - meistens hat man so raten wie maximal 13 von 54 die denn Virus erkannt haben. Meistens erkennen dann die Scanner, die wir meistens bei unseren Kunden oder den Applinances (Sophos, Cisco, Endian usw.) einsetzen die Viren dann zu dem Zeitpunkt noch nicht. Ein paar Stunden später sieht es dann schon besser aus.

Ich bin gerade dabei bei den letzten Kunden die Backup in eigene Netze zu legen - nicht das die Fileserver sondern auch noch die Backups verschlüsselt werden. Das wäre der Gau!

Bei uns hat es auch schon einen Mittelstandskunden erwischt.

Schlimm ist, das die mittlerweile nicht nur Fileserver sondern auch schon Cloud mit in die Zange nimmt. Bin mal gespannt wann die nach so Acroniscloud suchen.

Bei mir zuhause setze ich deshalb auf iSCSI (meistens suche. Die ja nach SMB) als Backupziele, eins im selben Netz jedoch nur ein Mal im Monat eingeschaltet - das andere ist im RZ, jedoch für die täglichen Backups gemountet (wobei ich mal schauen wollte ob man die mit der iSCSI CLI trennen und nur während des Backups verbinden kann).

Schutz davor ist auf SMTP und HTTP Filter auf Sophos UTM Basis (Home Version), Gäste kommen nur in ein eigenes Gästenetz, Server sind mit Sophos Virenschutzprogramm geschützt, Clients mit Windows Defender geschützt - insgesamt also ein mehrstufiger Schutz, wobei der größte Schutz wohl (noch) der ist, das ich auf meine Hauptrechnern OSX nutze.

Jedoch die Server, Mediacenter und Gamingrechner auf Windowsbasis sind.

Auch wenn man tagtäglich damit zu tun hat, doch ein mulmiges Gefühl.

Wobei, wie bei dem Heiseartikel finde ich nicht das es an der Zeit ist auf Linux zu wechseln, wenn alle auf Linux umsteigen werden früher oder später auch da die Viren auftauchen.

Just my two Cent.

Ich verlasse mich nicht darauf. Natürlich weiß ich, was ich so tue. In meinem langen IT-Leben hatte ich genau einen Befall (lange ist es her) und daran war ich selbst Schuld. Ich isolierte eine befallene xyz.exe und legte sie mir dummerweise auf den Desktop. Irgendwie fand ich nicht die Zeit und ein halbes Jahr später dachte ich bei einer Aufräumaktion nicht mit. Was war denn das hier nochmal? Doppelklick.
So schnell hatte ich noch nie den Rechner aus. Millisekunden.
Wenn man danach nicht in Panik gerät, hat man auf jeden Fall bessere Chancen. Das sag ich auch immer den Leuten, die irgendwelche Flüssigkeiten über Elektronik schütten. Nix tun oder panisch Dummes tun ist fast immer fatal.

Backups von wichtigen Dingen liegen bei mir mehrfach verstreut und einmal unzerstörbar gesichert. Volle SD-Karten der Kamera werden nicht gelöscht, sondern durch neue ersetzt und die vollen Karten sind das Backup.
Mein Server läuft jetzt auf OSX, nachdem ich wohl einer dummen Eigenart meines externen Sata-Adapters in Bezug auf große Platten und 4 KByte Sektoren aufgesessen bin. In Verbindung mit DrivePool war das nicht so toll und beim Plattentausch mit An- und Abmelden aus dem Pool gab es Probleme.
Danach durfte ich 4TB restaurieren, denn den nicht ganz so wichtigen Dateien trauert man auch nach. Aber wichtig. Keine Panik.
Die Platte war auch sehr schnell aus dem Slot gezogen.
R-Studio hat mich bei der Wiederherstellung wirklich überzeugt. Mit TestDisk war mir der Aufwand nach intensiven Durchläufen deutlich zu hoch.

Windows nutze ich nur noch auf einem Laptop und ab und zu auf den großen Rechner, der auch Beides (OSX El Captain und Win10) kann. Fürs tägliche Zwischendurch macht der MacMini einen tollen Job mit hohem WAF.

Ich hab auch weniger bis keine Bedenken, dass ich selbst ein Opfer werde. Das Gast-Netz ist bei mir auch komplett getrennt (eigenes VLAN + Netz und nur Zugriff ins Internet).

Aber in der Firma…da ist IMMER jemand dabei, der mal eben eine angebliche „Rechnung“ oder sonstiges öffnet und schwups ist es passiert :eek: Und wenn der User zufällig grad viele Rechte auf den Fileshares hat, dann heißt es alles vom Tag verloren und Sicherung vom Bandlaufwerk wiederherstellen. Viel unnötige Arbeit, die man sich gerne sparen möchte

In der Firma haben wir auch Sophos (Dual Scan) im Einsatz, dazu noch Kaspersky auf den Exchange Servern, auf allen anderen Servern über VMware vShield (auch mit Kaspersky) und noch auf allen Workstations. Aber meistens kommt eine neue Variante, die wird nicht sofort erkannt und dann ist es quasi zu spät.

Deshalb wollte ich mal hören, wie ihr das so macht, hauptsächlich in den Firmen.

Grüße,
Chris

OSX Server hatte ich auch schon versucht, aber spätestens als der Support den 3. Workaround für einen Workaround hatte, hatte ich kein Bock mehr. Der Exchange ist halt immer noch die beste Groupware. Natürlich könnte man Office 365 für 4,20 Brutto im Monat nutzen für die 2 Postfächer die man nutzt und dann den Rest der Windowsumgebung gegen OSX oder Linux tauschen (gerade jetzt wo IPS auf OSX oder Linux kommt). Aber möchte man das?!?

Zu den Virenscannern, die sind einfach nicht schnell genug - gerade wenn ich diese Schläfer sehe, Locky hatte sich erst verbreitet und dann Zeitgleich zugeschlagen, da sind die Virenscanner machtlos gegen. Wenn die die finden ist es zu spät.

Wartet mal ab, wird noch alles viel deftiger.

Sicherungen extern habe ich mit dem lokalen NAS erledigt - der ist nur zum sichern an. Zwar manuelle Tätigkeiten erforderlich, aber dadurch dann eben Kontrolliert und man kann sich drauf verlassen.

Die ganzen technischen Schutzmaßnahmen haben alle ihre Berechtigungen und ich bin grundsätzlich auch für eine fein granulierte Umgebung im Bezug auf Security (darf natürlich nur zu einem überschau- bzw. akzeptierbaren Grad die Bedien- und Nutzbarkeit einschränken - ist immer eine Gratwanderung).
Uns allen ist aber auch klar, dass es keinen 100%igen Schutz gibt. Deswegen: zusätzlich interne Schulungen um ein gutes Maß an Verständnis bzw. Bewusstsein bei den Usern zu schaffen - sehr effektiv!

Beste Grüße
/Jens

User-Schulungen…an sich eine schöne Sache…aber die Praxis sieht meist doch eher anders aus. Die Office-Schulung war schon ein Wunder bei uns und hat auch nur teilweise gefruchtet…

Desto größer ein Unternehmen, um so höher die Chance, dass einer dabei ist, der doch mal „doof klickt“ ohne vorher einen anderen Mitarbeiter zu fragen oder jemand aus der IT. Wir haben gesamt rund 200 Clients und den ein oder anderen dabei, der gerne Email-Anhänge öffnet :rolleyes:

Wir haben morgen eine „Krisen-Sitzung“ in der Firma zu dem Thema. Solltet ihr also noch tolle Ideen haben, bin für jede Idee/Tipp dankbar

Grüße,
Chris

Klar, hast Du da immer ein paar DAUs dabei. Mit „interne Schulungen“ meinte ich auch jetzt nicht zwingend etwas „hochoffizielles“ mit Anmeldung und Zertifikat und Bla …
Man kennt ja normalerweise seine Pappenheimer und weiß auch wer die Key-Player im Unternehmen/den Abteilungen sind. Das Modell was ich im Kopf hatte war eher sich mal die „richtigen“ Personen, die von denen man weiß das schon ein Mindestmaß an Verständnis für IT/Security da ist (NICHT die Doofklicker), für 1-2 Std. zu schnappen und mal ganz entspannt über ein Thema aus IT-Sicht zu quatschen - gerade Locky ist doch spannend, da es ja auch in der Nicht-Tech-Presse breitgetreten wird. Wenn das einigermaßen interessant und witzig an den Mann/die Frau gebracht wird sorgen die dann schon dafür, dass die Infos weitergetragen werden.

Ich weiß, hört sich einfacher an als es ist,wenn’s funktioniert sind die Effekte aber erstaunlich

Schönen Sonntag!
/Jens

Bei uns wurde mittlerweile alles so weit eingeschränkt, dass sogar normales Arbeiten kaum noch möglich ist. Alle möglichen Scanner (Einzelscan, Komplettscan) und Verschlüsselungssysteme schaffen es, dass ich an manchen Tagen fast nur zuschauen darf.
Ich schätze mal, dass ich locker 30% meiner möglichen Produktivleistung dadurch verliere. Selbst der blaue Windowskringel geht mir mittlerweile so auf den S**k. Workflow darf man das nicht mehr nennen.

Und zu den DAUs. Es gibt Typen, denen kannst Du das morgens noch sagen und sie drücken trotzdem auf alles drauf.
Wenn Du dann weiter erklärst, dann heißt es: „Dann mach ich halt gar nix mehr!“

Ist echt ein kompliziertes Thema.

Gruß
Andreas

Ohne Frage … ist auch sehr individuell. In der einen Firma/Abteilung geht’s so, in der anderen nicht. Am Ende ist sowieso die IT der Schuldige :D:D:D