Hallo Spezies,

(Musste mich neu anmeden, da ich meinen Benutzernamen nicht mehr weiß)

offensichtlich gibt es einen neuen Verschlüsselungstrojaner, der alle Dokumentdateien verschlüsselt.
Die Dateinamen lauten dann zahlenundBuchstaben.locky.

In dem Ordner einsteht eine Datei mit Namen _Locky_recover_instructions.txt, mit folgenden Inhalt

---
!!! IMPORTANT INFORMATION !!!!

All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanc...ption_Standard

Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. hxxp://6dtxgqam4crv6rr6.tor2web.org/zahlenundBuchstaben
2. hxxp://6dtxgqam4crv6rr6.onion.to/zahlenundBuchstaben
3. hxxp://6dtxgqam4crv6rr6.onion.cab/zahlenundBuchstaben
4. hxxp://6dtxgqam4crv6rr6.onion.link/zahlenundBuchstaben

If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 6dtxgqam4crv6rr6.onion/zahlenundBuchstaben
4. Follow the instructions on the site.

!!! Your personal identification ID: zahlenundBuchstaben !!!
---------------------------------------------------------------------

Ist das Problem schon bei jemanden aufgetreten. Bei uns heute um 15:06 Uhr

Viele Grüße
Mario

Da ja eine Beteiligung an der Diskussion nicht gewünscht ist - Schreib ich einfach als Alleinunterhalter in meinem Fred weiter.
Die in dem Thread über mir erwähnte Zeitsteuerung kann ich bestätigen. Die Zeit 15:06 ist nicht nur die Zeit die als Datumstempel gesetzt wurde sondern die live Serverzeit. Ich habe persönlich der Verschlüsselung zugeschaut. Nach unserer bisherigen Recherche dauerte die Verschlüsselung genau 20 min. Die letzte verschlüsselte Datei wurde um 15:26 Uhr erzeugt. Danach brach die Verschlüsselung ab und wurde nicht mehr fortgesetzt.
Die Dateien lassen sich über die Schattenkopie wiederherstellen. Der Trojaner lässt sich momentan (Stand 12:30 Uhr noch nicht mit MBAM und Trend Micro Officescan, sowie Trend Micros Onlinescanner Housecall erkennen)

Und sorry, mal nebenbei: Unser Unternehmen hat >50 Mitarbeiter und wir leben davon, das Kunden uns Bewerbungen und Lebenslaufe per Email schreiben. Wir erhalten täglich unzählige Worddokumente als Emails, die die Kollegen bearbeiten müssen. Wenn wir den Kollegen sagen öffnet keine Worddokumente von Personen die ihr nicht kennt, lachen die uns aus! Willkommen in der Realität und soviel zum Thema schult doch mal eure Mitarbeiter! Ach so, der Makroschutz von Word ist ne tolle Sache, aber wenn die eingesetzte Firmensoftware per COM-Automation Word-Formulare befüllen muss, was dann?

Viele Grüße aus Brandenburg
Mario,

Zitat:

Zitat von ITSF

Und sorry, mal nebenbei: Unser Unternehmen hat >50 Mitarbeiter und wir leben davon, das Kunden uns Bewerbungen und Lebenslaufe per Email schreiben. Wir erhalten täglich unzählige Worddokumente als Emails, die die Kollegen bearbeiten müssen. Wenn wir den Kollegen sagen öffnet keine Worddokumente von Personen die ihr nicht kennt, lachen die uns aus! Willkommen in der Realität und soviel zum Thema schult doch mal eure Mitarbeiter! Ach so, der Makroschutz von Word ist ne tolle Sache, aber wenn die eingesetzte Firmensoftware per COM-Automation Word-Formulare befüllen muss, was dann?

ja sry, du als Admin hast die Aufgabe, es sicherzustellen, dass die Kollegen gefahrlos die Anhänge öffnen können.
Viele Admins sehen keine Möglichkeit das sicher umzusetzen. Also bleibt nur der Weg über ne zentrale Blockierung von Mails mit potentiell gefährlichen Anhängen.

Schonmal in der größeren Bude gearbeitet? Wohl nicht oder? Da werden grundsätzlich Anhänge blockiert und nur auf Nachfrage freigeschaltet und dann auch nur wenn es einen triftigen Grund gibt.

Wenn du das nicht willst, darfst du dich auch nicht über Schrott in den Postfächern beschweren.

Wenn du deine Kollegen nicht schulen willst, darfst du dich nicht drüber beschweren, dass deine Kollegen nix wissen und deswegen alles falsch machen.

Entweder machst du alles ganz sicher, oder ganz einfach. Bei Letzterem darf sich aber niemand über Sicherheitsprobleme beschweren.

Hallo,
das ist jetzt nichts persönliches, aber deine Antworten die ich zu dem Thema von dir bisher gelesen habe, gehen leider über ein allgemeines Bla Bla nicht hinaus. Bisher gab es nichts Zielführendes von Dir.

Ach so, ich bin seit 1986 in der IT-Branche. Als festangestellter Admin hier seit 12 Jahren und vorher in einer öffentlichen Einrichtung 7 Jahre. Nebenbei betreue ich mehrere kleine Unternehmen als Freiberufler. Übrigens, bei den kleinen Unternehmen klappt es am besten.

Ich hätte dir das gerne als PN gesendet, die hast du aber geblockt. Solltest du noch was sinnvolles beizutragen haben, kannst du den Thread gerne noch einmal öffnen.

VG
Mario

Ja ist ein schwieriges Thema. Dass du deswegen gefrustet bist, ist mir auch klar, aber dennoch kannst du dich zurückhalten anstatt mir inhaltlosen blabla ohne Begründung vorzuwerfen, statt Begründung pakcst du lieber zur Untermauerung deinen Schwanz raus und erzählst was von 30 Jahre Berufserfahrung. Was mit dem Thema der ransoms aber rein garnix zu tun hat, denn die gibt es erst seit ca. vier Jahren in dieser/ähnlicher Form.

Erzähl doch mal lieber was du dir so vorstellst. So etwas was ganz gezielt ist, 100% sicher ist und jede Malware rausfiltert vllt? Alles ganz Easy ohne Aufwand und Hirnschmalz vllt?

BTW: PNs hab ich blockiert, nur wer in meiner Freundesliste steht, darf mir PNs schicken weil ich sonst in Nullkommanix ein volles Postfach hätte.

Sorry, die Antwort bezog sich auf deine Antwort in den anderen Threads zu dem Thema:
z.B. "was sollen wir jetzt machen, wir können die Dateien auch nicht entschlüsseln"
oder "Backup einspielen" war auch gut. Dort kann man ja leider nicht schreiben.

Meinen "Schwanz", den ich rausgeholt habe war die Antwort auf deine provokative Frage ob ich schon mal in einem "großen Unternehmen" gearbeitet habe.

Nichts für ungut, kannst den Thread löschen.

Die Frage in den anderen Thread war ernst gemeint. So ein brandneues Teil kann niemand so entschlüsseln, deswegen die Frage was der TO überhaupt erwartet.

Mal davon abgesehen, dass bei Datenverlust nix anderes mehr hilft als ein Backup: BITTE WAS FÜR EINE Antwort erwartest da???

Wenn man 30 Jahre in der IT gearbeitet hat, wirst du das doch sicherlich selbst wissen, dass man kaputte Daten nicht einfach so wiederbekommen kann! Aber wenn ich eine fachlich völlig korrekte Antwort gebe, dann wird das nicht akzeptiert. Was bitte soll sowas? Oder ist das einfach nur der Frust, der herrscht, wenn man Opfer so einer Attacke wurde und die Kollegen, die jahrelang zu DAUs erzogen wurden, vernünftige aber nervige Sicherheitsmaßnahmen ablehnen?

Beschreib doch einfach mal deine Vorstellungen. Es bringt dOch nichts irgendwelche Lügen zu erzählen, nur weil Betroffene so etwas gerne hören oder lesen wollen

Beim Tesla3 war es schon unmöglich irgendwas zu recovern. Hier schmal die FAQ von BC durch, und die Jungs dort haben richtig was aufm Kasten => TeslaCrypt and Alpha Crypt Ransomware Information Guide and FAQ

Der Trojaner wird jetzt erkannt: Es ist vermutlich Trojan.Crypt.SPC - ihn erkennt zumindest die aktuelle Version von Antimalwarebytes.

VG

Jo, mit ein paar Stunden Verzögerungen kommen die Signaturen dann rein. Dann ist der Schaden aber schon bei vielen passiert. Und die nächsten Versionen der ransoms, die noch nicht erkannt werden stehen schon in den Startlöchern.

Habt ihr keine AVs mit Verhaltenserkennung?

So, ich hab jetzt nach Diskussion verschoben, damit andere hier auch posten können.

Aber wirklich ehrlich gemeint: mich interessiert was Betroffene bei sowas hören wollen. Wenn es keine Möglichkeiten außer zu bezahlen gibt. Ich find langsam auch nervig, dass man immer wieder doof angemacht wird,einem dummes blabla unterstellt wird nur weil man nicht um den heißen redet und gleichzeitig wichtige aber unbequeme Sicherheitsmaßnahmen nicht umgesetzt werden wollen.

Heise berichtet jetzt auch => Erpressungs-Trojaner Locky schlägt offenbar koordiniert zu | heise online

Zitat aus dem Artikel: "Ein Leser berichtet uns, dass der Schädling bei mehreren seiner Kunden, die er als IT-Dienstleister betreut, am gestrigen Montag um 15:06 zugeschlagen hat. ".
Das ist unser TS !

Ja, Ransomware ist echt eine Pest und bei neuen Schädlingen gibt's erstmal keine Heilung. Besonders schlimm für kleine und mittlere Unternehmen.

M.E. sind die Infrastruktur und das Sicherheitsbewußtsein bei deutschen Unternehmen bei WEITEM nicht ausreichend sicher und ausgeprägt .

Zitat:

Zitat von Darklord666

M.E. sind die Infrastruktur und das Sicherheitsbewußtsein bei deutschen Unternehmen bei WEITEM nicht ausreichend sicher und ausgeprägt .

Joa, hast den TO ja gelesen:

Zitat:

Zitat von ITSF

Und sorry, mal nebenbei: Unser Unternehmen hat >50 Mitarbeiter und wir leben davon, das Kunden uns Bewerbungen und Lebenslaufe per Email schreiben. Wir erhalten täglich unzählige Worddokumente als Emails, die die Kollegen bearbeiten müssen. Wenn wir den Kollegen sagen öffnet keine Worddokumente von Personen die ihr nicht kennt, lachen die uns aus! Willkommen in der Realität und soviel zum Thema schult doch mal eure Mitarbeiter! Ach so, der Makroschutz von Word ist ne tolle Sache, aber wenn die eingesetzte Firmensoftware per COM-Automation Word-Formulare befüllen muss, was dann?

Wenn das Sicherheitsbewusstsein nicht da ist, keiner sich auch nur ein bisschen Basiswissen aneignen will und eh alle darüber sich kaputtlachen, dann kann das alles ja kein großes Problem sein

Es bleibt dann konsequenterweise nur eins übrig: Mails blocken was das Zeug hält und bei Bedarf freischalten. Und natürlich Virenscanner mit Verhaltenserkennung verwenden. Über tägliche Backups in Firmenumgebungen müssen wir ja nicht weiter diskutieren, oder?

Hallo,
Nun ja ...
1. Habe ICH keine Hilfe erwartet oder angefordert sondern wollte
2. lediglich auf die Existenz eines unbekannten Trojaner hinweisen.
3. Wenn man keine zielführenden Hinweise geben kann, kann man einfach auch mal nix schreiben
4. Habe ich nicht gesagt, dass wir keine Datensicherungen haben und den Client nicht schon isoliert hatten und das System wieder laufen könnte, sondern wir auf einen AV warten der den Trojaner erkennt - einfach um nicht morgen wieder anzufangen.
Na ja und du hattest dich ja sehr weit aus dem Fenster gelehnt, als du einen Dienst der die Shares überwacht ausgeschlossen hast. Denn möglicherweise war es genau so ein zeitgesteuerter Dienst, der am 15.02.2015 15:06 seine Arbeit begonnen hat. Auch eine Zeitsteuerung hast du für Abwegig gehalten, obwohl der Kollege gesagt hat, dass definitiv keiner zu der Zeit eine Mail geöffnet hat.

Zum Userverhalten stimme ich euch aber zu. Ein wenig liegt es auch daran, dass man die gute alte Email soweit aufgebohrt hat, dass es überhaupt erst möglich ist 20Mb Worddokumente in einer schicken Mail mit Briefpapier zu versenden. Ich denke Herr Tomlinson hat noch immer ein Grinsen im Gesicht.

So, zum Abschluss wollte ich aber noch sagen, dass deine letzten Postings auch wieder sinnvolle Hinweise enthielten und ich eure Arbeit natürlich sehr schätze. Nur manchmal ist eben weniger auch mehr... In diesem Sinne

Einen schönen Abend
Mario

Natürlich kann ich so einen Dienst, der alles monitored, nicht ausschließen. Vllt kommt sowas ja auch noch Zeitsteuerung hab ich nicht direkt ausgeschlossen, ok aber erwähnt, dass das Ding bei Ausführung verschlüsselt. Für die Zeitsteuerung muss aber nicht zwingend ein Dienst her. runonce und bei der nächsten Anmeldung oder geplante Aufgabe die gestartet und nach getaner Verschlüsselung gelöscht wird...

Und meine Einleitung klang auch schon ein wenig hart, sry dafür, aber Admin sein ist kein Zuckerschlecken da sind deutliche Worte zumindest manchmal besser als ein Kuschelwuschel-Ton

Und nochmal zum AV: wenn du eins willst, dass die Dinger schnappt, musst du eins mit Verhaltenserkennung nehmen. Emsisoft wäre da ein Beispiel, lt. unserem Kollegen schrauber schnappte das Teil bisher alle ransoms auch wenn die signaturbasierte Erkennung versagte.

Ah, ok vielleicht ist es jetzt Zeit uns von unserem Trend Micro Office Scan zu trennen. Ich werde mir Emsisoft auf jeden Fall ansehen. Gibt ja eine Testversion.

Danke