Ja ich hab auch so eine Mail gesehen. Haben die Betrüger sich schon Mühe gegeben.
Die sah ziemlich echt aus, und v.a. wurde auch die Person aus der Personalabteilung mit richtigem Namen angesprochen - die Stelle auf die sich beworben wurde, passte auch zur Stellenanzeige.

Aber komisch war, dass es zwei Anhänge gab, eine PDF und eine XLS. In der PDF wurde man darüber informiert, dass alle Infos in der Exceltabelle stünden.

Leider gibt es ein es ein paar spezielle Deppen, die wirklich solche Bewerbungen schicken. Also wundern würde mich das nicht. Auch wenn in der Stellenanzeige steht, dass NUR PDF benutzt werden soll, wird oft ignoriert.

Zitat:

Zitat von TobiasChiCo

==> PROBLEM: Keine Aufforderung, das Ding führt SOFORT Makros aus und infiziert das ganze System. Doppelklick und man ist chancenlos. Alle Dateien werden verschlüsselt.

Wenn das der Fall ist, wurde Office vorher so eingestellt, dass es Makros immer aktiviert. Da das nicht die default Einstellung ist, kann man eigentlich nur schlussfolgern, dass jmd die Makroeinstellung verstellt hat.

Default lautet: "Alle Makros mit Benachrichtigung deaktivieren."

Das wurde verstellt, ob nun absichtlich oder nicht weiß ich nicht.

Zitat:

Zitat von TobiasChiCo

Weiss jemand, ob der Trojaner über das Windows selber gesteuert wird oder sich über die infizierten Dateien weiterverbreitet?
Würde heissen: Falls über OS könnte man ja die infizierte Festplatte als externe Platte anschließen und selektiv die noch nicht infizierten Dateien herunterziehen.

Die Frage ergibt so keinen Sinn.
Es gibt auch keine "infizierte Festplatte". Wohl aber kann auf der Festplatte eine Partition oder Volume eingerichtet sein, welches ein Dateisystem mit malwarefiles enthält. Aber nicht die Festplatte an sich.
Und es gibt auch keinen Grund die Platte auszubauen.

Zitat:

Ich hab jetzt eine neue Festplatte besorgt und mache gerade eine frische Windows-Installation (geringer Verlust, da ab und zu Backup, aber eben doch ein bisschen Verlust... verkraftbar).

Warum muss man deswegen eine neue Festplatte kaufen? wenn Windows neu installiert wird, Partitionen löschen und die Festplatte formatieren lassen mit dem Setup der Windows DVD, das "überlebt" auch der Goldeneye Trojaner nicht und zudem wird dabei auch der MBR der Festplatte neu geschrieben. Den gleichen Effekt hättest du, wenn du von der Festplatte des betroffenen PC's ein sog. Komplettbackup hättest, wenn das eingespielt wird, dabei wird auch alles überschrieben inkl. den MBR der bei solchen Backups auch mitgesichert wird. Generell: wie ich gestern schon im CB Forum einem User schrieb: egaol ob Cerber, Locky oder eben Goldeneye usw: wichtig ist das man auf offline USB bzw externen Festplatten regelmässig Datensicherungen macht und idealerweise auch mit Backup bzw image Programmen sog. Komplettbackups bzw Komplettimages vom Windows System der Computer macht bei denen man vorbeugen will.

Zitat:

Zitat von cosinus

Wenn das der Fall ist, wurde Office vorher so eingestellt, dass es Makros immer aktiviert. Da das nicht die default Einstellung ist, kann man eigentlich nur schlussfolgern, dass jmd die Makroeinstellung verstellt hat.

Default lautet: "Alle Makros mit Benachrichtigung deaktivieren."
Das wurde verstellt, ob nun absichtlich oder nicht weiß ich nicht.

Es handelt sich um Office 2010. Es wurde nichts vom default verstellt. Sonst fragte Excel immer bezüglich "Bearbeitung aktivieren" und Makroausführung. Diesmal nicht.
Die Datei kam als .xls daher, nicht als .xlsm

Zitat:

Zitat von cosinus

Die Frage ergibt so keinen Sinn.
Es gibt auch keine "infizierte Festplatte". Wohl aber kann auf der Festplatte eine Partition oder Volume eingerichtet sein, welches ein Dateisystem mit malwarefiles enthält. Aber nicht die Festplatte an sich.
Und es gibt auch keinen Grund die Platte auszubauen.

Der Goldeneye verschlüsselt die Dateien so schnell er kann, aber eines nach dem anderen. Es hat mir Zeit gegeben einige wichtige Ordner noch schnell auf eine externe Festplatte zu schieben.
Als ich ausgeschaltet habe war er noch nicht komplett durch mit der Verschlüsselung, was bedeutet, dass noch zahlreiche unverschlüsselte Dateien auf der Festplatte sind.

Klar, eine Formatierung überlebt auch Goldeneye nicht, leider aber die noch unverschlüsselten Dateien auch nicht.

Die Frage bezog sich daher darauf, ob bei einem anklemmen der alten Festplatte (die ich noch nicht löschen will) an das neue System, dieses neue System mit infiziert wird, oder ob das nur bei Ausführung/Öffnen von infizierten Dateien passiert.
Die Denklogik lautet so: Wenn es betriebssystemgesteuert ist, dann dürfte eigentlich nichts passieren mit einem frischen Windows, wenn es filegetriggert ist, dann sollte man die Files nicht anklicken und die nicht-infizierten darum herum herausfischen.
Leider kenne ich aber das Verhalten des Trojaners nicht und weiss nicht, was passiert.
Werde es auf einem anderen Altsystem mal testen...

Grüße Tobias

Zitat:

Die Frage bezog sich daher darauf, ob bei einem anklemmen der alten Festplatte (die ich noch nicht löschen will) an das neue System, dieses neue System mit infiziert wird, oder ob das nur bei Ausführung/Öffnen von infizierten Dateien passiert.
Die Denklogik lautet so: Wenn es betriebssystemgesteuert ist, dann dürfte eigentlich nichts passieren mit einem frischen Windows, wenn es filegetriggert ist, dann sollte man die Files nicht anklicken und die nicht-infizierten darum herum herausfischen.
Leider kenne ich aber das Verhalten des Trojaners nicht und weiss nicht, was passiert.
Werde es auf einem anderen Altsystem mal testen...

Ich würde die Festplatte an einem unwichtigen PC anschliessen und dann erstmal die Festplatte mit 1 oder 2 Antivirus Live CD's überprüfen, okay du musst halt kurz für die Antivirus Live CD deren Signaturen aktualisieren, aber wenn möglich mach danach das Internet wieder aus und zudem: wenn du von einer Live CD bootest hat ja dann Goldeneye keinen Zugriff auf das Windows auf dem PC. Dann mit den Scannern bereinigen bevor du versuchst von der Festplatte noch Dateien zu retten. Wenn du das dann gemacht hast, kannst du die Festplsatte formatieren und wieder benutzen.

Zitat:

Zitat von TobiasChiCo

Es handelt sich um Office 2010. Es wurde nichts vom default verstellt.

Und genau das kann nicht sein. Denn die default Einstellung lautet wie ich sagte:

Alle Makros mit Benachrichtigung deaktivieren.

Das kannst du auch schlecht widerlegen, ich hab eben selbst noch ne Installation von einem Office 2010 Standrad gemacht und die Einstellung war auch so.