Zitat:

Zitat von cosinus

Ich denke da hat jmd auf "Inhalt aktivieren" geklickt und weiß es nicht mehr oder will es nicht wahrhaben ODER es wurde eine Sicherheitslücke ausgenutzt. Wäre möglich wenn man die Updates für MSO verschlampt.

1.) "Jemand" war ich persönlich. Und dieser jemand hat garantiert nicht "aktivieren" geklickt. Sowas von 100% nicht, und das hat nichts mit Nicht-Wahrhaben zu tun.

2.) Es wurde eine Sicherheitslücke ausgenutzt: Klingt am wahrscheinlichsten.

3.) Updates wurden keine verschlampt, diese sind auf automatisch machen konfiguriert und das Gerät ist beinahe immer online.

ANGEBOT:
Wenn du es nicht glaubst, die Mail habe ich noch, schick mir eine PM mit deiner E-Mail und ich leite dir auf eigene Gefahr den Goldeneye als Anhang zur weiteren Forschung weiter.
Der Anhang ist ein .xls (kein .xlsm) und daher möglicherweise eine Vor-2007-Version. Vielleicht probiere ich es selber auch nochmal mit einem separaten System aus.

Ich hab so ein Teil schon selbst gesehen und auch selbst aufgemacht. Ich hab nur die Arbeitsamt-Blume gesehen. Makros hätte ich selbst aktivieren müssen.

So unlogisch ist das nicht, es gibt Tools, mit denen man den Zeitstempel von Dateien und Ordner ändern kann.

unlogisch ist aber, dass einige Dateien einen neuen Zeitstempel bekommen haben und andere nicht. Geöffnet werden können beide nicht mehr, in einem Backup habe ich die Originale noch, und die gehen einwandfrei.

Ich glaube, ich habe eine Erklärung. Diese kommt aus dem MS-Sicherheitscenter.
Siehe Screen:
* MS-Office schaltet nur dann auf geschützte Ansicht, wenn ein Anhang über Outlook hereinkommt.
* Bei mir kam es über Thunderbird rein (ein Mailclient, der schon weit vor 2010 enorme Verbreitung hatte - Microsoft hätte ihn im Rahmen der Verpflichtung zur Förderung alternativer Formate mit akzeptieren müssen, so wie ja auch immer nach dem OpenOffice gefraqt wird.)



INTERPRETATION:
--------------------------
LEICHTSINNIG und schlecht gemacht von Microsoft!!!
Denn bei den gemachten Einstellungen ("manuell bestätigen") sollte man annehmen, dass in einem solchen Fall *alle* Makros vor Ausführung bestätigt werden müssen, also unabhängig davon ob von einer lokalen Festplatte (auch TEMP-Ordner des Mailprogramms) oder aus dem Netz.

Warum also steht die Einstellung auf "manuell bestätigen", ein separates Feld regelt den Eingang über Outlook. An sich sollte "manuell bestätigen" doch Priorität für alle Dateien haben oder nicht?

Was bringt dir das jedes irrelevante Detail zu hinterfragen?
Vllt gehört das zur Taktik der Betrüger, dass man nicht jeden Datumstempel ändert um es den Opfern zu erschweren eindeutige Kriterien zu bestimmen welche Dateien betroffen sind. Oder es ist schlicht un ergreifend ein Bug in der ransomware.

Wie gesagt, das ist ziemlich irrelevant. Wichtig ist, dass du ein aktuelles Backup hast.

Und auch wie gesagt, das Makro führt sich nicht ungefragt aus, da kann es nur die zwei Möglichkeiten geben: entweder selbst genehmigt oder irgendeine Lücke in MSO ausgenutzt.

Kann ich nicht nachvollziehen.

Wenn eingestellt ist alle Makros MIT BENACHRICHTIGUNG zu deaktivieren, dann darf kein Makro ohne Nachfrage ausgeführt. Völlig egal woher die Datei kommt. Woher will Windows denn überhaupt so genau wissen welche Quelle eine Datei genau hat

Zitat:

Zitat von cosinus

Kann ich nicht nachvollziehen.

Wenn eingestellt ist alle Makros MIT BENACHRICHTIGUNG zu deaktivieren, dann darf kein Makro ohne Nachfrage ausgeführt. Völlig egal woher die Datei kommt. Woher will Windows denn überhaupt so genau wissen welche Quelle eine Datei genau hat

Ja, genau das meine ich.
Office hat anscheinend so viele konkurrierende Regeln, dass man mit etwas Pech aus irgendeiner herausfällt und es passieren kann, dass dann doch in irgendeiner Konstellation irgendwas geöffnet wird.

Heisst eigentlich: die von Microsoft sollten sich die gesamte Makrofreigabe noch mal gründlich anschauen, denn so ist das nix.

Und es ist auch schon ganz schön deppert, dass man mit Makro überhaupt EXE-Dateien erstellen kann, die dann von Windows ungefragt ausgeführt werden

Man kann echt nur noch von diesem Microsoft Geraffel abraten und wo es nur geht statt MSO/Windows lieber LO/Linux verwenden.

Zitat:

Zitat von cosinus

Und es ist auch schon ganz schön deppert, dass man mit Makro überhaupt EXE-Dateien erstellen kann, die dann von Windows ungefragt ausgeführt werden

Man kann echt nur noch von diesem Microsoft Geraffel abraten und wo es nur geht statt MSO/Windows lieber LO/Linux verwenden.

Allerdings... hab mich mittlerweile fortgebildet: Das Makro wird bei WORKBOOK_OPEN ausgeführt (also bei öffnen der Excel-Datei) und lädt aus dem NETZ (!!!) eine Exe-Datei herunter, die es ausführt.

Mal im Ernst: Wenn schon Makros ausgeführt werden, dann muss doch SPÄTESTENS, wenn aus dem Netz .exe-Dateien heruntergeladen und ausgeführt werden sollen ein Alarm seitens Office angehen, völlig egal, was eingestellt ist.
DAS finde ich leichtsinnig von den MS-Entwicklern. Nein, eigentlich sogar fahrlässig!

Zitat:

Zitat von Ladekabel612

Ob du es glaubst oder nicht: Ich habe noch nie ein Systembackup gemacht. Und klar schauen die AV's dann blöd aus der Wäsche wenn der Trojaner mal loslegt. Aber mit dem richtigen Verhalten kommt es dazu erst garnicht

Richtig, nur weiss man nicht immer, was das richtige Verhalten ist.
In unserem Fall habe ich wie im Verlauf dieses Beitrags besprochen etwas Pech gehabt:

1.) Stellenausschreibung war vorhanden, wir erhielten eine HOCH personalisierte Bewerbung - und zahlreiche weitere hochpersonalisierte Bewerbungen. Also alles Mails, die bestellt waren, aber von logischerweise unbekannten Leuten kamen.

2.) Die xls-Datei war so wie es scheint von einer älteren Version, als Version Office 2010

3.) Excel war auf "nachfragen" konfiguriert. In einem Haken aber war geschrieben "Frage bei allen Dateien ab 2010 nach" (oder ähnlich, siehe Screen). Aus diesem Grund konnte die Datei -obwohl ich mich in Sicherheit wähnte es ja bestätigen zu müssen- sich durch die teilweise sehr widersprüchlichen MS-Absicherungen hindurchlavieren. Siehe hierzu auch die Beiträge oben.

DAS war mir nicht klar. Jetzt laden wir nur noch PDF, also gar keine Office-Dokumente mehr, was aber auch niemanden in Sicherheit hält, denn wenn erstmal jemand Schadware in pdf unterbringt - dann sind wir alle dran, du auch!

Zitat:

Zitat von StefanTr

Wegen meiner Frage nochmals: die Bekannte hat die Excel-Datei geöffnet incl. der Makrowarnung.
Kann man also sagen dass wenn eine Infektion mit Goldeneye stattgefunden hat, dass dann unmittelbar danach ein Reboot stattfindet und die Erpresser-Meldung erscheint?
Hoffe hier nun eine ernsthafte und hilfreiche Antwort zu bekommen; sorry wenn ich hier lese was manche Leute für einen Stuss schreiben

Goldeneye beginnt mit der Verschlüsselung dann, wenn das Makro gestartet wurde und anschließend das EXE aus dem Netz heruntergeladen wurde (das ist die Funktion des Makros).

Danach fängt er an zu verschlüsseln.
Vermutlich wird er bei einem Neustart erneut aktiviert und verschlüsselt weiter, das weiss ich aber nicht.

Sicherer ist solange es noch nicht vollverschlüsselt ist: Festplatte rausnehmen, neue einbauen und neues Betriebssystem drauf, dann die alte Festplatte als externe anschließen (nicht davon booten) und die noch nicht verschlüsselten Dateien auf das jetzt wieder saubere System übernehmen. Die anderen Dateien auf der nun neuen externen Platte aufbewahren, falls es mal eine Entschlüsselung gibt.

Grundsätzlich würde ich aber sagen: Man merkt, wenn Goldeneye die Dateien verschlüsselt hat ;-)

Zitat:

Zitat von StefanTr

Es war keine xls-Datei sondern ein PDF.
Hab mir das Mail nun auch mal angeschaut und das PDF nochmals geöffnet (das gleiche hat meine Bekannte auch gemacht.

Das PDF gilt als harmlos. Wenn keine xls-Datei dabei war, wird es wohl kaum Goldeneye gewesen sein.

Hallo zusammen,
ich habe einen Rechner von einer Bekannten bei mir, welche die Bewerbermail mit Goldeneye geöffnet hat.
Das merkwürdige ist nur, dass ein Neustart und die Erpressermeldung noch nicht aufgetreten ist.
Ich erkenne momentan kein außergewöhnliches Verhalten. Kann mir jemand konkret mitteilen, wie ich somit überprüfen kann, ob der Rechner überhaupt infiziert ist?

Was issen daran merkwürdig?
Nur die Mail öffnen verursacht keinen Schaden!
Und auch die PDF macht nix. Passieren kann erst was wenn das Makro in der Excel-Tabelle abgenickt wird.

Zitat:

Zitat von cosinus

Was issen daran merkwürdig?
Nur die Mail öffnen verursacht keinen Schaden!
Und auch die PDF macht nix. Passieren kann erst was wenn das Makro in der Excel-Tabelle abgenickt wird.

Mal ganz naiv oder blöd gefragt cosinuswenn man als User kein Excel installiert hat, ich hab nur ein Microsoft Word 2000 installiert, dann kann nix passieren?

Ich bin zwar nicht Cosinus, aber ich schätze mal, dass die Datei nur für Excel ausgelegt ist und sofern glaube ich nicht ausgeführt werden kann, wenn nur MS Word installiert ist. (Kann mich aber auch irren)

Ladekabel612, ich hab eh immer das Glück das bei mir in den E-Mail Postfächern keine dubiosen Mails landen mit infizierten oder soll ich lieber sagen bösenAnhängen die meinem System schaden könnten