Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Goldeneye: Excel-Anhang wurde auf Terminal Server Client geöffnet - Mit blauben Auge davongekommen?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.12.2016, 15:42   #1
TilRoquette
 
Goldeneye: Excel-Anhang wurde auf Terminal Server Client geöffnet - Mit blauben Auge davongekommen? - Unglücklich

Goldeneye: Excel-Anhang wurde auf Terminal Server Client geöffnet - Mit blauben Auge davongekommen?



Guten Tag,

ich bin kein Admin und auch kein IT-Fachmann (sondern Ansprechparnter unseres IT-Dienstleisters).

Wir haben vorgestern die "Bewerbung" mit dem Excel-Makro-Anhang per E-Mail bekommen, der Goldeneye verbreitet. Der E-Mail-Client (Outlook) wie auch Office 2010 laufen im Terminalserver. User hat dort keine Admin-Rechte.

Die Excel-Datei wurde geöffnet, der Button "Inhalte aktivieren" gedrückt und das Makro ausgelöst.

Ja, das war total blöde - bitte verkneift Euch ebenso blöde Sprüche - das hilft einfach grad gar nix

Allerdings war sehr schnell eine VBA-Makro-Fehlermeldung zu sehen (ich habe nirgends gelesen, dass diese Fehlermeldung "mit zum Trick" gehört). Daraufhin wurde die Excel-Datei wieder geschlossen.

Unsere Server laufen unter Windows 2008 R2: Terminalserver und Fileserver, auf zwei getrennten virtuellen Maschinen (VMWare).

Bis heute ist nix passiert:
  • Wir haben Terminal- und Fileserver mit unserem Virenschutz Trend Micro (erkennt angeblich Goldeneye) komplett scannen lassen - ohne Auffälligkeiten.
  • Es gibt auch nirgends die Textdateien, die Goldeneye ablegen soll.
  • Nach Schließen und Neustart der betroffenen Terminalserver-Umgebung gab es keinerlei Auffälligkeiten.
  • Bis jetzt sind keine verschlüsselten Dateien aufgetaucht.
Alles unauffällig.

Wir haben Datensicherung vom Terminalserver von einem Tag vor dem Vorfall auf unserem NAS (Synology). Datensicherung vom Fileserver war offenbar schon überschrieben, bevor wir die Backup gestoppt haben; der Stand von vor dem Vorfall ist leider schon 1 Woche alt (auf USB am NAS gesichert).

Sind wir mit einem blauen Auge davon gekommen?
Wenn nein: Was genau ist zu befürchten?
Mit welchen Maßnahmen soll ich meinen IT-Dienstleister beauftragen?

Danke für Eure Hilfe!!

Alt 09.12.2016, 15:54   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Goldeneye: Excel-Anhang wurde auf Terminal Server Client geöffnet - Mit blauben Auge davongekommen? - Standard

Goldeneye: Excel-Anhang wurde auf Terminal Server Client geöffnet - Mit blauben Auge davongekommen?



Wenn nix verschlüsselt wurde und der User auch keine Adminrechte hatte, müsst ihr den Dienstleister zu garnix beauftragen.

Solche ransoms verrichten idR sehr schnell sofort ihr Werk und stürzen sich auf alle Dateien, die sie zu fassen kriegen. Verschlüsseln können sie die, die der User alle erreichen kann, also auch Netzlaufwerke, und auf denen der User, der den Schund anklickte, auch Schreibrechte hat.

Wenn nun garnix verschlüsselt wurde muss ja irgendwas diese Fehlermeldung ausgelöst haben und das Ding wurde gestoppt bevor es überhaupt losging. Warum der Fehler kam kann dir allerdings niemand ohne die Fehlermeldung sagen.

Ist denn wirklich nix verschlüsselt? Auch Netzlaufwerke gesichtet?
Welche Schreibrechte auf welchen Netzlaufwerken hat der Unglücksraben-User denn?
__________________

__________________

Alt 09.12.2016, 16:09   #3
TilRoquette
 
Goldeneye: Excel-Anhang wurde auf Terminal Server Client geöffnet - Mit blauben Auge davongekommen? - Standard

Ich hoffe, Du hast recht



Zitat:
Zitat von cosinus Beitrag anzeigen
Warum der Fehler kam kann dir allerdings niemand ohne die Fehlermeldung sagen.
Wie das so ist: die Fehlermeldung wurde weggeklickt.
Leider finde ich die Quelle nicht mehr, aber von einer Makro-Fehlermeldung hat schon jemand berichtet und bei dem ist auch bislang nix passiert. Hängt vielleicht mit den fehlenden Admin-Rechten zusammen

Zitat:
Zitat von cosinus Beitrag anzeigen
Ist denn wirklich nix verschlüsselt? Auch Netzlaufwerke gesichtet?
Nun, wir haben nicht sämtliche Verzeichnisse und Dateien geprüft. Aber eine ausführliche Stichprobe zeigte keinerlei Probleme und wir arbeiten seit 2 Tagen ohne jede Störung am System.

Zitat:
Zitat von cosinus Beitrag anzeigen
Welche Schreibrechte auf welchen Netzlaufwerken hat der Unglücksraben-User denn?
Leider Schreibrechte auf alle Laufwerke einschl. NAS (allerdings ausgewählte Verzeichnisse)
__________________

Alt 09.12.2016, 16:32   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Goldeneye: Excel-Anhang wurde auf Terminal Server Client geöffnet - Mit blauben Auge davongekommen? - Standard

Goldeneye: Excel-Anhang wurde auf Terminal Server Client geöffnet - Mit blauben Auge davongekommen?



Also, Adminrechte werden definitiv nicht benötigt. Jedenfalls nicht um Files zu verschlüsseln. Adminrechte braucht Goldeneye dann, wenn es die MFT verschlüsseln oder Schattenkopien löschen will.

Man kann nur vermuten was da los war und die Fehlermeldung ausgelöst hat, vllt doch irgendwas Restriktiveres bedingt durch die Server-Edition von Windows? Oder einem Virenscanner? Man weiß es leider nicht.

Haben die Dateien auf den Netzlaufwerken denn was abbekommen oder sind auch da alle noch intakt?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.12.2016, 13:02   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Goldeneye: Excel-Anhang wurde auf Terminal Server Client geöffnet - Mit blauben Auge davongekommen? - Standard

Goldeneye: Excel-Anhang wurde auf Terminal Server Client geöffnet - Mit blauben Auge davongekommen?



Hatte die Meldung von heise nicht mehr komplett in Erinnerung, aber es wurde schon am 6.12. geschrieben, dass die vom Makro erstellten EXE Files unter Windows Server 2012 nicht laufen

https://heise.de/-3561396

Zitat:
Zitat von heise.de

Update - 06.12.2016, 14:36 Uhr

Der Schadcode läuft ersten Erkenntnissen nach nicht auf allen Betriebssystemen. Während der Trojaner unter Windows 7, Windows 10 und Server 2008 anscheinend problemlos Daten verschlüsselt, scheint dies auf Windows Server 2012 nicht zu funktionieren.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Goldeneye: Excel-Anhang wurde auf Terminal Server Client geöffnet - Mit blauben Auge davongekommen?
aktivieren, button, client, dateien, datensicherung, e-mail, einfach, fileserver, gestoppt, goldeneye, hilfe!, micro, neustart, office, outlook, ransom, scan, scannen, schließen, schnell, schutz, server, total, trend, usb, virenschutz, windows



Ähnliche Themen: Goldeneye: Excel-Anhang wurde auf Terminal Server Client geöffnet - Mit blauben Auge davongekommen?


  1. Email geöffnet mit Word anhang. Word Datai mit Namen Rechnung wurde geöffnet.
    Plagegeister aller Art und deren Bekämpfung - 27.02.2016 (4)
  2. Bei Rechnungsaufforderung Anhang geöffnet.
    Log-Analyse und Auswertung - 10.05.2015 (9)
  3. DHL Paketankündigung Anhang geöffnet
    Plagegeister aller Art und deren Bekämpfung - 01.04.2015 (19)
  4. DHL Anhang geöffnet
    Plagegeister aller Art und deren Bekämpfung - 17.03.2015 (9)
  5. UPS-Mail anhang geöffnet
    Plagegeister aller Art und deren Bekämpfung - 10.03.2015 (9)
  6. Windows7 64Bit: mit malwarebyts schädliche Elemente gefunden, außerdem wurde eine "Telekom-Rechnung" mit Anhang geöffnet.
    Plagegeister aller Art und deren Bekämpfung - 05.12.2014 (5)
  7. Anhang "Ihre _ Rechnung_ 05.11.2014. _ PDF.zip" zur Vodafon-Rechnung geöffnet und wurde zur exe-Datei
    Plagegeister aller Art und deren Bekämpfung - 13.11.2014 (9)
  8. Mail-Anhang wurde geöffnet 11-suche.xml (Win.Trojan.Agent-516645, Win.Trojan.Delf-12000)
    Log-Analyse und Auswertung - 19.04.2014 (3)
  9. Anhang mit Trojaner geöffnet
    Plagegeister aller Art und deren Bekämpfung - 22.07.2013 (19)
  10. Email Anhang geöffnet!
    Log-Analyse und Auswertung - 11.03.2013 (44)
  11. zip. Anhang geöffnet TR/Matsnu.EB.101
    Log-Analyse und Auswertung - 21.02.2013 (19)
  12. mms@t-mobile.de Anhang geöffnet
    Plagegeister aller Art und deren Bekämpfung - 03.02.2013 (1)
  13. Excel auslesen (C Sprache) Wie man eine Datei schreibt die die Excel ausliest.
    Alles rund um Windows - 11.01.2011 (0)
  14. DoS-Schwachstelle im SMB-Client von Windows 7 und Server 2008 R2
    Nachrichten - 12.11.2009 (0)
  15. Excel/Hyperlink - "Datei kann nicht geöffnet werden"
    Alles rund um Windows - 04.07.2008 (1)
  16. Windows Terminal Server...
    Log-Analyse und Auswertung - 08.05.2005 (6)
  17. Suche ne Terminal Client Server Software
    Netzwerk und Hardware - 13.10.2003 (1)

Zum Thema Goldeneye: Excel-Anhang wurde auf Terminal Server Client geöffnet - Mit blauben Auge davongekommen? - Guten Tag, ich bin kein Admin und auch kein IT-Fachmann (sondern Ansprechparnter unseres IT-Dienstleisters). Wir haben vorgestern die "Bewerbung" mit dem Excel-Makro-Anhang per E-Mail bekommen, der Goldeneye verbreitet. Der E-Mail-Client - Goldeneye: Excel-Anhang wurde auf Terminal Server Client geöffnet - Mit blauben Auge davongekommen?...
Archiv
Du betrachtest: Goldeneye: Excel-Anhang wurde auf Terminal Server Client geöffnet - Mit blauben Auge davongekommen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.