Verschlüsselungtrojaner (exe-Datei) installiert sich ohne Adminrechte
 

Hallo,

wie der Titel schon andeutet, geht es mir eher um das Warum, als um die Folgen der Infektion.
Der Trojaner kommt als Bewerbungsmail daher mit einer gepackten exe-Datei (zip-Archiv).
Nun kommt der Teil den ich nicht verstehe, der Trojaner installiert sich auch ohne Adminrechte wenn man auf die Anwendung klickt. Normalerweise müsste doch bei einer Anwendung das Abfragefenster für die Administratoranmeldung erscheinen?

Irrtum. Ein Schädling darf alles was der angemeldete Benutzer kann. Und ein Benutzer wird wohl seine eigenen Dateien beschreiben dürfen - deswegen darf ein Verschlüsselungstrojaner, der im Kontext des Benutzers (und ohne Adminrechte!) läuft, auch die eigenen Dateien ändern/löschen/verschlüsseln.

Ohne Adminrechte darf ein ransom aber keine Schattenkopien löschen das ist nämlich ein Systembereich.

Ja genau, damit ein Programm läuft, muss es nicht unbedingt vorschriftsgemäß in einem Systemordner installiert sein. Es gibt ja auch legitime Programme, die man z.B. als Portable-Version vom Stick aus laufen lassen kann. Die sind halt so geschrieben, dass die ausführbare Datei dann alle Komponenten, die sie braucht, findet. Theoretisch kann eine ausführbare Datei unabhängig von ihrem Speicherort ausgeführt werden.

Nicht nur theoretisch, das ist eigentlich die Regel. Wer Windows beschränken will, nämlich dass eben NICHT aus allen beliebigen Verzeichnissen was ausgeführt werden darf, muss aktiv handeln zB über die NTFS-Rechte oder bei Windows-Domänen könnte man entsprechende Gruppenrichtlinien definieren.

Ich glaub auch der Windows Defender in Windows 10 bietet so ne Funktion...aber Programmausführungen beschränken endet in klickdichtot Arbeit aus :D

Bei Linux kann man es etwas einfacher machen, dafür muss man aber entsprechend viel als separate Dateisysteme auf einzelnen Partitionen oder logical volumes erstellen für home, tmp, var und vllt noch /var/tmp und dann entsprechend in der fstab mit Option noexec und am besten noch mit nosuid

Danke euch, soweit verstanden. Also bleibt mir (Win7 pro) nur übrig, per Gruppenrichtlinie eine Softwareeinschränkung zu erzwingen.

ganz ehrlich ich würds lassen.

Lieber die dadurch gesparte Zeit in ein Backupkonzept investieren.

Ein Upgrade auf Windows 10 würde ich vorschlagen. Soll angeblich sogar noch kostenlos funktionieren. Also erst Backup wie Cosinus vorgeschlagen hat und dann einfach ausprobieren.
Windows 7 ist einfach überholt, auch wenn's noch Sicherheitsupdates bis 2020 gibt.
Mit Windows 10 hast du ein sehr stabiles und im Prinzip sicheres Betriebssystem und angeblich soll es ja dass letzte in der Windowsreihe sein, so dass man nur noch Updates benötigt und kein neues Betriebssystem mehr.

Ja schon, aber die meisten "normalen" Programme installieren ja noch allen möglichen Kram in ganz bestimmte Orte und wenn der nicht gefunden wird, läuft nix.

Ja das stimmt, aber ich meinte das prinzipiell. Bei Windows kann eine EXE irgendwo rumliegen, die ist erstmal immer ausführbar.

Was du meinst sind irgendwelche Abhängigkeiten wie libs oder so wo ein bestimmtes Programm erwartet, diese in einem bestimmten Pfad vorzufinden.

Wenn du dir die Mühe schon machen willst, solltest du mal einen Blick auf Restric'tor werfen.