Verschlüsselungstrojaner erkennen
 

Ich bin heute Opfer von einem Verschlüsselungstrojaner geworden:
hxxp://www.heise.de/newsticker/meldung/Verschluesselungstrojaner-Neue-TeslaCrypt-Version-grassiert-3037099.html

Ich habe die .js-Datei angeschaut und es wurden beim Öffnen Daten nachgeladen und wohl eine .bat-Datei zum verschlüsseln gebaut.

Ich habe TrendMicro als Virenscanner im Einsatz und dieser hat nicht reagiert. Ich habe die .js-Datei bei virustotal.com hochgeladen und dort haben nur 6 Engines etwas entdeckt.

Gibt es eine Methode um sowas zu erkennen?

Den Rechner hab ich platt gemacht und ein Backup von gestern eingespielt.

:hallo:
und bemühe mal Tante Google. Der Suchbegriff lautet: Brain 1.0:applaus:

Das war wahrscheinlich dein Fehler und hat den Verschlüsselungstrojaner aktiviert.
Vorbildlich:daumenhocwenn nur mehr User regelmässig Systembackups und Sicherungen ihrere privaten, wichtigen Daten machen würden, hätten die Helfer hier nicht so viel zu tun.

Nochmal, Du nervst.
Ich habe dem TO schon sinngemäß mitgeteilt, dass man nicht jede Mail anklicken darf:headbang:

Ich vermute mal eher, y3XN hat die .js angesehen, NACHDEM er/sie gemerkt hat, was los war. Um zu verstehen, wie das gelaufen ist. Ausführen und mit einem Editor ansehen ist doch ein Unterschied.

Zur eigentlichen Frage weiß ich nichts besseres, als fragliche Mailanhänge entweder gleich ungeöffnet zu löschen oder eine Woche ungeöffnet liegen zu lassen und dann (natürlich immer noch ungeöffnet) bei Virustotal hochzuladen

oder, wenn man unbedingt so mutig sein will und unbedingt anhänge öffnen will, dann sollte man ein AV nutzen dessen Echtzeitschutz Ransomware erkennt und blockt.

Schöne Schleichwerbung für Emsisoft:kaffee:und wenn es in die Hose geht und der Ransom von Emsisoft nicht erkannt wird und alles wird verschlüsselt, dann haftest du natürlich dafür oder was:pfeiff:

kann ich was dafür dass deine ach so tolle Freeware bei dem Thema eben total hinterm Mond lebt mit Erkennung? In Sachen Ransom gibt es keinen besseren Schutz.

nö, deswegen sag ich ja, wenn man mutig ist.

Das behauptest du, kannst du es auch mit Fakten belegen das andere Virenschutzlösungen wie zum Beispiel BitDefender oder HitMan Pro nicht mindestens genauso gut vor Ransoms schützen wie Emsisoft?
Im Gegensatz zu manch anderen Usern verlasse ich mich nicht nur auf ein Virenschutz Programm in Sachen Ransom Schutz sondern hab regelmässige Backups meiner Partitionen da zum einspielen und Datensicherungen, beides auf einer USB Festplatte die nur dafür eingeschaltet/angeschlossen wird.

Besser kann man es auch bei diesem Beitrag nicht sagen.

man man man purzel, es geht hier nicht um Backups, die sind wichtig keine Frage, helfen dir aber auch nicht bei der Frage weiter wie man ransoms erkennt

Stimme ich dir sogar zu cosinus, was ich im vorherigen Posting sagen wollte ist das selbst das beste AV mit dem besten Ransom Schutz keine Garantie dafür ist das alle Ransoms erkannt werden. Auch meine Backup Strategie ist kein 100% iger Schutz aber so lange die Festplatte mit Backups nicht angeschlossen bzw eingeschaltet ist(und das ist selten der Fall), hat auch kein Ransom Zugriff auf die Backups auf der USB Festplatte und im Falle eines Befalls bzw Verschlüsselung meiner 3 Partitionen könnte ich mittels Backup Rettungs Medium die 3 Partitionen wiederherstellen.
In Sachen Freeware AV bei mir liegst du zur Zeit falsch mit deiner Vermutung schrauber: http://abload.de/thumb/1bfxf0.jpg http://abload.de/thumb/27qxc4.jpg

Extra für schrubber, frische leckere Screenshots vom Screenshot-King!! :rofl:

Ich weiß ja was ich "schrubbi":D "schuldig" bin:rofl:

ohne worte.....

Du hast nicht zufällig noch die JavaScript Datei? :)

Ich glaub der TO wurde verscheucht :blabla:

Er braucht ja keinen Helfer mehr nachdem er das gemacht hat.

Trotzdem wurde er von dir verscheucht :twak:

Das behauptest du http://www.smilies.4-user.de/include...e_star_004.gif:zunge:

Als wie DarthVader kommst du mir nicht vor, eher wie einer, dem seine Oma die Milchschnitte in den Jutebeutel noch gelegt hat :rofl:

Hey Ho!
ein bekannter hat sich auch den TeslaCrypt3 eingefangen. Bin grad dabei zu reten was zu reten ist (einiges wurde nicht verschlüsselt, ist das normal?) und hab dabei auch den Übeltäter in seinem Emailpostfach gefunden.
Hab mir die .js mal angeguckt und verstehe absolut gar nichts. Bin deshalb hier her gekommen um zu fragen, ob ich den Code hier einstellen darf um der Sache zusammen mit der Community etwas auf den Zahn zu fühlen und dann hab ich diesen Thread gesehen und der passt ja perfekt :)
Dass damit der PC nicht wieder sauber wird ist mir klar, darum geht es mir auch nicht. Mich würde viel mehr interessieren wie das teil genau funktioniert. Der Kollege hat z.B. (in unregelmäßigen Abständen) seine Daten (hauptsächlich Bilder) auf einer externen Festplatte gesichert. Ich würde jetzt gerne wissen, kann ich die HDD problemlos an das neue System anschließen, oder besteht die gefahr, dass sich die Infektion wieder überträgt? Momentan weiß ich noch nichtmal, ob die Daten auf der externen nicht auch verschlüsselt sind. Wollte sie sicherheitshalber erstmal nicht anschließen, für den Fall dass sie noch nicht verschlüsselt sind, nicht dass sies dann werden.
Also, kann ich den Code hier reinstellen oder jemandem schicken? Oder ist das eher nicht erwünscht? :)

Frag mal Deathkid535 per PN, der hatte nämlich Interesse daran und den Code würde ich nicht so ins Forum stellen sondern nur dann per PN oder E-Mail an User die daran Interesse haben, den so weitergeben.

Die vermutliche Teslacrypt3 Datei von s0nny wird beschämenderweise von Avast immer noch nicht erkannt: https://www.virustotal.com/de/file/3...is/1455646638/, hab die denen jetzt geschickt damit die endlich mal reagieren:schrei:. AVG hingegen macht kurzen
Prozess damit, erkennt es sofort egal ob per Scan oder auch wenn ich das Zip File entpacke:

/edit
Bilder etwas entschärft, aber nicht komplette Verlinkung entfernt. Besuch von "abload" auf eigene Gefahr.

hxxp://abload.de/image.php?img=17wjlz.jpg
hxxp://abload.de/image.php?img=22jk3k.jpg
hxxp://abload.de/image.php?img=3l5jfa.jpg
hxxp://abload.de/image.php?img=44sjzb.jpg
hxxp://abload.de/image.php?img=5nujut.jpg
hxxp://abload.de/image.php?img=6j2kn2.jpg

//edit
cosinus

Sogar meine VM mit Win7 ohne Virenprogramm (nur der integrierte Win Defender) hat die Datei erkannt.
Habe die Datei jetzt etwas "reversed engineered", bin aber noch nicht ganz fertig und verstehe auch nicht alles. Was ich aber rausgekriegt habe, sind unter anderem 2 URLs, welche beide auf eine 93.exe zeigen. Virustotal sagt bei einer sie wäre sauber, bei der anderen erkennt er, dass die Seite Malware enthält, genaueres aber nicht.
Die .js lädt das Teil also auch nur nach.

Bin grad noch dabei ein paar Strings zusammenzusetzen, komme aber nicht ganz mit dem WScript-Objekt klar, welches wohl letztendlich die Verbindung aufbaut und Registryeinträge vornimmt (?).
Kennt sich vll jemand damit aus?

Edit:
Normalerweise hätte ich gesagt, die Server auf denen die infizierte exe liegt sind sicher nicht vom Urheber, allerdings sind beide URLs recht ähnlich.
"hxxp://helloguys**.**"
"hxxp://sowhatsupwithit**.***"
die letzten beiden Zeichen der TLD sind jeweils 2 gleiche Buchstaben
War da vll doch jemand so doof und hat da seinen eigenen Server für verwendet? Oder nur Zufall? ^^

Die Antwort von Avast:
Als ich gestern das Zip File von dir entpackt hatte und die Datei darin ausführte, tat sich rein gar nix, war schon darauf gefasst das das verschlüsseln anfing, aber es passierte rein gar nichts. Hab mit den Dingern aber auch keinerlei Erfahrung.

Und Dir gebe ich den Rat, einen ordentlichen Speicherort für Bildschirm-Screens zu suchen.
Da lädt man sich ja mehr Schadsoftware und andern Blödsinn herunter, als man Haare auf dem Kopf hat.

:) Da war die Moderation schneller. Wollte gerade den Beitrag melden. Der Nutzer Purzelbär sollte aber doch eine Ermahnung und ein paar Hinweise seitens der Boardleitung erhalten. Jeder unbedarfte Windows-User hätte sich hier einen Haufen Müll eingefangen.

noscript und die Sache ist geritzt :blabla:

Kannst du mal gucken ob du in %TEMP% eine 2097152.exe liegen hast? soweit ich das verstehe sollte das die im hintergrund geladene exe sein.

Welchen Bilderhoster ich nutze und wo ich die Screenshots dann speichere, ist nicht Dein Problem, geht Dich nichts an.

Meinst du nicht auch, dass der Dateiname eher durch den Zufall erzeugt wurde?

Nun tritt euch doch nicht gleich in die Eier :twak:
Purzel, das TB hat hier extra eine Dateiuploadfunktion, auch für Bilder :kaffee:

Ich seh da nichts drin: http://abload.de/thumb/bild2184ob3l.jpg

Ich weiß cosinus aber ich bin den von mir genutzten Bilderhoster seit Jahren gewohnt.

nein, laut der .js wird das teil in %TEMP% mit dem namen Math.pow(2, 24) +".exe" gespeichert

Edit:
hab grad mal auf dem infizierten Rechner geguckt den ich hier hab, da existiert diese Datei auch nicht. Vll löscht sie sich anschließend automatisch

Ist mir schon klar und ich bin ja nicht mit MS unterwegs:)
Mir geht es hier eher um unbedarfte W-Nutzer. Die laden sich hier Schrott herunter, der dann hinterher wieder bereinigt werden muss.
Ich habe den bewussten Knopf mal gedrückt.

Muss man eigentlich damit die invoice_Yknrzy.xls ausgeführt werden kann um dann zu verschlüsseln ein bestimmtes Programm installiert haben oder bei einem Programm eine bestimmte Funktion aktiviert haben? Bei mir steht da öffnen mit: Microsoft ® Windows Based Script Host wenn ich in Eigenschaften schaue.

purzel, deinem letzten Screenshot entnehme ich, dass du dir sträflicherweise nicht grundsätzlich die Dateiendung anzeigen lässt!! :nono:

Steh bei dir wirklich invoice_Yknrzy.xls oder nur invoice_Yknrzy ohne das .xls?

die Datei heißt eigentlich invoice_Yknrzy.xls.js

cosinus, helfen dir die 2 Bilder? http://abload.de/thumb/bild30ysu7.jpg http://abload.de/thumb/bild42ss0c.jpg
Und was müsste ich machen wenn ich mir Dateiendungen anzeigen lassen wollte? Nächste Frage: warum wurde mein System gestern als ich noch Avast hatte nicht infiziert/verschlüsselt als ich die entpackte Datei öffnete ?
Edit: muss bei Ordneroptionen der Haken raus bei Erweiterungen bei bekannten Dateitypen ausblenden raus?

So, hab das ganze jetzt zerlegt und kommentiert. Wenn du Fragen dazu hast kann ich dir das gern PMen :)

Übrigens sind die Links kaputt, deshalb geht da nix mehr.

http://www.trojaner-board.de/attachm...1&d=1455653144

Genau wie ich befürchtet hab. Das Teil tut nur so als sei es eine Excel-Tabelle...die echte Endung (.js) siehst du nicht, wird unterdrückt. Geh mal in die Ordneroptionen und nimm den Haken raus...

http://www.winboard.org/attachments/...dateitypen.jpg

Die hab ich ja schon hier gestellt:)
Mach ich umgehend cosinus. Was ist dann jetzt der Vorteil dabei wenn ich bei der Option den Haken raus habe?

Du siehst jetzt in jedem Fall die Dateierweiterung.
In diesem Fall hast du dir ja z.B. die vermeintliche .xls Datei runtergeladen und wärst möglicherweise, da du ja weißt dass es sich um eine Excel Datei handelt, dazu bereit sie zu öffnen.
Lässt du dir die Dateierweiterung allerdings anzeigen, dann siehst du, dass hinter dem .xls noch ein .js kommt und du lässt vll lieber die Finger davon.
Oder anderes Beispiel, du bekommst ein Bild mit dem namen "titten.jpg" und willst es öffnen, eigentlich heißt die Datei aber "titten.jpg.exe" :blabla:

Sowas klickt purzel immer an. Dicke Ohren lässt er sich nicht entgehen, außerdem schützt ihn ja Avast ;)

Ich hätte nicht gewusst das es eine Excel Datei ist, hatte noch nie Excel installiert und seit Windows 7 ist auch Java nicht mehr installiert.
Wenn ich also Excel und Java installiert hätte und hätte die Datei geöffnet, hätte es mich auch erwischt?
Ja und Amen cosinus:)
Ergänzend: ich hatte zuerst auch noch zusätzlich BitDefender AntiCryptoWall installiert gehabt und später Malwarebytes stattdessen Malwarebytes Anti Ransomware und beide reagierten jeweils auch nicht beim öffnen der Datei.

So einen User hatt ich sogar schon mal...

Hat wahrscheinlich geglaub, dass er sich ein Video anschauen kann und plötzlich ein Screenlock. Blöd gelaufen :D

Das kommt davon wenn er es so nötig hat Notgeil sein zu müssen:blabla::Boogie:

Uhh.... xD wo bleibt der Datenschutz Dennis. Einmal nach deinem Text suchen und man weiß welcher User das ist ;)

Um das: http://www.trojaner-board.de/175739-verschluesselungstrojaner-erkennen-2.html#post1562334 von mir aufzugreifen: Avast hat jetzt reagiert und seine Erkennung für das Teslacrypt3 File angepasst:

Anbei jetzt die Erkennung per Avast beim Versuch das Zip File entpacken zu wollen.

und genau das ist der punkt. im nachgang ne signatur bauen ist bei ransomware einfach zu spät.

In dem Punkt stimme ich dir zu schrauber, da hätte Avast so wie andere Hersteller früher reagieren müssen:nono:und wenn ich die Datei denen nicht eingeschickt hätte, hätten die vermutlich heute noch keine Signatur/Erkennung dafür:nono:
So viel also auch zum Thema das ich Avast immer nur schön reden und bis aufs letzte verteidigen will:pfeiff:
Mit der beste Ransom Schutz wenn man AV's ausklammert und keine unbekannten E-Mail Anhänge öffnet ist meiner Meiung nach immer noch wenn man so etwas wie zeitnahe Backups/Images(siehe Bilder)hat für alle Betroffenen wenn man doch Opfer einer Ransomware wird wobei man die USB Festplatte aber auch nur dann anschliessen bzw einschalten sollte wenn man die wirklich benutzen will und man sie braucht. Das einspielen eines Backups der Systempartition C dauert bei mir 25-30 Minuten und das einspielen eines Backups der gesamten Festplatte mit allen 3 Partitionen ist nach 45 Minuten erledigt.

purzel, signaturbasierte Erkennungen sind bei ransoms einfach Mist, das ist immer zu spät. Egal ob bei Avast, den anderen von Triple-A oder sonstwas. Man braucht eine zuverlässige verhaltensbasierte Erkennung für die, die alles anklicken...

Ich gebe ja zu cosinus damit hat Avast aber nicht nur die und Tripple A ein Problem aber fairerweise muss man auch sagen das da AVG schon länger als Avast eine Erkennung dafür hatte. Und wenn ich das glauben darf was andere User in anderen Foren geschrieben haben mit Verweisen auf youtube Videos, dann soll AVG nicht mal schlecht sondern eher gut sein bei Ransomware. Selbst kann ich das aber nicht beurteilen.
Ich weiß was du meinst: EAM, aber selbst wenn denen ein Ransomware durchgeht, kann man als User froh sein wenn man das gemacht hat was ich im 2. Abschnitt meines vorherigen Postings geschrieben habe.

Nenn mit ein anderes gutes AV mit Verhaltenserkennung :D selbstverständlich darf es nicht durch Junkware schon im Vorfeld disqualifiziert sein ;)

Du denkst du bist fies:eek::blabla:okay was sagst du zu BitDefender und zum EAM Klon Ashampoo Antivirus:zunge:

also bis dato ist uns kein ransom durchgegangen ;).

im gegenteil:
wir bauen noch fleißig decrypter für die mit andern av, bei denen regelmäßig was durchgeht ;)

Kann Emsi nicht mal ne UTM bauen :D

Tja, einmal ist immer das 1.Mal: https://twitter.com/PayloadSecurity/status/700626273316384769

Wo genau steht da was über Emsi?

Da steht u.a., das gar kein Scanner den modifizierten Locky erkannt hat (also auch EMSI nicht).

Gib mir 20 Minuten, dann ist meine VM inklusive Emsi rdy :)

Aber auf VT gibts nur die Heuristische Analyse, keine Verhaltensanalyse.

Ja und? VT nutzt nicht die verhaltensbasierte Erkennung. Insofern solltest du mit solchen Kommentaren vorsichtiger sein. schrauber schriebt schließlich kein Dünnschiss, er verbreitet auch keine Lügengeschichten ;)

So, habs getestet:

Verhaltensanalyse hat sofort angeschlagen.

Danke für den Test, dann behält schrauber ja doch Recht ;)

Welches hast du da jetzt getestet? das von s0nny das ich auch da habe oder eine andere Variante? wenn andere Variante, könntest du mir das "zukommen" lassen?

Ist doch alles im Link von Cimba :).

Ich will da jetzt keine Anleitung dazu posten sry. Aber wenn du das nicht findest schick mir eine PM.

Danke für die PN mit dem File Dennis:daumenhocso bald ich das 7 Zip File entpacken will, "bellt" Avast los und verhindert das obwohl Avast doch so schlecht sein soll bei den Ransoms:

Deaktivier doch mal den File-Scanner und probiers mit der Verhaltensanalyse ;)

Dann sieht Avast alt aus wenn ich den Dateisystemschutz deaktiviere und das 7 Zip File entpacken will, da macht Avast keinen Mucks und es wird anstandslos entpackt:eek:

Verhaltensanalyse springt ja auch erst an, sobald die Datei läuft.

Also müsste ich dafür versuchen die entpackte svchost.exe Datei zu öffnen?:eek:

Genau so. Die siehst ja erst wie eine Datei sich verhält wenn sie ausgeführt wird.

Also mit Dateisystemschutz ist der Schutz von Avast da und die Datei wird in Quarantäne verschoben wenn ich die ausführen will aber mit ausgeschalteten Dateisystemschutz muckst sich Avast nicht und nach geschätzten 4-5 Sekunden nach ausführen der Datei hab ich den PC am Schalter des Netzteils ausgeschaltet:eek:kurz gewartet und dann wieder booten lassen. War wohl zu wenig Zeit für Locky mir Dateien zu verschlüsseln.

Du sollst doch nicht Ransomware auf deiner Host-Maschine ausführen...

Deinen Temp-Ordner auf jeden Fall leeren. Der Verhaltensschutz kann erst anspringen sobald sich irgendetwas tut. Wahrscheinlich wartet Locky am Anfang noch auf die Verschlüsselungskeys vom Server.

@Deathkid535
Ich hab dir doch dazu etwas per PN geschrieben. Die Boot CD von Paragon ist schon im CD Laufwerk drin und die Hand wäre auch gleich am Schalter der noch ausgeschalteten USB Festplatte gewesen. Ich hab wahrscheinlich zu meinem Glück nicht lange genug gewartet bis Locky in Aktion hätte treten können.

Ich bin mir nicht 100% sicher, wie das bei AVAST 2016 ist, aber bei der 2014er Version wurde der Verhaltensschutz im Dateischutzmodul integriert, insofern kann man wohl das Verhaltensmodul von AVAST vermutlich nicht explizit testen.

purzelbärchen entdeckt das Feuer und spielt damit :blabla:

Bei Avast ist ja DeepScreen der Verhaltensschutz und meiner Meinung nach auch der Gehärtete Modus, beide waren aktiviert.

Meine VM die für Avast bestimmt ist bootet schon, also Ergebnisse kommen bald :)

Bingo in dem einem Fall Locky:blabla:und für den Fall der Fälle hätte ich ja Paragon:zunge::daumenhoc

Ja schaut nicht allzu rosig für Avast aus.

Ich hab nur die Optionen "beim Ausführen überprüfen" und "beim Schreiben überprüfen" deaktiviert. Ist ohne irgendwelche Meldungen durchgelaufen.

Im Dateisystemschutz? den kannst du doch einfach ausschalten und dabei DeepScreen und den Gehärteten Modus trotzdem aktiviert lassen. Aber mal ehrlich Dennis: welcher normale User macht bewusst den Echtzeitschutz seines AV's aus und lässt aber die Verhaltensüberwachung an?

Jo im Dateischutz. DeepScrean, Heristik und HIPS waren an. Gehärteter Modus ist standardmäßig aus, deshalb hab ich den auch nicht aktiviert.

Puuuhh, mutig sind die schon 10 Bitcoins zu verlangen :o :eek: (~3.500€)

Ich will AVAST nicht krampfhaft verteidigen, aber... ;)

So wie ich das hier:
hxxp://forum.avadas.de/threads/3260-Avast-DeepScreen

verstehe, ist der Dateischutz mit DeepScreen recht eng verknüpft, wenn man dann "bei ausführen" raus nimmt, fehlen ja mehrere Bewertungskriterien für Deepscreen, oder sehe ich da was falsch?

Ich verstehe das auch so wie du Cimba, hab es gerade gelesen. Aber bleibt festzuhalten: Avast schützt im Normalfall vor dieser Locky Ransom Datei die mir Dennis zur Verfügung gestellt hat.

Cimba nehme ich die Antwort nicht übel. @Purzelbär: Ich habe den Eindruck, dass Du es niemals begreifen wirst. Deathkid535 sprach von virtuellen Maschinen, nicht von Produktivrechnern. Die kann man mal versauen und dann entweder auf einen früheren Zustand zurück setzen oder eliminieren.

Rate mal was ich gerade gemacht habe? denkst du ich hätte mein System so gelassen auch wenn der Ransom Locky offensichtlich nichts verschlüsselt hatte? falsch gedacht: ich hab mein vorgestriges Komplettbackup meiner gesamten Festplatte mit allen 3 Partitionen eingespielt. So weiß ich das da garantiert nichts da ist vom Ransom Locky den ich von Dennis bekam.

Du hast meine Antwort und die Aussage von Deathkid535 nicht verstanden und wirst sie auch nicht verstehen. Guter Rat: Höre auf, mit Deinen Produktivsystemen irgendwelche Experimente zu veranstalten.Irgendwann geht das in die Hose.

Für alle nicht so Experimentierfreudige hier ein nettes Video dazu von Sempervideo:

https://www.youtube.com/watch?v=331Fzhc_6nM

Schätze mal wie oft ich so etwas wie mit dem locky Ransom hier mache.......du kommst nicht drauf. Und wenn Dennis dann noch schreibt: "klasse" Tipp das man den Echtzeitschutz deaktivieren soll während man das Ransomware File ausführt:eek: Andersrum frage ich mich auch ob es nicht auch Malware gibt, der es gelingen könnte VM's und Sandboxen zu umgehen, die zu täuschen um dann auf das Produktivsystem zu gelangen auf dem die VM oder Sandbox läuft?

Gerade bei chip.de gesehen, die schreiben dort das das Freeware Anti Ransomware Tool von Malwarebytes auch vor dem locky Ransomware schützen soll: http://www.chip.de/downloads/Locky-Virus-Ransomware-Blocker-von-Malwarebytes_89919790.html

MBARW ist noch in der Beta, du verlierst ein paar Dateien (2-5), bevor es aufschreit.

Ich kann das nicht beurteilen Dennis, hab nur den Artikel bei chip.de gesehen und verlinkt als Information. Aber selbst wenn es so ist wie du schreibst und es gehen 2-5 Dateien verloren, dann wäre das lange nicht so schlimm als wenn locky richtig aktiv werden könnte um alles zu verschlüsseln was er erwischt auf den PC's der User.

Zu der Frage wegen Sandbox/VM umgehen: Unter der Voraussetzung, dass alles sauber aufgezogen wurde, halte ich es für so wahrscheinlich wie sich an der Ampel im Auto mit der Grippe von dem Fahrer des Autos nebenan anzustecken, wenn es sich nicht um Cabrios handelt und Fenster zu sind :)

Irgendwo bei Rokop oder im CB Forum hab ich mal etwas aufgeschnappt das Hacker daran arbeiten würden, Malware zu entwickeln die auch aus Sandboxen bzw VM's rauskommt, deshalb auch hier die Frage ob dazu jemand etwas weiß ob es das schon gibt?
Jetzt bin ich mal gemein zu dir:blabla:unterschätze nicht die Lüftung und Klimaanlage der Autos:blabla:

Ich hätte doch Aids statt Grippe wählen sollen... :aufsmaul:

Daran arbeiten (wohl eher forschen^^) ist das eine, technisch sehe ich ohne Sicherheitslücken zumindest für den Weg virtuelle Maschine -> Host keinen Weg.

Aber gut - ich bin auch kein Trojanerentwickler ;)

Hat jemand zufällig "Locky" oder ähnliches verfügbar? Würde gerne was testen :)

frag mal purzel, der hat alles davon :rofl:

Dein Pech und ich hab dich ja gewarnt:zunge::blabla::abklatsch:
:glaskugel2::zunge:
Ich könnte dir per PN das locky File hochladen das ich selbst von Dennis bekam und Teslacrypt3.

Ja! Bitte schicken, danke :)

Schieb ruhig rüber, was du hast.

Wenn ich mich nicht mehr melde, wisst ihr was los ist :D

Sind nur 2 die ich dir schicken kann und die unterwegs zu dir sind:abklatsch:
Ja dann bist du am PC eingepennt http://www.smilies.4-user.de/include..._sleep_073.gif :blabla: und deine Frau hat deinen PC ausgeschaltet:zunge:

Wenn jmd ungefragt meinen Rechner ausschaltet, gibt's Stress :aufsmaul::aufsmaul:

Dauert eh noch etwas, bis die virtuelle Maschine steht. Bis dahin bin ich evtl. wirklich eingeschlafen. Dann aber nicht vorm PC ;)