Hallo,

Das kann ich morgen mal testen. Aber es gab auch schon den Hinweis, einfach wieder die Endung zu ändern. Das funktioniert definitiv bei uns nicht.

@Explo wollte ich ja, hatte meine Waffe schon im Anschlag aber Cosinus hatte eine Brandauer um seine PN gezogen. :kaffee:

@Cosinus seit heute gibt's nur noch pdf und jpg als Anlagen - geht doch, aber muss erst was passieren. Wie im waren Leben, wenn was passiert geht's plötzlich...

Übrigens, noch einmal der Hinweis, bei uns waren im Gegensatz zum Heise Beitrag, die Schattenkopien noch vorhanden. Allerdings stolpern wir auch nicht mit Adminrechten durch die Welt.

jo eben, für vssadmin braucht man Adminrechte. :D

So gut wie nichts ist hundertprozentig! ;)

Malware kann ja auch Bugs haben und nicht immer so laufen, wie von den Erpressern gewollt. Also ohne Adminrechte kann die eh nix an den Schattenkopien rumfummeln. Auf ein Netzlaufwerk, das zu einem von Schattenkopien geschütztem Share eines Windows Servers führt, kann der Schädling auch nix machen. Der tobt sich nur auf der lokalen Kiste aus kann aber durch Schreibrechte auf den Netzlaufwerken entfernte Dateien kleinhacken :blabla:

Mich wundert, dass nirgends Hinweise zur Prävention gegeben werden, bestenfalls findet man den dumpfen Hinweis auf (letzlich hilflose) Antivirensoftware.
Wie sieht es denn aus mit -> Makros deaktivieren? Oder sein MSOffice sauber konfigurieren? In den Makro-Sicherheitsrichtlinien steht zwar als Standard eingestellt, dass nur Makros "aus sicherer Quelle" ausgeführt werden dürfen, einen Klick weiter kann man dann jedoch lesen, dass standardmäßig "alle Quellen als sicher" angesehen werden :headbang: (was sich abwählen ließe). Zumindest war das imho bis MSOffice 2010 so.
Wieso liest man nichts über User - versus Administratorrechte? Es kann doch nicht sein, dass sich keiner Gedanken über Prävention macht?

Dazu passend: http://www.trojaner-board.de/176082-neuer-bsi-chef.html

Prävention wurde doch längst genannt!

Restriktive Mailfilter, blocken aller Mails mit Schrottanhängen, Freischaltung der Mail durch einen Admin nur auf Nachfrage.

Tägliche Backups müssen wir nicht drüber diskutieren oder?

Makros in Office deaktivieren? Du hast den TO doch gelesen! In vielen Firmenumgebungen geht das nicht, weil viele Firmenprozesse von Word/Excel Dateien mit Makros abhängig sind.

Und nein, nicht jeder Virenscanner ist hilflos. Wenn du aber nur auf nen Virenscanner setzt, der signaturbasiert arbeitet, dann bist du hilflos, weil die Signaturen später reinkommen und der Schädling somit zu spät erkannt wird!

User vs Admin: Der Schädling erreicht auch ohne Rechte sein Ziel, zerhackt alle Userdateien. Das einzig tolle an Benutzerrechten ist, dass der Schädling die Schattenkopien nicht löschen kann. Dann verliert man im Büro aber u.U. trotzdem einige Stunden an Arbeit. Vorausgesetzt man hat Schattenkopien über aktiviert und richtig konfiguriert. Viele Kleinunternehmen haben keinen Windows-Server sondern nur ein NAS, da gibt es keine Schattenkopien => Daten weg, da hilft es auch nix wenn der User an dem Client keine lokalen Adminrechte hatte! :kloppen:

Wirklich? Umfassend? Für das in Panik versetzte Publikum da draussen?

Das ist im Beispiel mit den Bewerbungen nicht machbar. Für mich als Privatuser erledigt das allerdings in der Tat brain.exe.

Vielleicht würde das Deaktivieren der Vorgabe "jedes Makro als vertrauenswürdig betrachten" schon mal weiterhelfen - die firmeninternen Makros könnten dann vertrauenswürdig sein, andere nicht. Wenn sowas funktionieren würde, sollte man auch davon lesen - nicht hier in den Foren, sondern da draussen, bei Chip, Heise und Co.

Mist. Läuft da bei Win10 was anders? Es scheint ja nicht betroffen. Nicht dass die Aktion noch ein verstecktes Updatemarketing darstellt :aufsmaul:

Aha. Und was genau gefällt dir da nicht?
Ich stell die Frage gern nochmal:"Aber wirklich ehrlich gemeint: mich interessiert was Betroffene bei sowas hören wollen. Wenn es keine Möglichkeiten außer zu bezahlen gibt."
Und was du gerne noch zusätzlich an Prävention wissen willst. Ohne Komfortverlust geht das nicht!

Aber selbstverständlich ist das machbar. Es ist nur unbequem. Und das willst du nicht.

VIELLEICHT? :wtf:
Du wolltest doch "umfassenden" Schutz!

Kein Plan was du da genau meinst. Unter W10 verrichtet der Schädling jedenfalls auch sein Werk. Ich weiß aber nicht, ob er da immer auch die Schattenkopien löschen kann.

Vielleicht hab ich mich missverständlich ausgedrückt - ich wundere mich, warum "da draussen" in der Medienwelt keine klaren Hinweise auf mögliche Prävention gegeben werden. Hier im internen Forum mag ja alles hybsch fundiert sein, aber die meisten Betroffenen finden wohl eher nicht hierher.

Naja.. was ich will oder nicht kannst Du nicht wissen. ICH hab ja das Problem nicht. Ich habs auch nicht nötig, ich bin Laie und Privatanwender. Wenn das aber so selbstverständlich machbar ist, wäre vielleicht ein Hinweis für den interessierten Profi sinnvoll, auf welche Weise genau. Also: da draussen. Wo die vielen lesen. Und vielleicht auch hier drin.

Ich suche in erster Linie umsetzbare Prävention für den Laien, also die 99,3% User, die da draussen unterwegs sind. Und frage mich, warum die nirgends (im Sinne von: an prominenter Stelle) angesprochen wird. Da draussen. Bei Heise, Chip und Co. Und vielleicht auch hier drin.

Also so auf die Schnelle fällt mir ein für den Laien:

- Microsoft Office rausscheißen und LibreOffice verwenden
- AV mit Verhaltenserkennung verwenden => Emsisoft
- evtl auch prüfen, ob es überhaupt Windows sein muss

hehe.. gerade letzteres ist wirklich unbequem :p
Ersteres empfehle ich auch gerne, und für die Wirksamkeit von Emsisoft hätte ich gerne etwas Empirie.
Nachdem nun MSOffice leider immer noch ne Art Standard ist: ist Dir bekannt, ob eine Deaktivierung der Vorgabe "alle Quellen als vertrauenswürdig betrachten" im Makro-Ausführungsmodus "nur vertrauenswürdige Quellen ausführen" bereits zur Kastration von locky führt?


_________________
*p.s.: die Präsentation auf der Emsisoft- Seite finde ich sehr gelungen!

Auf die Deaktivierung der Makros würd eich mich NICHT verlassen. Im Zweifel können die User die Makrosausführung ja wieder selbst aktivieren.

Zu Emsi kann schrauber noch was schreiben.

Dennis (:dankeschoen:) hat da was gemacht => http://www.trojaner-board.de/175739-...ml#post1563355

http://www.trojaner-board.de/attachm...en-locky-2.jpg

Das war ein Typo, oder? :rofl: