So findet man alle Ransomware-Ziele auf dem eigenen PC

Seit über zwei Monaten treibt die Ransomware Locky in immer neuen Variationen ihr Unwesen. Hinzu kommen inzwischen auch mehrere Imitate von Trittbrettfahrern. Nicht zu vergessen die diversen anderen Aktiven aus der Ransomware-Szene, die natürlich auch Erfolge bei der Erpressung von Nutzern feiern wollen. So hoffen viele Nutzer, dass sie mit Glück um eine Infektion herumkommen oder aber zumindest keine größten Verluste erleiden.

Doch welche Daten sie im Zweifelsfall und ohne eine funktionierendes Backup verlieren würden, ist meist erst so richtig klar, wenn es zu spät ist. Denn gerade bei Nutzern, die ihre Datensammlung seit Jahren immer weiter von einem System zum nächsten mitnehmen, ist oft nicht direkt klar, was sie denn alles auf der Festplatte liegen haben.

Damit sich die Anwender einen Überblick verschaffen können, hat der belgische Sicherheits-Experte ein Skript geschrieben, das Dateien auf die gleiche Weise ausfindig macht wie Locky. Unsere Kollegen von SemperVideo demonstrieren euch, wie ihr dieses einsetzen könnt, um Locky-anfällige Dateien auf eurem System ausfindig zu machen.

Dafür muss der Code des Skripts einfach in eine Batch-Datei auf dem Windows-PC geschrieben werden. Diese lässt sich dann ausführen und präsentiert die Ergebnisse entweder in der Eingabeaufforderung oder schreibt sie in eine neue Datei - was letztlich übersichtlicher und leichter zu nutzen ist.

Und auch wenn das Skript für Locky wohl etwas spät kommt, da die Zahl der Neuinfektionen sich inzwischen in Grenzen halten dürfte: Die nächste Ransomware-Welle kommt bestimmt. Und erfahrungsgemäß zielen Ransomwares, die Client-PCs angreifen, meist auf etwa die gleichen Datei-Arten ab. Insofern kann das Skript auch für alle nützlich sein, die allgemein vorbeugen und beispielsweise überprüfen wollen, ob ihre Backup-Tools auch wirklich alle wichtigen Files als Kopie vorhalten.

Trittbrettfahrer im Locky-Windschatten: Was eine Malware so alles tut

Verwandt
Dieses Video empfehlen
Tags:
Dieses Video einbetten
Jetzt einen Kommentar schreiben
 
[o1] therivalroots am 27.04.16 um 15:03 Uhr
++8--
Ich erkenne überhaupt keinen Sinn in dem Skript.
Da kann ich mir auch TreeSize downloaden, dann hab ich zumindest eine vernünftige Ansicht, wie viele Bilder usw ich auf dem Rechner habe.
Edit: oder wenn ich mit dem Skript dann wenigstens gegenchecken würde ob der Mimetype passt, um so nach infizierten Daten zu scannen.
Absolut sinnfrei das Ganze.
Bearbeitet am 27.04.16 um 15:05 Uhr.
 
[re:1] Soulwing am 27.04.16 um 15:16 Uhr
++2--
@therivalroots: richtig dazu kommt das man eh normal wichtige von wichtigen dateien ein Backup zieht auf einer Externen Platte , selbst die System Platte Clone ich alle 6 Monate weil ich zufaul bin wenn mal was sein sollte alles neuinstallieren zu müssen wegen das Ransomware gedöns kaum sorgen ehr das mal ne Platte schrott geht. :)
 
[re:2] Eagle02 am 27.04.16 um 15:21 Uhr
++2--
@therivalroots: kann ich nur zustimmen. Total unsinnig das ganze. Man sollte einfach wissen: Alle Daten auf allen angeschlossenen Festplatten können betroffen sein. Fertig.
Von allem wichtigen auf ne externe Platte/DVD oder sonst was die idr nicht mit dem PC verbunden ist sichern und gut ist.
Das wiegt einen am ende nur in falscher Sicherheit und wenn dann doch was passiert weil man dachte "och ist ja alles gut" dann ist das Geschrei groß....
Zumal das Tool ja wohl nur so wie Locky arbeitet und sollte man sich was anderes einfangen das ganze ganz anders aussehen kann.
 
[re:3] otzepo am 28.04.16 um 10:57 Uhr
++--
@therivalroots: warum macht der keine Attribut-Abfrage und warum ist die Liste mit den Endungen unvollständig? Dieses Skript ist irgendwie zu rudimentär um es zu veröffentlichen, mein Denkansatz würde aber nur ab Win7 funktionieren, glaube ich...
Wenn er die Pause am Ende nicht weg gemacht hätte würde ein Doppelklick funktionieren oder noch einfacher, das Ergebnis nach results.log senden und direkt aufrufen.

- und kloppt Windows nicht immer ein .txt dahinter, wenn man bekannte Endungen ausblendet (default)? (Habe gerade keinen Windows-Rechner zur Hand um es auszuprobieren, bilde mir nur ein, dass es dieses Hindernis gibt und schalte das Ausblenden immer direkt nach der Installation als erstes aus, der Kunde soll schon sehen was er klickt und nicht auf rechnung.pdf.exe reinfallen)
 
[o2] Harald.L am 27.04.16 um 16:13 Uhr
++3--
Das macht genauso viel Sinn wie "So findet man alle Wertsachen in der eigenen Wohnung" für den Fall daß mal ein Einbrecher kommt :-O Wenn man regelmäßig Komplettsicherungen erstellt, wo eh alles drin ist spielt es doch keine Rolle welche Dateien ein Trojaner verschlüsseln kann und welche nicht. Der bessere Weg ist dafür zu sorgen daß es erst gar nicht so weit kommt.
 
[re:1] otzepo am 28.04.16 um 11:04 Uhr
++--
@Harald.L: Leider machen die wenigsten Menschen regelmäßige Backups oder lassen die Backup-Platte mit dem Gerät verbunden. :( sogar in Firmen!
(Bei einem Kunden hat locky den Terminalserver zerrissen, Backupplatte_A dran und seit Ewigkeiten nicht auf B umgesteckt. Jeden Monat gemeckert und jetzt haben die den Salat)

Mir sind schon zu oft Festplatten von einem Tag auf den anderen abgeraucht, da brauche ich keinen locky der mir das beibringt.
 
[o3] legalxpuser am 27.04.16 um 19:53 Uhr
++1--
"So hoffen viele Nutzer, dass sie mit Glück um eine Infektion herumkommen "...diesen Satz versteh ich nicht so ganz. Ist eine Infektion also unvermeidlich? ^^
 
[o4] Niclas am 28.04.16 um 09:02 Uhr
++1--
Tut mir echt leid das sagen zu müssen, aber ich kann dem Typen von Sempervideo einfach nicht zuhören. Ich schalte die Videos meist stumm. ^^
 
[re:1] peer_g am 28.04.16 um 12:17 Uhr
++--
@Niclas: Dito. Seine Stimme strotzt vor Coolness. Grausam.
Kommentar abgeben Netiquette beachten!
Einloggen
Verwandte Videos
Mehr Videos
Verwandte Tags