Locky in Aktion: So infiziert die Ransomware ein Windows-System

Die Ransomware Locky verbreitet sich weiterhin. Obwohl inzwischen alle gängigen Sicherheits-Systeme auf den Schädling angesetzt sind, steigt die Zahl der Betroffenen weiter. So mancher wird daher inzwischen wohl in die Versuchung gekommen sein, sich die Malware selbst anzuschauen - und schreckte vielleicht aufgrund der damit einhergehenden Risiken davor zurück. Wie das Ganze funktioniert, könnt ihr euch hier aber ansehen. Unsere Kollegen von SemperVideo haben die Ransomware dafür bewusst auf einem System installiert.

Ransomware Locky Weit über 5.000 Infektionen pro Stunde

Immer neue Locky-Wellen: Wie sie aussehen, was zu tun ist

Verwandt

Alle Anzeigen

Dieses Video empfehlen

Kommentieren73

Tags:

Jetzt einen Kommentar schreiben

[o1] am ++6 --1

Tipps sind gefragt.
Meine Ideen dazu:
* Per GPO und DEP Ausführen der "fail.exe" verhindern (oder lokal am PC, wenn man kein großes Netzwerk betreut)
* Im Office die Makrosicherheit so einstellen, dass nicht automatisch Makros ausgeführt werden?
* Mailanhänge, die mit "invoice_" daherkommen, automatisch löschen lassen (denn in einer Rechnung ist nie ein Makro drin).
Ich weiß, das ist recht kurzfristig, aber vielleicht gibt es in ein paar Tagen schon bessere (zentralere) Lösungen dafür.

[re:1] am ++3 --14

@murphy2005: Naja, ein stets aktueller Virenscanner, alle Windows-Patches sowie aktuelle Softwareversionen sollten eigentlich ausreichend sein um sich davor zu schützen.

[re:1] am ++3 --1

@mesios: Eben nicht. Es braucht nur ein User das Makro starten, da nützen dir Windows Patches gar nichts. Bleibt dann nur zu hoffen, dass dein Anti-Maleware Programm 'Locky' schon erkennt und erfolgreich blockt.
Ich schließe mich da @murphy2005 an.

[re:2] am ++2 --1

@mesios: leider nicht. Wir haben schon einen infizierten Rechner im Firmennetz. zum Glück hat er das Netzwerk nicht befallen

[re:3] am ++--4

@mesios: Naja, ein vernünftiges Betriebssystem, betrieben durch Menschen, die wissen, was sie tun, sollte auch ausreichen.

[re:2] am ++2 --

@murphy2005: habe auch die makrosicherheit vor einigen monaten aktiviert nach dem die spamwelle losging. bis jetzt ging alles gut und ich hoffe auch das bleibt so.

[re:1] am ++3 --

@Odi waN: ja, das meinte ich oben - nur Virenscanner hilft ja offenbar nicht. Ich denke, mit Makrosicherheit einschalten ist ein wichtiger Punkt. Und dann ein Mail an alle User, dass in Rechnungen kein Makro aktiviert werden soll. DAnn ist schon viel getan - zumindest (wieder einmal) sensibilisert.

[re:1] am ++--

@murphy2005: Richtig! Kein Virenscanner kann bis jetzt das Gehirn vor der Tastatur ersetzen!

[re:3] am ++--

@murphy2005: Aha wenn die fail.exe, bla.exe heißt, läuft die GPO ins leere. Makros sollte man general in Fimen verbieten. Sind nur ein Sicherheitsrisiko, deswegen nix neues. Tja und Mails mit invoice löschen, ist auch nur sehr kurz sichtig, dann kommt eben Gutschrift

[re:1] am ++--

@Lon Star: ja klar, das hab ich auch oben geschrieben - aber besser, kurzfristig eine Lösung, als gar keine. Und vielleicht gibt's schon bald eine echte Lösung, statt der Umgehung. Makros generell zu verbieten halte ich für utopisch. Ich programmiere viel mit Makros und das nicht nur intern, sondern auch für Kunden.

[re:4] am ++1 --5

@murphy2005: Servus,mein Tipp dazu:einfach kein Windows{egal welche Version}nutzen!Keine Microsoft Software = kein Problem,voilà!

[re:1] am ++1 --

@Makani: VIelleicht läuft der ja auch unter WINE?

[o2] am ++3 --

Mich hätte noch interessiert welcher AntiVirus wann darauf anspringt oder überhaupt etwas merkt.

[re:1] am ++3 --

@MOSkorpion: Schau dir mal https://www.virustotal.com/en/file/3eb1e97e1bd96b919170c0439307a326aa28acc84b1f644e81e17d24794b9b57/analysis/ an

[re:2] am ++1 --

@MOSkorpion: Kaspersky loescht die Attachments bereits.

[re:1] am ++--

@JanKrohn: Kaspersky hatte das Ding auch als erstes in ihren Signaturen (von der Virustotal-Liste)

[o3] am ++11 --

Vielleicht sollte man statt den Umstieg von MS Office zu einem anderen Office-Produkt lieber mal erklären, wie man sich bei MS Office schützen kann ;-) Wenn man die Makro-Security nämlich aktiviert, greift auch dieses Ding nicht mehr so ohne weiteres, wie man auch im Video sieht.

Und wer einfach blindlinks auf einen Warnhinweis zu Makros "aktivieren" klickt, dem ist auch bei einem Konkurrenzprodukt nicht mehr zu helfen, außer man nutzt auch dort keine Makros. Aber wer sie grundsätzlich nicht nutzt, könnte sie auch einfach unter MS Office vollständig deaktiveren.

[re:1] am ++3 --

@HeadCrash: Problem gibts eventuell bei älteren Office-Versionen, wo die Makros standardmäßig aktiviert sind.

[re:1] am ++5 --

@dodnet: Klar, das darf man auch gerne erwähnen. Aber im Video klingt es ja so, als wäre der einzige Schutz, MS Office den Rücken zu kehren.

[re:1] am ++--

@HeadCrash:
Hallo!

MS den Rücken kehren? Dann schreibe ich Dir den Schädling eben in Starbasic...

Gruß, René

[re:1] am ++--

@mumpel: Ups, jetzt war ich kurz verwirrt, warum ich mit mir selbst kommuniziere, weil ich auch René heiße :D

Aber das bestätigt ja nur, was ich geschrieben habe ;-) Das Problem ist kein MS-Problem.

[re:2] am ++2 --

@dodnet: ich kenne keine office version, bei der makros per default aktiv sind. hier liegt immer ein nutzerfehlverhalten vor. oder der admin hat mist gebaut und das im install image so eingebaut.

[re:1] am ++--

@laforma: Ich glaube in Office 97 war das noch so. Seit 2000 wird aber definitive gewarnt. Wenn man dann trotzdem auf "ausführen" klickt ... fail. Selbst meine Mum hat begriffen: Lies was da steht. Wenn da was von "Sicherheit" steht, immer erstmal nicht machen lassen sondern mich fragen.
Hat geholfen.

Übrigens sortiert Outlook.com die Mails auch schon aus.

[o4] am ++1 --

Schon perfide gemacht. Habe grade vor paar Minuten das Ding das erste mal im Postfach gehabt. Angeblich eine Rechnung für bestellte Reifen. Das ganze mit *.doc.doc Dateiendung.
Habe sie mal mit einem simplen Notepad Prog statt mit Word geöffnet und mir damit die Programmierung bzw. das Innenleben dieser Datei angeschaut. Gewisse Dinge wie z.B. eine Art Download-Ordner-Verlinkung auf temporäre Ordner + weitere Unterordner darin machten schnell klar, was das in Wahrheit ist.
Das oben im Video angesprochene, das da schon einige größere Unternehmen von betroffen sind, scheint sich durchaus zu bestätigen, denn die Mail kam vom Hoster der Webseite meines Webradios.
Nur das der eben irgendwie so verdammich wenig mit Reifenlieferungen per DPD zu tun hat :-P

[re:1] am ++1 --

@DerTigga: Achtung: wenn es sich nicht um ein alte .doc, sondern um ein neues .docx handelt, dann ist das Ding grundsätzlich ein Zip-Archiv. Das alleine wäre dann noch kein Grund, skeptisch zu werden. Aber einfach mal in .zip umbenennen und dann auspacken, lässt schon sehr viele Einblicke zu.

[re:1] am ++--1

@HeadCrash: Es ist eine "alte" doc. Testweises umbenennen in Endung .zip meldete einen Fehler beim entpacken ;-)

[re:1] am ++1 --

@DerTigga: Ich glaube alternativ kann man z.B. mit 7z auch .docx direkt entpacken lassen.

[re:1] am ++1 --

@Stratus-fan: Bei einer alten *.doc nuetzt das leider auch nix.

[re:2] am ++--

@DerTigga: Alte Office-Dateien lassen sich mit 7zip entpacken. Die Dateien dürfen aber nicht in "zip" umbenannt werden.

[o5] am ++--

Ich hoffe sie finden diese Bastarde. Dann heißt es lebenslänglich und die besondere schwere der Schuld dürfte wohl auch bescheinigt werden.

[re:1] am ++--

@Memfis: Diese Menschen leben in Ländern in denen man ihnen nichts anhaben kann und die Korruption sehr hoch ist.

[o6] am ++1 --1

Wieso kann eigentlich das fucking FBI / CIA / NSA / Homeland Security und wie sie sich alle schimpfen diesen Server nicht knacken? Locky genießt so große Aufmerksamkeit und richtet so großen Schaden an, dass man ja wohl ein paar Ressourcen dafür abstellen kann. Wird ja wohl irgend ein Zero Day Expolit geben, womit man sich schneller Zugriff auf die Server verschaffen kann, als nachgepacht werden kann. Bei Linuxsystemen war doch beispielsweise grad so eine spezielle Netzwerkdatei anfällig für Angriffe. Auch Anonymous könnte sich diesbezüglich mal nützlich machen.

Bearbeitet am 22.02.16 um 19:53 Uhr.

[re:1] am ++--2

@Memfis: du weißt aber schon, dass Anonymous das sind was der Name sagt: anonym, jeder und niemand usw. Wenn du Zeit und Lust hast unentgeltlich für andere, die es dir nicht danken werden, zu arbeiten, um deren Daten vielleicht zu retten oder es dem Angreifer zumindest irgendwie heimzuzahlen, dann bist du sicherlich willkommen. Ich kann mir spontan ein Dutzend Dinge vorstellen, die ich lieber tun würde - von irgendetwas zocken, über weggehen, über Film(e) schauen bis hin zum programmieren (auf der Arbeit oder Zuhause) ist alles dabei.

Wenn die Leute so unhell sind, dass sie meinen alles anklicken und ausführen zu müssen, haben sie es wohl nicht anders verdient. Schade um jene, die nicht Schuld sind - aber so ist das halt eben.

[re:1] am ++--

@divStar: Mittlerweile gibts den Mist auch als Drive by. Kann also jeden treffen. Warte nur noch darauf, dass ein Werbenetzwerk den Mist ausliefert.

[re:1] am ++1 --6

@Memfis: Servus,na ja jeden kann es nicht treffen!Nur Nutzer von Microsoft Software kann es treffen......also kein Windows=kein Problem,voilà!

[re:1] am ++--

@Makani: Blödsinn. Viele nutzen "WINE" auf ihrem Linux-System; dieses kann aber auch SMB- und Datenträger-Zugriffe haben - auch schreibend. Ergo wenn jemand z.B. Word in WINE nutzt, wird er / sie das gleiche Schicksal ereilen wie "echte" Windows-Nutzer. Außerdem wäre es wohl kein größeres Problem die fail.exe auch auf Linux-basierten Systemen zu laden. Vielleicht wären dann zwar die Auswirkungen einer für Unix kompilierten Version nicht so fatal; Auswirkungen haben könnte sie. Aber bei geringstem Aufwand + größtem Nutzen ist Windows mit dem gigantischen Marktanteil tatsächlich ganz vorne mit dabei. Deswegen gibt es auch viele andere, normale, Programme nur für Windows.

[o7] am ++3 --

Anti-Word Rant is vollkommen überflüssig -.-

[o8] am ++--

Deswegen, sollten Makros Unternehmens weit verboten werden. Das Makros ein extremes Sicherheitsrisiko sind, ist ja nix neues.

[re:1] am ++1 --

@Lon Star: Makros in Unternehmen verbieten. Ja is klar....

[re:1] am ++--1

@ThreeM: Jep, da legt man mind. 80% aller Abteilungen lahm. Inkl. der IT.

[re:2] am ++--

@Lon Star: Ich frage mich, wieso man nicht die gefährlichen Anteile der Sprache einzeln deaktivieren kann. Wer lädt denn schon in einem offiziellen Word-Makro Exe-Dateien aus dem Internet herunter?!
Ein bissel mehr Intelligenz täte Antimalware-Programmen wirklich gut. Einfach die entsprechenden Befehle deaktivieren oder zumindest auf Rückfrage stellen und alles ist gut.

[o9] am ++6 --

Also eigtl. zeigt einem das Video doch klar und deutlich, dass es gerade nicht die Schuld von Office ist, sondern dass Office standardmäßig genau das tut was es soll und was richtig ist. Gerade nochmal auch bei mir überprüft: Die Einstellung zur Makro-Sicherheit sind wie im Video gezeigt Standard, d.h. von alleine wird ein Makro NIE ausgeführt.
Wenn der Nutzer die Warnung natürlich ignoriert und das Makro aktiviert, wird es eben ausgeführt. Das ist jedoch mitnichten ein Bug von Office, der da missbraucht wird, sondern ebenfalls vollkommen korrekt. Ausführen heißt nunmal ausführen, und bei der ganzen Sache wird auch kein Exploit oder eine Lücke ausgenutzt, um der Malware höhere Rechte zu verschaffen.

Da kann also eigtl. weder Microsoft etwas für noch gibt es da irgendwas zu patchen oder in Zukunft besser zu machen. Man kann ja auch die Makro-Funktionalität nur deswegen jetzt nicht total beschneiden, was ist mit Leuten, die aus völlig legitimen Gründen ein Makro geschrieben haben, was Dateien/Skripte vom eigenen Server aus dem Netz lädt und ausführt? Da fallen mir auch spontan einige mögliche Einsatzzwecke für ein.

Die einzige Möglichkeit, die man hier hat, ist, weiter an die Nutzer zu appellieren, etwas mehr Umsicht am PC walten zu lassen. Man muss deutlich machen, dass Makros in einem Word-Dokument zu starten nichts anderes ist als exe-Dateien aus unbekannten Quellen auszuführen, da Letzteres ja mittlerweile zu den meisten durchgedrungen ist, dass man das nicht tun sollte.

Die Krux an der Verschlüsselungs-Malware ist halt auch, dass sie ihr Werk auch mit eingeschränkten Benutzerrechten weitgehend vollziehen kann. Und eine rein verhaltensbasierte Erkennung wird für eine AV-Software auch schwierig, da der Vorgang, eine Ordnerstruktur komplett zu verschlüsseln, nun mal rein technisch betrachtet kein unüblicher/ungewöhnlicher Vorgang ist. Gibt ja genug seriöse Tools, die genau das (vom Nutzer gewollt!) machen.

Bearbeitet am 22.02.16 um 21:02 Uhr.

[re:1] am ++1 --

@mh0001: Makro ist nicht gleich Makro. Ein Makro brauchst du in Excel z. B. zur Behandlung gewisser Tabellenzellen. Das ist nicht zu vergleichen mit dem Download einer EXE und Ausführung dergleichen. Die Schuld liegt hier eindeutig bei Microsoft, die Security-Richtlinien sind einfach nicht fein genug. Ein Office Dokument darf niemals eine EXE runterladen und schon gar nicht ausführen, auch nicht wenn Makros aktiv sind. Von mir aus kann's das machen, aber dann bitte mit User-Rechten von genau gar nichts. Die Verantwortung Makro ein / Makro aus zum User abzuschieben ist für ein Betriebssystem einfach nur naiv und unverantwortlich.

Bearbeitet am 23.02.16 um 07:56 Uhr.

[re:1] am ++--

@Lofi007: Als Office-Nutzer sollte man jedoch eigtl. wissen, was ein Makro in Office ist. Die haben mit Tabellenformeln in Excel nichts zu tun, sondern sind vollwertige Visual Basic - Skripte, mit denen sich sehr viel mehr machen lässt. Fast schon richtige Programme eben.

Du kannst von nem C-Compiler auch nicht erwarten, dass er den Nutzer, der das Kommando zum Kompilieren und Ausführen gegeben hat, davor warnt, dass der kompilierte Code womöglich Sachen macht, die der Nutzer nicht will. Geschweige denn die Kompilierung des Codes deshalb ganz verweigert.

Was MS vielleicht tun könnte, wäre das, was derzeit in Office "Makro" heißt, in "App" oder ähnlich umzubenennen, damit es für den Nutzer klarer wird.

Bearbeitet am 23.02.16 um 17:02 Uhr.

[re:1] am ++--

@mh0001: Sag das unserer Sekretärin in der Firma ;-)

[re:2] am ++--

@mh0001: Ich kenne eine Menge Leute die nicht wissen was ein Makro ist und wie man die Makroausführung generell verhindern kann. Denen könnte ich alles unterjubeln. Ich kann sogar einer Planmaker-Datei ein VBA-Projekt verpassen obwohl das von Softmaker nicht vorgesehen ist (Planmaker-Dateien beruhen auf BIFF8, also dem alten Excelformat. Excel bekommt das nicht mit und meldet nur eine fehlerhafte Dateiendung).

[re:1] am ++--

@mumpel: Mag ja sein, aber da kann man halt nicht immer Rücksicht drauf nehmen. Man könnte ja auch nicht generell den Download ausführbarer Dateien aus dem Internet verbieten / technisch verhindern, nur weil viele Leute sich darüber mangels Vorsicht mit Malware infizieren.
Ein System, dass so stark eingeschränkt wird, dass es gegen jede erdenkliche Dummheit / Unachtsamkeit gefeit ist, will ich jedenfalls definitiv nicht benutzen.

Ich empfinde es eigtl. auch als Zumutung, dass einem aktuelle Outlookversionen nicht mehr erlauben, exe-Dateien direkt als Anhang zu verschicken oder zu empfangen ohne sie vorher zu zippen.
Nur weil es Leute gibt, die ohne Sinn und Verstand alles ausführen, was per Mail auch aus unbekannten Quellen reinkommt, muss ich darunter leiden.

Bearbeitet am 24.02.16 um 23:33 Uhr.

[re:2] am ++--

@mh0001: Man kann auch in Outlook 2016 exe-Dateien freigeben. Gerade probiert, und es funktioniert. https://support.microsoft.com/de-de/kb/829982

[re:3] am ++--

@mh0001: Schon vor 100 Jahren gab es für den Amiga ein Tool, welches in Echtzeit Programme analysierte und eine Einschätzung abgab, wie gefährlich sie waren. War z.B. Code für das Umbenennen von Dateien oder das Hinzufügen von Daten zu vorhandenen Dateien in dem Programm, wurde es eingefroren und eine Warnung ausgegeben. Man konnte es dann löschen oder auf eine Whitelist setzen. Diese Vorgehensweise war unglaublich fortschrittlich und würde auch heute viele Malware deaktivieren.

[10] am ++--

und wenn man dann die E-Mail-Sicherheit höher dreht, sind alle am janken :( "nicht Arbeitsfähig", "nicht Alltagstauglich" etc... sowas darf man sich dann von Sozialarbeitern & Co. anhören.. dabei reicht schon ein rdns/Helo check in vielen fällen aus. namexyz123@eigenesunternehmen.de wird somit recht schnell weggefiltert. Und in Unternehmen, wegen deren man bisher passende exceptions nutzte, muss halt die IT ran und Standards endlich einhalten. Sicherheit geht vor... Leider gibt es noch viel zu viele "Halbtags"-Admins.

[11] am ++--

Hat jemand die exe noch, ich würde die gerne mal disassemblen.

[re:1] am ++--

@maximus3: Wozu? Macht vermutlich einen Durchlauf des ganzen Laufwerks und verschlüsselt die Dateien mit einem Public Key, entschlüsseln kannst du nur mit dem Private Key vom Server. Das ist trivial.

Bearbeitet am 23.02.16 um 07:58 Uhr.

[12] am ++1 --

Wo ist jetzt das Problem? Ein Virus, der per Macro kommt und den man absichtlich ausführen muss, um infiziert zu werden ... kein bisschen clever geschrieben und leicht zu verhindern. Wieso wird darum Wind gemacht?

[re:1] am ++--

@Der_da: Weil zu viele Unwissende in Firmen vor PCs mit Internetzugang und E-Mail-Client sitzen, ganz einfach.

[re:1] am ++--

@DON666: Locky ist aber weder überraschend, noch neu, noch besonders clever programmiert. Es ist weder der erste Macro-Virus, noch der erste, der Schad-Ware nachlädt, noch der erste, der die persönlichen Dateien verschlüsselt, und erst recht nicht der erste, der den Leichtsinn der User ausnutzt. Von Unwissenheit kann nach all den Jahren nicht mehr ausgegangen werden - das ist nur noch grob leichtsinnig.

Bearbeitet am 23.02.16 um 02:22 Uhr.

[re:1] am ++--

@Der_da: Das ändert trotzdem genau nichts daran, dass sich das Ding schnell verbreitet, was eben beweist, dass dieses "Social Engineering" nach wie vor bestens funktioniert.

[13] am ++1 --

Nix für ungut aber der Tipp doch einfach das Schreibprogramm/Office zu wechseln ist meiner Meinung nach etwas daneben.
Egal ob Word, Excel oder sonst ein MS Office Produkt - ich bekomme immer beim Starten den Hinweis das ich eine fremde Datei öffne und muss erstmal bestätigen das ich diese bearbeiten will. Wenn ein Makro drin ist dann bekommt man das auch nochmal separat angezeigt bzw. muss es aktivieren.
Es kann nicht sein das Vorschläge unterbreitet werden (im Video) irgendwelche Software zu wechseln. Der richtige Weg ist dafür zu sorgen das man mit dem vorhandenen sicher arbeitet (Brain.exe manchmal nutzen) und ggf. in den Sicherheitseinstellungen etwas vornimmt um sowas zu verhindern. Wo führt das sonst hin? Das ist nur Aufschub und abwimmeln von Problemen. Jede Software, egal ob Linux oder Windows-basierend ist nur so gut und sicher wie der Anwender selbst und deren (Sicherheits-)konfiguration.

Um jetzt kein gezanke aufkommen zu lassen. Ja ich habe schon Windows wie auch Linux-Systeme gesehen die durch falsche Konfiguration offen wie ein Scheunentor waren. Es liegt vieles beim Anwender und dem muss man helfen das er sein System bzw. die Software sicher gemacht bekommt.

[re:1] am ++--

@MarcelP: Hat überhaupt schon wer ausprobiert das ding mit OOo zu öffnen? Weil die ja grundsätzlich auch erstmal Excel-Markos ausführen können.

[re:1] am ++--

@Bautz: das würde mich auch interessieren

[14] am ++--

Also ich liebe diese Videos und den Humor des Sprechers :) MEEEEEEHR VOOOON!!!!

[re:1] am ++--2

@NewsLeser: Wirklich? Ich finde den grausam, alleine schon die Aussprache von englischen Begriffen, da rollen sich mir die Zehennägel auf...

[15] am ++--1

Schadwer?

[16] am ++--2

Wo ist der Microsoft Patch dagegen?

[re:1] am ++2 --1

@Lofi007: gegen was? Da kann Microsoft Patches nachschieben wie sie wollen, wenn der Anwender seinen gesunden Menschenverstand nicht einsetzt nützt das sicherste System der Welt nix. Auch wenn es gerne versucht wird so darzustellen ist dies kein hausgemachtes Problem seitens Microsoft.

Wenn ein Autofahrer Unfälle baut weil dieser scheinbar seinen Führerschein auf dem Jahrmarkt gewonnen hat, dann ist das auch nicht Problem des Herstellers.

[re:1] am ++2 --

@MarcelP: So einfach ist es auch nicht abgetan. Gegen Java wird ständig gehetzt. Aber bei Java kann man wenigstens die Security Einstellungen anpassen, sodass alles in einer Sandbox läuft und nicht auf Systemressourcen zugegriffen werden kann.

Warum kann man Office Makros nicht in einer Sandbox laufen lassen?

[re:1] am ++--2

@Lofi007: Dann musst Du aber auch fragen weshalb man Starbasic nicht in der Sandbox laufen lässt. Aber es ist doch so schön leicht immer alles auf Microsoft zu schieben. ;-)

[re:2] am ++--2

@Lofi007: Hier: www.microsoft.com/.../Entry.aspx?Name=Ransom:Win32/Locky.A

[17] am ++1 --1

Ich finde seine Empfehlung deswegen eine andere Office-Suite zu nutzen(vor allem wo man doch Office zu dem Zeitpunkt schon bezahlt hat!) total daneben.
Und seine Begründung kann man auch mit einem Klick direkt mal vom Tisch wischen: https://winfuture.de/news,91156.html

[18] am ++--1

mein Senf:
Für die Verbreitung sorgte der unbedachte User, weil er immer das Zucken in den Fingern verspürt wenn er ein Button zum anklicken sieht. Ich finde es schön, dass so viele DAU's spendefreudig sind und mit Bitcoins bezahlen wollen.

Für die Sicherheit ist Microsoft wie auch der Anwender/IT Abteilung dafür verantwortlich.
Microsoft hat für meinen Geschmack eine zu einfache Sicherheitsregulierung. Wie das Ampelsystem. leider ist die IT so komplex, dass rein das Ampelsystem nicht mehr ausreicht. daher müssen auch Feineinstellungen her (oder GPOs) die ein "telefonieren nach Aussen" wie auch das Herunterladen und Ausführen von ausführbaren Dateien erschweren (mit nochmaliger Nachfrage) oder verunmöglichen.
kenne mich selber mit VBA und VB"Script" aus, dort ist alles sehr einfach gehalten, ala hello World. Und dann ist noch der unbedarfte Anwender wie auch die IT Abteilung, die in der persönlichen/firmenweiten Pflicht stehen, die Sicherheitsoptionen mit gutem Wissen und Gewissen optimal einzustellen.

Bearbeitet am 24.02.16 um 13:21 Uhr.

[re:1] am ++1 --

@AlexKeller: Das gilt nicht nur für Microsoft-Office. Auch in OOo/LibreOffice kann man den Schädling integrieren. Die Makrosicherheit bei Starbasic ist genauso schlicht und einfach gestrickt wie bei VBA.

[19] am ++--1

Inzwischen frage ich mich, wen es eigentlich interessiert. Die Signaturen gegen Locky dürften inzwischen überall angekommen sein.

[21] am ++1 --

Hallo, im Semper-Video https://www.youtube.com/watch?v=szcyhVR0wX8 wird behauptet, dass Locky alle Benutzerdaten verschlüsselt und die Systemdaten unberührt lässt. Ich habe mehrere Benutzer mit eingeschränkten Rechten und einen Benutzer mit administrativen Rechten. Bisher bin ich davon ausgegangen, dass Ransomsoftware die Daten des aktuellen Nutzers verschlüsselt. Lt. Semper wären von dem Script aber alle Daten aller Benutzer verschlüsselbar, ohne dass ich einmal das admin-Passwort eingeben müsste. Stimmt das wirklich? Kann ein solches Script die Benutzerkontensteuerung von windows umgehen? Habe win 10 home.

[re:1] am ++--

@winfuturewj: Dieses Problem ist nicht neu. Es gab schon vor Jahren Viren/Trojaner die die Benutzerkontensteuerung umgehen konnten. MS behauptet zwar dass das in Windows 10 nicht mehr möglich sei, aber glauben sollte man ja nur in der Kirche.