Locky in Aktion: So infiziert die Ransomware ein Windows-System
Die Ransomware Locky verbreitet sich weiterhin. Obwohl inzwischen alle gängigen Sicherheits-Systeme auf den Schädling angesetzt sind, steigt die Zahl der Betroffenen weiter. So mancher wird daher inzwischen wohl in die Versuchung gekommen sein, sich die Malware selbst anzuschauen - und schreckte vielleicht aufgrund der damit einhergehenden Risiken davor zurück. Wie das Ganze funktioniert, könnt ihr euch hier aber ansehen. Unsere Kollegen von SemperVideo haben die Ransomware dafür bewusst auf einem System installiert.
Ransomware Locky Weit über 5.000 Infektionen pro Stunde
Verwandte Videos
- So findet man alle Ransomware-Ziele auf dem eigenen PC
- Locky: Warum Cloud-Speicher dann doch hilfreich sein kann
- Ausprobiert: Wo Locky nach Nutzerdaten sucht und wo sie sicher sind
- Immer neue Locky-Wellen: Wie sie aussehen, was zu tun ist
- Google Assistent ohne Aktivierungswort: Look and Talk vorgestellt
Meine Ideen dazu:
* Per GPO und DEP Ausführen der "fail.exe" verhindern (oder lokal am PC, wenn man kein großes Netzwerk betreut)
* Im Office die Makrosicherheit so einstellen, dass nicht automatisch Makros ausgeführt werden?
* Mailanhänge, die mit "invoice_" daherkommen, automatisch löschen lassen (denn in einer Rechnung ist nie ein Makro drin).
Ich weiß, das ist recht kurzfristig, aber vielleicht gibt es in ein paar Tagen schon bessere (zentralere) Lösungen dafür.
Ich schließe mich da @murphy2005 an.
Und wer einfach blindlinks auf einen Warnhinweis zu Makros "aktivieren" klickt, dem ist auch bei einem Konkurrenzprodukt nicht mehr zu helfen, außer man nutzt auch dort keine Makros. Aber wer sie grundsätzlich nicht nutzt, könnte sie auch einfach unter MS Office vollständig deaktiveren.
Hallo!
MS den Rücken kehren? Dann schreibe ich Dir den Schädling eben in Starbasic...
Gruß, René
Aber das bestätigt ja nur, was ich geschrieben habe ;-) Das Problem ist kein MS-Problem.
Hat geholfen.
Übrigens sortiert Outlook.com die Mails auch schon aus.
Habe sie mal mit einem simplen Notepad Prog statt mit Word geöffnet und mir damit die Programmierung bzw. das Innenleben dieser Datei angeschaut. Gewisse Dinge wie z.B. eine Art Download-Ordner-Verlinkung auf temporäre Ordner + weitere Unterordner darin machten schnell klar, was das in Wahrheit ist.
Das oben im Video angesprochene, das da schon einige größere Unternehmen von betroffen sind, scheint sich durchaus zu bestätigen, denn die Mail kam vom Hoster der Webseite meines Webradios.
Nur das der eben irgendwie so verdammich wenig mit Reifenlieferungen per DPD zu tun hat :-P
Wenn die Leute so unhell sind, dass sie meinen alles anklicken und ausführen zu müssen, haben sie es wohl nicht anders verdient. Schade um jene, die nicht Schuld sind - aber so ist das halt eben.
Ein bissel mehr Intelligenz täte Antimalware-Programmen wirklich gut. Einfach die entsprechenden Befehle deaktivieren oder zumindest auf Rückfrage stellen und alles ist gut.
Wenn der Nutzer die Warnung natürlich ignoriert und das Makro aktiviert, wird es eben ausgeführt. Das ist jedoch mitnichten ein Bug von Office, der da missbraucht wird, sondern ebenfalls vollkommen korrekt. Ausführen heißt nunmal ausführen, und bei der ganzen Sache wird auch kein Exploit oder eine Lücke ausgenutzt, um der Malware höhere Rechte zu verschaffen.
Da kann also eigtl. weder Microsoft etwas für noch gibt es da irgendwas zu patchen oder in Zukunft besser zu machen. Man kann ja auch die Makro-Funktionalität nur deswegen jetzt nicht total beschneiden, was ist mit Leuten, die aus völlig legitimen Gründen ein Makro geschrieben haben, was Dateien/Skripte vom eigenen Server aus dem Netz lädt und ausführt? Da fallen mir auch spontan einige mögliche Einsatzzwecke für ein.
Die einzige Möglichkeit, die man hier hat, ist, weiter an die Nutzer zu appellieren, etwas mehr Umsicht am PC walten zu lassen. Man muss deutlich machen, dass Makros in einem Word-Dokument zu starten nichts anderes ist als exe-Dateien aus unbekannten Quellen auszuführen, da Letzteres ja mittlerweile zu den meisten durchgedrungen ist, dass man das nicht tun sollte.
Die Krux an der Verschlüsselungs-Malware ist halt auch, dass sie ihr Werk auch mit eingeschränkten Benutzerrechten weitgehend vollziehen kann. Und eine rein verhaltensbasierte Erkennung wird für eine AV-Software auch schwierig, da der Vorgang, eine Ordnerstruktur komplett zu verschlüsseln, nun mal rein technisch betrachtet kein unüblicher/ungewöhnlicher Vorgang ist. Gibt ja genug seriöse Tools, die genau das (vom Nutzer gewollt!) machen.
Du kannst von nem C-Compiler auch nicht erwarten, dass er den Nutzer, der das Kommando zum Kompilieren und Ausführen gegeben hat, davor warnt, dass der kompilierte Code womöglich Sachen macht, die der Nutzer nicht will. Geschweige denn die Kompilierung des Codes deshalb ganz verweigert.
Was MS vielleicht tun könnte, wäre das, was derzeit in Office "Makro" heißt, in "App" oder ähnlich umzubenennen, damit es für den Nutzer klarer wird.
Ein System, dass so stark eingeschränkt wird, dass es gegen jede erdenkliche Dummheit / Unachtsamkeit gefeit ist, will ich jedenfalls definitiv nicht benutzen.
Ich empfinde es eigtl. auch als Zumutung, dass einem aktuelle Outlookversionen nicht mehr erlauben, exe-Dateien direkt als Anhang zu verschicken oder zu empfangen ohne sie vorher zu zippen.
Nur weil es Leute gibt, die ohne Sinn und Verstand alles ausführen, was per Mail auch aus unbekannten Quellen reinkommt, muss ich darunter leiden.
Egal ob Word, Excel oder sonst ein MS Office Produkt - ich bekomme immer beim Starten den Hinweis das ich eine fremde Datei öffne und muss erstmal bestätigen das ich diese bearbeiten will. Wenn ein Makro drin ist dann bekommt man das auch nochmal separat angezeigt bzw. muss es aktivieren.
Es kann nicht sein das Vorschläge unterbreitet werden (im Video) irgendwelche Software zu wechseln. Der richtige Weg ist dafür zu sorgen das man mit dem vorhandenen sicher arbeitet (Brain.exe manchmal nutzen) und ggf. in den Sicherheitseinstellungen etwas vornimmt um sowas zu verhindern. Wo führt das sonst hin? Das ist nur Aufschub und abwimmeln von Problemen. Jede Software, egal ob Linux oder Windows-basierend ist nur so gut und sicher wie der Anwender selbst und deren (Sicherheits-)konfiguration.
Um jetzt kein gezanke aufkommen zu lassen. Ja ich habe schon Windows wie auch Linux-Systeme gesehen die durch falsche Konfiguration offen wie ein Scheunentor waren. Es liegt vieles beim Anwender und dem muss man helfen das er sein System bzw. die Software sicher gemacht bekommt.
Wenn ein Autofahrer Unfälle baut weil dieser scheinbar seinen Führerschein auf dem Jahrmarkt gewonnen hat, dann ist das auch nicht Problem des Herstellers.
Warum kann man Office Makros nicht in einer Sandbox laufen lassen?
Und seine Begründung kann man auch mit einem Klick direkt mal vom Tisch wischen: https://winfuture.de/news,91156.html
Für die Verbreitung sorgte der unbedachte User, weil er immer das Zucken in den Fingern verspürt wenn er ein Button zum anklicken sieht. Ich finde es schön, dass so viele DAU's spendefreudig sind und mit Bitcoins bezahlen wollen.
Für die Sicherheit ist Microsoft wie auch der Anwender/IT Abteilung dafür verantwortlich.
Microsoft hat für meinen Geschmack eine zu einfache Sicherheitsregulierung. Wie das Ampelsystem. leider ist die IT so komplex, dass rein das Ampelsystem nicht mehr ausreicht. daher müssen auch Feineinstellungen her (oder GPOs) die ein "telefonieren nach Aussen" wie auch das Herunterladen und Ausführen von ausführbaren Dateien erschweren (mit nochmaliger Nachfrage) oder verunmöglichen.
kenne mich selber mit VBA und VB"Script" aus, dort ist alles sehr einfach gehalten, ala hello World. Und dann ist noch der unbedarfte Anwender wie auch die IT Abteilung, die in der persönlichen/firmenweiten Pflicht stehen, die Sicherheitsoptionen mit gutem Wissen und Gewissen optimal einzustellen.