ComputerBase Menü
Aktuelles

Locky hat beim Arbeitskollegen perfide zugeschlagen: Vorsicht!

Rollensatz

Rollensatz

Admiral
Registriert
Jan. 2006
Beiträge
8.533
Moin,

wollte nur kurz hier schreiben, dass Locky höchstwahrscheinlich den Server von der Drupa "gekapert" hat.

Ein Kollege hat sich zur Drupa angemeldet - sollte sich registrieren und per Email die Karten bekommen. 10 Sek. später war die Mail da, von der Drupa...nur leider war im Anhang keine Karte sondern der Locky Trojaner...

PC komplett geplättet (war zum Glück der "unwichtigste PC" im ganzen Betrieb.

Ich habe den Veranstalter kontaktiert.

Ich schätze mal, diese "Masche" kommt öfter vor und perfide wirds dann, weil man ja auch eine Mail wartet und diese dann auch wie gewohnt kommt - nur leider mit dem falschen Inhalt.

Also Obacht!
 
nein, ich glaube es war eine Word Datei. Leider war ich nicht anwesend. Es öffnete sich aber definitiv Word 2010
 
leipziger1979 schrieb:
... karten.pdf.exe ?
Zum Vergrößern anklicken....
Tjaaa, dumm gelaufen, dass die Standardeinstellung "Dateinamenerweiterung bei bekannten Dateitypen unerdücken" lautet.
Ähnlich hat sich neulich ein Leser der c't ausgeweint, dass ein in der Cloud hinterlegtes Bewerbungsprofil auf eine Stellenanzeige auch solche Folgen hatte.

Gruß, Nemo
 
Ist doch keine exe und selbst bei einer exe kommt eine Warnmeldung.


Rollensatz schrieb:
perfide wirds dann, weil man ja auch eine Mail wartet und diese dann auch wie gewohnt kommt - nur leider mit dem falschen Inhalt.
Zum Vergrößern anklicken....
Allerdings muss man dann auch erst noch Makros für die Datei aktivieren / zulassen (Default sind Makros deaktiviert), damit der eigentliche Schädling auf den Rechner kommt.
 
Naja "ausweinen" wollte ich mich jetzt nicht. Der PC stand in 40min wieder - Sicherungskopie wird jeden Tag gemacht.

Ich wollte nur damit sagen, dass der nächste der z.B. von Mindfactory eine Antwortmail (Bestellbestätigung) oder sowas wartet, was ganz anderes bekommen kann. MF - ist jetzt nur ein Beispielname.
 
Locky kommt meist als .docm.
Allerdings kann die Adresse natürlich auch gespooft gewesen sein.

Abgesehen davon kommen Onlinetickets eigentlich immer im PDF-Format.
Hat er die Makroabfrage blind bestätigt oder war die garnicht aktiv? Die Woche kam bei unseren Kunden aber auch ne Welle, Sophos und Avira haben die erkannt.
 
Das müsste ich abklären, keine Ahnung ob es bei diesem PC schon aktiv war. Passiert ist ja nichts - außer das der Kollege 40min später Feierabend hatte :D.

Avira ist auf dem PC definitiv drauf gewesen - vielleicht wurde es sogar abgeschaltet (bewusst) um die Datei runterladen zu können.
 
Wenn ich das richtig sehe, dann läuft die Ticketbestellung direkt über die Domain der Messe Düsseldorf. Kam die Mail denn von dort? Falls der Fall wirklich so stimmt und das nicht nur eine unglückliche Verkettung von Zufällen ist dann wäre wohl jede Veranstaltung dort gefährdet und das spräche sich sicherlich bald herum.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz