Locky und Teslacrypt gleichzeitig eingefangen

[TheManneken]

Der Kauf eines scheinbar sichereren Computers wird dich wohl kaum vor deiner eigenen Naivität schützen, wobei in diesem Fall eigentlich schon eher schlicht von Ignoranz zu reden ist. Ein Mac ist mitnichten sicherer vor Angriffen oder gar vor einem Ausfall. Hardware steckt die gleiche drin, wie in einem Windows-PC. Ist nur hübscher verpackt. Übrigens steigt mit einem hübschen Mac das Risiko, dass dir die Kiste gestohlen wird. Auch mit einem Mac kann dir passieren, was dir jetzt nun mal passiert ist und dann guckst du ohne Backup genauso aus der Wäsche wie du es jetzt tust. Ehrlich gesagt fällt es mir sogar schwer zu glauben, wie ein Studierter nur so unüberlegt und uneinsichtig reagieren kann.

 

[IRON67]

So weit ich das weiß vom lesen im Internet, ist die Systemwiederherstellung nuzlos bei Locky oder Teslcrypt. kannst mich aber gerne eines besseren belehren wenn ich falsch liege
@kampfnudel

Da wird nichts kommen, denn du hast ganz richtig gelesen. Und das nicht nur in Bezug auf Locky, sondern generell bei JEDER Malware. Die meisten Nutzer verstehen die Systemwiederherstellung irrtümlich als eine Art Zeitmaschine, die Malware und die von ihr vorgenommenen Manipulationen auf wundersame Weise rückgängig machen kann. Dem ist nicht so.

Zitat Microsoft:

Mithilfe der Systemwiederherstellung können Sie die Systemdateien des Computers in dem Zustand wiederherstellen, den sie zu einem früheren Zeitpunkt hatten. Dies bietet Ihnen die Möglichkeit, Systemänderungen am Computer ohne Auswirkung auf persönliche Dateien, wie z. B. E-Mails, Dokumente oder Fotos, rückgängig zu machen. [...] Systemabbildsicherungen umfassen zwar neben den Systemdateien noch Ihre persönlichen Daten, diese sind von der Systemwiederherstellung jedoch nicht betroffen.

Leider ist diese Formulierung zweideutiger als ihr Vorgänger:

Mit der Systemwiederherstellung werden die Systemdateien und Programme auf dem PC auf einen Zeitpunkt zurückgesetzt, zu dem alles ordnungsgemäß funktionierte. [...] Sie hat keinerlei Auswirkungen auf Ihre Dokumente, Bilder oder anderen Daten. [...] Die Systemwiederherstellung wirkt sich auf Windows-Systemdateien, Programme und Registrierungseinstellungen aus.

 

[mrieglhofer]

Ja, die Systemwiederherstellung bringt mit Glûck das System, aber nie die Benutzerdaten zurück. Die Shadow Kopie könnte das, wird aber normal durch den Torjaner gelöscht.

Hinsichtlich Sicherheit: Windows hat in der Tat ein Sicherheitsproblem verglichen mit Mac und Linux. Einfach deshalb, weil es Bequemlichkeit der Sicherheit vorzieht.
Allein die Idee, ein temporär gespeichertes File überall im System mit Doppelklick oder Befehl ausführen zu können, ist ein Humbug sondersgleichen, der sich in allen Versionen in 15 Miniten abstellen lässt. Es darf keine Datei aus einem beschreibbaren Bereich ausführbar sein.
Dazu ist die Frage wozu der Normalsterblicher eine Windows Scripting Host braucht, also sollte der auch schon abgeschalten sein. Dann ist es halt nicht mehr so bequem.
Und wenn man dann noch mit einem Browser unter Sandboxie ins Internet geht, dann wird es schon mühsam, sich einen Trojaner einzufangen.

 

[autoshot]

Es darf keine Datei aus einem beschreibbaren Bereich ausführbar sein.
Dazu ist die Frage wozu der Normalsterblicher eine Windows Scripting Host braucht, also sollte der auch schon abgeschalten sein. Dann ist es halt nicht mehr so bequem.

Rein aus Interesse: was genau ist denn dann nicht mehr so bequem bzw. funktioniert nicht mehr so wie vorher? Weil sonst würd ich das bei meinen PCs auch deaktivieren.

 

[sdwaroc]

Probiers doch mal aus, dann weißt dus

 

[Baya]

Veeam Endpoint Backup FREE ist da eine gute Möglichkeit um sich vor sowas zu schützen.
Mit dem Backup-Programm kann man schön einstellen, welche Laufwerke oder auch Dateien gesichert werden sollen und wann.
Man kann es so einstellen, dass das Backup automatisch erfolgt, sobald ein bestimmter USB-Datenträger angeschlossen wird.
Ist das Backup fertig , wird der USB-Datenträger automatisch getrennt.
Anhang anzeigen 550912

 

[xone92]

Ist das Backup fertig , wird der USB-Datenträger automatisch getrennt.
Anhang anzeigen 550912

Das reicht aber nicht. Man muss die Festplatte dann schon richtig abstecken. Weil es wird ja nur per Software getrennt. Genau so einfach kann man die dann per Software wieder in Betrieb nehmen und auch verschlüsseln.

 

[Baya]

Ob überhaupt *.vbm und *.vbk Dateien verschlüsselt werden können?!
Oder ob die Ransomware die HDD wieder verbindet??

 

[Madman1209]

Hi,

Ob überhaupt *.vbm und *.vbk Dateien verschlüsselt werden können?!

können und werden. Können sicherlich, Datei ist Datei. Werden ist eher die Frage, wahrscheinlich aktuell eher nicht.

VG,
Mad

 

[mrieglhofer]

Rein aus Interesse: was genau ist denn dann nicht mehr so bequem bzw. funktioniert nicht mehr so wie vorher? Weil sonst würd ich das bei meinen PCs auch deaktivieren.

Mit SRP kannst halt nicht mehr einfach eine Programm runterlasen und dann unter Downloads starten. Da musst du es auf einen freigegebenen Platz verschieben bevor du es starten kannst. Dito kannst nicht einenUSB anstecken und ein Programm starten.
Allerdings kannst ja die Orte genau konfigurieren.
Es kann auch mal einen Updater erwische, der sich runterläuft und dann das Patch Programm startet. Hatte ich noch nicht.

Scripting Host habe ich seit einer Woche ausgeschalten und keine Auffälligkeiten.

Bei Sandboxie ist es auch so dass du einen Download erst mit Wiederherstellen musst, damit er im richtigen Filesystem sichtbar wird. Und wenn du dann nacheile speziellen Ordner gewählt hast, musst du den dann in Sandboxie angeben, damit du wiederherstellen kannst.

Für jemanden, der IT affin ist, ist das keinenBeschränkung. DAUs könnten ins Schwitzen kommen. In Summe finde ich SRP am einfachsten, WSH bin ich selbst erst am Testen. Sandboxie ist für Laien eher kritisch. Da muss man schon wissen, was man tut. Oder ein IT stellt es so ein, dass die kritischen Programm alle mit Sandboxie gestartet werden (Kaufversion) und definiert die Orte, die gebraucht werden

 

[mrieglhofer]

Veeam Endpoint Backup FREE
Ist das Backup fertig , wird der USB-Datenträger automatisch getrennt.
Anhang anzeigen 550912

Die Idee ist gut, aber beim nächsten Backup ist das Ziel nicht mehr verfügbar. Also ich muss dann die Platte ab- und wieder anstecken. Blöd, wenn das an einem anderen Standort so läuft.

 

[Baya]

ist ja nur für zuhause gedacht...
Einmal einrichten, nur noch anstecken -> Backup fertig -> Ab in den Schubber

 

[Baya]

Naja beim NAS könnte man es auch durch einen Login lösen. Also nur verbinden wenn benötigt und danach trennen. So müsste man wenigstens immer Benutzer und PW eingeben... Das wird der Locky noch nicht selbständig machen hoff ich ^^

 

[Mikey158]

Da ich genau das mit meiner NAS befürchte unmounte ich jetzt mal die NAS damit hier im Falle des Falles nichts an meine Daten kommt.
Ich muss zwar den Benutzer und das Passwort eingeben wenn ich auf ein verbundenes Netzlaufwerk (NAS) zugreifen will - aber wie schon von machen hier erwähnt ist diese Lösung nicht 100%ig.

 

[mrieglhofer]

Solltest halt am NAS nicht die gleichen Credentials wie am Client haben, sonst meldet der sich bei Bedarf an. Dito solltest noch überprüfen, ob das nicht bis zum reboot gecached wird.

http://www.sevenforums.com/network-...ched-credentials-force-re-authentication.html

 

[Mikey158]

Oh danke für die zusätzliche Info.

Muss ich mir gleich mal ansehen.

 

[mrieglhofer]

Wenn du schon beim Testen bist, du kannst am NAS die Anzeige der Shares in der Netzwerkumgebung verhindern. Dann werden die Shares nicht mehr angezeigt und du kannst sie mit normalen Mitteln wie Netzwerk Browser auch nicht finden. Du kannst sie aber mit dem UNC Namen jederzeit ansprechen. Sie scheinen aber bei Net use usw. nicht auf. Ich verwende das für Systemshares, auf denen die Mails usw. liegen, damit die Benutzer sich nicht ungewollt daran vergreifen ;-)


Ich weiß aber nicht, ob es nicht einen Weg gibt sie dennoch zu finden. Denke aber, es ist wichtig, die Standard Wege ein wenig zu verdecken, ohne die Arbeit zu behindern. Dann laufen viele Routinen schon ins Leere.

 

[mrieglhofer]

Rein aus Interesse: was genau ist denn dann nicht mehr so bequem bzw. funktioniert nicht mehr so wie vorher? Weil sonst würd ich das bei meinen PCs auch deaktivieren.

Ergänzend, bei den Updates gibt es einen Unterschied.
Wennst das normale Java Update durchlaufen lässt, speicherte der das irgendwo hin und kann es dann nicht starten. Daher muss man das offline Update nehmen oder das Online Update speichern und dort als Admin starten, wenn man SRP für den Administrator als Ausnahme gesetzt hat.

Bei Portable Apps ist das gleiche Problem. Auch da als Admin einloggen und Fürs Update als Administrator starten.

Otto Normaluser ist da dann schon außen vor, werden die Geräte aber professionell betreut, ist es problemlos. PDQdeploy z.B.spielt die *?msi einwandfrei weiterhin ein.