Erpressungssoftware: Jeder Dritte zahlt

Anzeige

Was heisst gleichzeitig? Wenn der Rechner infiziert wurde, dann wirkt sich das ja nicht sofort aus. Sobald Du dann ein Backup machst wird das auch verschlüsselt. (sofern der Dateityp davon auch betroffen ist).
Das ist ja das perfide an dem Virus, es sind alle angeschlossenen Laufwerke betroffen, egal ob USB oder Netzwerk.
Nur wenn Dein Backup vor dem Befall gemacht wurde hast Du glück gehabt. Aber dann darf das Backup nicht mit dem gleichen OS wie das befallene eingespielt werden (mit einer Boot DVD oder Bootfähigen USB Stick ginge es dann aber).

Aber welches Mail Programm nimmt überhaupt ausführbare Dateien noch als Anhang an? Outlook jedenfalls nicht.

 

Es ist doch soweit ich das verstanden habe ein doc.

 

Gut, die muss dann aber ein Macro enthalten. Normal ist das aber bei Word immer deaktiviert. Man muss es von Hand selbst aktivieren.

 

Wenn man den PC nicht nur zum spielen braucht sollte immer Vorkehrungen treffen.
aktuelle Version von Rescue CD hin legen und ab und zu das System sichern.
Auch ein besserer Emal Provider macht Sinn der alle Emals mit Angang auf Schadcod scannt
mein Provider macht das.

 

Sorry, aber das stimmt nicht. Auch der Defender erkennt mittlerweile - wie Avira und AVG auch - veraltetet Versionen von Locky. Das Teil wird aber "Wellenförmig" verteilt (über gehackte Server) und hat dabei jeweils komplett andere Signaturen und eben keine typischen Merkmale eines Virus. Bisher wurde keine Version von Locky auch nur irgendwie am Tag der Verteilung durch irgendein Antivirus Programm erkannt.

Ist sind alle Dateien und Verzeichnisse betroffen, die zum Zeitpunkt der Ausführung am PC hängen und für den angemeldeten Nutzer zugänglich, d.h. Berechtigungsmäßig änderbar sind. Da betrifft alle internen, externen oder per Netzwerk eingehängten (auch Cloud) Laufwerke.

Gerade bei großen Dateimengen ist es doch durchaus üblich, mit dem PC weiter zu arbeiten.

Nur wenn du dann das betroffene Dokument in der Zeit erneut ausführst. Das Teil verhält sich ja gerade nicht wie ein Virus, d.h. es hängt sich nicht in den Autostart oder fummelt am System rum. Es verschlüsselt wenn es (via Makro) vom Nutzer selber gestartet oder per JavaScript über einen gehackten Server ins System rauscht. Ist das Teil mit der Arbeit fertig (private Dateien verschlüsseln, Txt Datei im Editor öffnen, Hintergrund austauschen) tut das Ding nichts mehr, es sei denn der Nutzer startet es erneut.

Alle angeschlossenen Laufwerke und Verzeichnisse für die der aktive Nutzer Lese/- Schreibberechtigung hat und kein Admin Passwort abgefragt wird. Das System Verzeichnis von Windows packt das Teil nicht an, denn da würde die "Nutzerkontensteuerung" zuschlagen.

Es sind MS Office Dokumente ("DOC oder XLS) oder direkt JavaScript (.js) via Browser Lücken.

Korrekt. In praktisch allen bekannten Fällen, haben die Nutzer das Teil selber durch "Inhalte Aktivieren" selber gestartet.

Hätte bisher bei keine Locky Welle was gebracht.

 

Nun hats auch eine Kleinstadt erwischt

Ransomware: Die verschlüsselte Stadt, die zahlte - Golem.de

Tja was machen 500 Euro zahlen oder es selbst versuchen.
Aber für 500 Euro bekommt man keine Spezialisten die es wieder entschlüsseln.
Schwieriger Fall das ganze.

Wie konnte es dazu überhaupt kommen ?
Hat jemand in der Pause kompromitierte Seiten aufgerufen ?

 

Glaube mir, man kann "das Internet" sehr gut ohne Flash nutzen.

Und die Webseite, die meint mich ohne Flash ausgrenzen zu müssen, hat bei mir gleich verloren.

 

Die 'bösen Jungs' sind ja nicht blöd. Bevor die eine neue Virenversion in Umlauf bringen, werden die Viren erst mal auf 'Nichterkennung' mit den gängisten Scannern durchgetestet. Insofern wird die Methode mit den Virensignaturen ein ewiges 'Hase-und-Igel-Spiel' bleiben.

 

Richtig, aber da wäre der Schaden auch minimal (man müsste "nur" das System neu aufsetzen). Aber die Daten sind ja viel wichtiger.

Wobei die meisten Antivirenprogramme ja überempfindlich sind. Da wird jede Berechnung von Prüfsummen als Schädling gewertet obwohl fast immer total harmlos und auch so gewollt.
Mit Norton hat man dann ein großes Problem den angeblichen Virus wiederherzustellen, der wird dann leider endgültig gelöscht.

 

Da Locky nicht über FLash verbreitet wird, hätte das in den entsprechenden Fällen aber auch nichts genützt.

Dafür gibt es ja die Heuristik, die aber in der Regel auch nicht sehr gut funktioniert. Das Problem ist aber eben, dass sich Locky komplett anders verhält, als normale moderne Viren. Prinzipiell ist Locky nicht mal ein Virus!
Er vermehrt sich nicht, nimmt keine Systemveränderungen vor - nichts der gleichen.
Er verschlüsselt private Daten und teilt halt den Schlüssel nur gegen Bargeld mit.