PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Wie verbreitet sich Locky?



Dono
24.02.16, 09:37
Hi,

das hat zwar wenig mit Linux zu tun, aber mit Sicherheit.

Mit verbreiten meine ich, wie sich der Virus, wenn er es in ein LAN geschafft hat, von PC zu PC verbreitet?
Auch per Mail/Browser script oder geht der noch andere (Windows)Wege?

Der Sicherheitsforscher Kevin Beaumont: Locky sei außerdem in der Lage, sich in Netzwerken zu verbreiten.

Aber wie?

stefan.becker
24.02.16, 21:18
Grundsätzlich musst du Locky installieren oder du hast einen schlecht gepflegten Rechner.

Also installieren über den Standardweg: E-Mail von einer nicht persönlich bekannten Firma mit einer Rechnung über nicht bestellte Produkte zu einem völlig überhöhten Preis. Da muss man den Anhang natürlich anklicken zur Unsicherheit und selbstverständlich sämtlich UAC Abfragen abnicken (bzw. UAC deaktiviert, weil nervend).

Oder halt Rechner nicht gepflegt. Sprich Browser Plugins von Fred Feuersteien mundgeblasen und handsigniert. Und Windows Updates deaktiviert, weil nervend. Dann installiert sich das Zeug selbst per DriveBy.

Hört sich beides komisch an, ist aber so. Schau dir Logfiles bei botfrei.de oder TJB an, dann verstehst du, was ich meine. Und dazu wie immer passende Fehlerbeschreibungen wie "habe aus Versehen angeklickt".


Die Verbreitung im Netz meint eigentlich nur, dass sich Locky sämtliche verfügbare und mountbare Medien wie NAS oder externe Platten reinzieht.


Was mich an der ganzen Diskussion derzeit wundert: Den laut Heise über 100.000 Infektionen je Tag alleine in D stehen so gut wie keine Fragen in Fachforen entgegen.


Außerdem ist Locky wirklich nichts neues. Die ersten Cryptotrojaner gab es schon vor einigen Jahren. Und die Verbreitungswege per Mail und DriveBy sind nun wirklich auch Asbach Uralt.

rstuby
25.02.16, 10:19
Keine Fragen in Fachforen? Auf dem Trojanerboard ist doch eine ganze Menge los. Nur hat sich wohl schon rumgesprochen, dass auch bei einer Bereinigung die Daten verschlüsselt bleiben.


Außerdem ist Locky wirklich nichts neues.
Makroviren für Word galten doch eher schon als etwas, was es "früher mal" gegeben hat...

stefan.becker
25.02.16, 19:36
Viel los ist bei mir was anderes. Der Großteil der TJB Threads ist doch Adware, das geht doch bald auf 90 % zu.

Du findest mit dem Suchwort locky dort keine 20 Threads. Und bei den von Heise genannten Zahlen müsste das wesentlich mehr sein meiner Meinung nach.

Ich gebe aber zu, ich habe keine Statistik dazu. Das ist mein subjektives Gefühl.

Jo und mit Word ist das wie mit der Mode. Jetzt mal Office Dokumente, davor war es PDF oder ZIP mit was drin oder $Nackt.jpg.exe. Bildschirmschoner gab es auch schon mal, alles nichts neues.

Das Problem ist eh zumeist das übliche Layer 8 Problem bzw. PEBKAC: Veraltete Software oder beim Klicken nicht nachdenken.

In manchen Situationen habe ich noch Verständnis. Bsp. wenn man im Personalbüro arbeitet und eine Bewerbung bekommt mit Trojaner. Oder wenn die Pseudorechnung von einer Firma wäre, mit der man wirklich Kontakt hat.

Grundsätzlich wäre es gut, wenn die ganze Anhängerei aufhört. Soll die Firma doch schreiben: "Die Rechnung hat einen Betrag von x EUR 80. Und runterladen können sie die Rechnung im Kundencenter".

rstuby
25.02.16, 20:14
Bei den Bereinigungen ist kaum Locky, aber im Diskussionsforum je mehrere Fälle pro Locky-Thread. Deswegen meinte ich, vielleicht wissen die schon, dass eine Bereinigung ihnen nicht weiterhilft.

Ich denke, in vielen Fällen wissen die Leute in der Firma oder in der Familie "ganz genau", für wen die Rechnung sein könnte...

stefan.becker
25.02.16, 20:29
Glaube ich eher nicht. Verzweifelte User fragen trotzdem, ob es nicht irgendeinen Weg gibt.

scorpius
14.03.16, 16:58
... $Nackt.jpg.exe..

Kann ich gar nicht anklicken! Hast du vergessen das zu verlinken? :mad:


:D