Sie sind nicht angemeldet.

Lieber Besucher, herzlich willkommen bei: gt86drivers.de - Das Toyota GT86 und Subaru BRZ Forum. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

  • »Donn!e DarKo« ist der Autor dieses Themas

Beiträge: 1 795

Fahrzeuge: BMW 318is Class II, GT86 TRD

Wohnort: Gießen

Beruf: Systemadministrator

Danksagungen: 77

  • Nachricht senden

1

Donnerstag, 25. Februar 2016, 14:12

[UPDATE 24.03.16] Petya Trojaner - 4.0

Moin,

Da wir ja einige ITler hier im Forum haben, ist dieses Thema sicherlich schon bekannt. Trotzdem möchte ich auch alle anderen Ansprechen, die evtl nicht soviel Ahnung von der Materie haben.

Dazu gibt es folgende Berichte, die man sich unbedingt mal durchlesen sollte.

http://www.heise.de/security/meldung/Neu…ax-3117249.html
http://www.heise.de/security/meldung/Erp…GP-3116677.html
http://www.heise.de/newsticker/meldung/A…er-3116470.html

Da ich Systemadministrator bin, muss ich also für unser Umfeld eine Vorsorge treffen. Dazu gehört auch, andere zu Informieren und evtl Infizierungen einzuschränken.

Kurze Zusammenfassung:

Der Locky Trojaner ist ein Trojaner welcher bevorzugt, über Email anhänge und das ausführen oder öffnen der Datei, in den Rechner eindringt.
Er beginnt Sofort alle Dateien zu Verschlüssel eingeschlossen sind Verbundene Netzwerklaufwerke, also in so einem Fall ebenfalls alle Daten auf dem NAS.

Maßnahme:

1. Sollte sich der Computer Infizieren rate ich dazu, SOFORT den Netzstecker zu ziehen und alle Geräte die sich im Netz befinden ebenfalls vom Strom zu trennen.
Den der Trojaner verbreitet sich eben auch über Netzwerkfreigaben, dazu gehören ziemlich viele Geräte.

2. Es gibt sog. Notfall Antiviren Disc bsp. http://www.heise.de/download/desinfect.html alternative bieten auch viele anderen Anti-viren Abieter solche Notfall DVDs an.
Die man auch auf dem heimischen Rechner auf eine DVD oder USB Stick stopfen kann.
Das System damit Starten und schauen ob man den Virus evtl eliminieren kann.

3. Den Internet Explorer meiden. Alternative Chrome oder Firefox nutzen und dort ein Addon downloaden und installieren.
Firefox - https://addons.mozilla.org/de/firefox/addon/noscript/
Chrome - https://chrome.google.com/webstore/detai…hbcfoiefnifjeni

-> Installieren und danach den Browser Neustarten.

4. Email Anhänge mit bedacht öffnen. Locky kann mit folgenden Dateiendungen als Email Anhang ankommen

Zitat

264 3g2 asf asx avi bik dash dat dvr flv h264 m2t m2ts 3dm 3ds 3gp 7z a3d aa aac ace adp ai amr ape apk apng arj asm asp aspx aws bas bat bbc blend bml bmp btm bzip2 c c4d cab cdr cfm cgi cgm clear clf cmd coff cpio cpp cpt cs csv dds deb dgn dicom dif dll djvu doc docx dta dvi dwg dxf edi elf emf eps exe fbx fig flac gif gpx gzip h ha hdr htm html iff ihtml phtml img inf iso jar java jpe jpeg jpg js jsp lav lha lib lwo lws lzo lzx m3d ma mac maf max mb md mdf mdl mds mhtml midi mkv ml mmf mng mod mov mp3 msi mxf nrg obj ods odt ogg out pas pcl pcx pdf pdn php pkg pl png pos prg prt ps psd py pz3 rar raw rb rib rpm rtf sai sd7 sdxf sgml sha shtml sldasm sldprt smc smil spr stdf stm stp svg swf sxc tar tex texinfo tga tgz tif tiff troff txt u3d unity uts vob vsm vue wav wif wire wlmp wma wmf wmv x x3d xhtml xls xlsx xmi xml xpm xz zip zoo m4v mp4 mpeg mpg mswmm mts ogv prproj rec rmvb tod tp ts webm 3ga aiff cda dvf gp4 gp5 logic m4a m4b m4p pcm snd sng uax wpl dib dng dt2 ico icon pic thm wbmp wdp webp arw cr2 crw dcr fpx mrw nef orf pcd ptx raf rw2 csh drw emz odg sda abr ani cdt fla icns mdi psb pzl sup vsdx 3D 3d dwfx lcf pro pts skp stl x_t eot otf ttc ttf woff aww chm cnt dbx docm dot dotm dotx epub ind indd key keynote mht mpp mpt odf ott oxps pages pmd pot potx pps ppsx ppt pptm pptx prn pub pwi rep sdd sdw shs snp sxw tpl vsd wpd wps wri xps 1st alx application eng log lrc lst nfo opml plist reg srt sub tbl text xsd xsl xslt azw azw3 cbr cbz fb2 iba ibooks lit mobi sdc xlsm accdb accdt mdb mpd one onepkg pst thmx big hi lng pak res sav save scn scx wotreplay wowpreplay g64 gb gba mbz n64 nds nes rom smd srm v64 ova ovf pvm vdi vhd vmdk vmem vmwarevm vmx ashx atom bc class crdownload css dlc download eml gdoc gsheet gslides json part partial rss torrent xap ldif msg vcf app com cpl gadget lnk scr tmp vbs bin drv ocx sys vxd 002 003 004 005 006 007 008 009 010 7zip a00 a01 a02 a03 a04 a05 air arc asec bar c00 c01 c02 c03 cso gz hqx inv ipa isz msu nbh rar r00 r01 r02 r03 r04 r05 r06 r07 r08 r09 r10 sis sisx sit sitd sitx tar.gz webarchive z01 z02 z03 z04 z05 bak bbb bkf bkp dbk gho ipd mdbackup nba nbf nbu nco old sbf sbu spb tib wbcat 000 ccd cue daa dao dmg mdx tao tc toast uif vcd crypt ipsw npf pkpass rem rsc gdb ofx qif db dbf fdb idx msmessagestore sdf sql sqlite wdb kml kmz map appx appxbundle blf dump evtx kext mui sfcache swp cnf contact deskthemepack ics ifo lrtemplate m3u m3u8 pls skn svp template theme themepack trm wba plugin safariextz xpi inc jad o rc scpt src cfg ini usr dmp ksd pfx ut adadownload cache temp 3dr cal dct dic gbk md5 prj ref upd upg


Solltet ihr eine Emailabsender nicht kennen (auch wenn diese Vertrauenswürdig erscheinen) die email einfach Löschen. Selbst wenn da Rechnung steht oder sonst irgendwas.
Dann ruft lieber bei der Absender Firma an und informiert euch, ggfs. lasst ihr euch die Rechnung noch einmal neu zusenden.

5. Linux, Android oder Mac benutzen ... diese Systeme scheinen bis jetzt noch nicht betroffen.
Solltet ihr aber eine Freigabe haben worauf ein Windows Rechner drauf zugreift, dann kann es passieren das diese Dateien ebenfalls verschlüsselt werden.

Ich hoffe das ich einigen eine kleine Hilfe sein konnte :-) So und nun viel Spaß beim Surfen und aufpassen, nicht das es euch auch erwischt.

[UPDATE]

Mittlerweile gibt es wohl ein kleines Programm was davor schützt.

http://www.heise.de/download/malwarebyte…re-1197390.html

Der Passende Artikel dazu

http://www.heise.de/security/meldung/Kry…tz-3118188.html

Gruß Donne
GT86 TRD Schwarz - 200 PS
KW V3 - Bastuck MSD - Bastuck ESD - Ragazzon FP
Winter : VA -2* - HA -3* | Winterfelgen GT86 7x17 ET 43 + 25mm Spurplatten pro Seite
Sommer : VA -2* - HA -3* | OZ Ultraleggera 8x18 ET45

Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von »Donn!e DarKo« (24. März 2016, 14:09)


Es haben sich bereits 4 registrierte Benutzer bedankt.

Benutzer, die sich für diesen Beitrag bedankt haben:

860 (25.02.2016), Dr.Frexx (25.02.2016), AnPe (26.02.2016), madflower (26.02.2016)

patx

Erleuchteter

Beiträge: 3 168

Danksagungen: 226

  • Nachricht senden

2

Donnerstag, 25. Februar 2016, 14:20

Problem ist, dass sich diese Version nicht nur auf aktuell verbundene Netzlaufwerke ausbreitet, sondern schlicht auf alle erreichbaren. Und mittlerweile nicht mehr nur per Mail, auch über Websites usw.

Ganz übles Ding... und es gibt immer reichlich User, die trotzdem jedes noch so unplausibles Mail kopfleer anklicken...
Audi A3 Sportback S line 1.8 TFSI / Seit 06.03.15 zusätzlich: Toyota GT86 in pearl-white

  • »Donn!e DarKo« ist der Autor dieses Themas

Beiträge: 1 795

Fahrzeuge: BMW 318is Class II, GT86 TRD

Wohnort: Gießen

Beruf: Systemadministrator

Danksagungen: 77

  • Nachricht senden

3

Donnerstag, 25. Februar 2016, 14:26


Problem ist, dass sich diese Version nicht nur auf aktuell verbundene Netzlaufwerke ausbreitet, sondern schlicht auf alle erreichbaren. Und mittlerweile nicht mehr nur per Mail, auch über Websites usw.

Ganz übles Ding... und es gibt immer reichlich User, die trotzdem jedes noch so unplausibles Mail kopfleer anklicken...


Das Stimmt, die Verbreitung ist halt dem User geschuldet. Aber genau deswegen hab ich den Thread erstellt. Hier erreiche ich definitiv Leute die mit dem Rechner umgehen.
Aber ich kenne das halt auch, das Leute zwar nen Rechner bedienen können, sich aber nicht mit der Materie auseinander setzen wollen/können.

Ich hoffe trotzdem das die Info evtl. einigen hilft :-)
GT86 TRD Schwarz - 200 PS
KW V3 - Bastuck MSD - Bastuck ESD - Ragazzon FP
Winter : VA -2* - HA -3* | Winterfelgen GT86 7x17 ET 43 + 25mm Spurplatten pro Seite
Sommer : VA -2* - HA -3* | OZ Ultraleggera 8x18 ET45

Er1c

Profi

Beiträge: 1 616

Fahrzeuge: - keines

Wohnort: Bodensee

Danksagungen: 44

  • Nachricht senden

4

Donnerstag, 25. Februar 2016, 14:28

Jupp, bei uns in der Firma sind auch bereits einige Netzlaufwerke befallen. Irgendeinen Dummen findet sich immer
__________________

viva71

Unterstützer

Beiträge: 3 499

  • Nachricht senden

5

Donnerstag, 25. Februar 2016, 14:30

Ich hatte auch schon mit der Verrechnungsstelle Kontakt, auch telefonisch, hochprofessionelle Hotline (nicht scherzhaft gemeint!).

Nachdem ich aber beim Kunden knapp 90% wieder aus Backups herstellen konnte und nur mehr private Sachen betroffen war haben wir abgebrochen.

Zahlungsmittel: BitCoin

  • »Donn!e DarKo« ist der Autor dieses Themas

Beiträge: 1 795

Fahrzeuge: BMW 318is Class II, GT86 TRD

Wohnort: Gießen

Beruf: Systemadministrator

Danksagungen: 77

  • Nachricht senden

6

Donnerstag, 25. Februar 2016, 14:37


Ich hatte auch schon mit der Verrechnungsstelle Kontakt, auch telefonisch, hochprofessionelle Hotline (nicht scherzhaft gemeint!).

Nachdem ich aber beim Kunden knapp 90% wieder aus Backups herstellen konnte und nur mehr private Sachen betroffen war haben wir abgebrochen.

Zahlungsmittel: BitCoin


Wir waren bissher verschont, ich suche momentan noch eine möglichkeit die Makro-Ausführung über die GPO zu verbieten. Jemand ne Lösung parat?
GT86 TRD Schwarz - 200 PS
KW V3 - Bastuck MSD - Bastuck ESD - Ragazzon FP
Winter : VA -2* - HA -3* | Winterfelgen GT86 7x17 ET 43 + 25mm Spurplatten pro Seite
Sommer : VA -2* - HA -3* | OZ Ultraleggera 8x18 ET45

Nedash

Profi

Beiträge: 796

Fahrzeuge: Subaru BRZ 2.0 Sport

Wohnort: Hamburg

Beruf: Schiffahrtskaufmann

Danksagungen: 125

  • Nachricht senden

7

Donnerstag, 25. Februar 2016, 14:56

In unserem Netzwerk hat es der gleiche Benutzer schon 2 mal geschafft, sich den Trojaner einzufangen,
an 2 aufeinanderfolgenden Tagen. :love:

Bin zum Glück nicht der Admin und kann mir das alles in Ruhe von außen angucken :D
満月-86

patx

Erleuchteter

Beiträge: 3 168

Danksagungen: 226

  • Nachricht senden

8

Donnerstag, 25. Februar 2016, 14:58

Dem hätte ich den Rechner entzogen...
Audi A3 Sportback S line 1.8 TFSI / Seit 06.03.15 zusätzlich: Toyota GT86 in pearl-white

Artalos

Fortgeschrittener

Beiträge: 462

Fahrzeuge: GT86 - inferno orange

Beruf: Sowas mit Computern - also alles mit Strom

Danksagungen: 18

  • Nachricht senden

9

Donnerstag, 25. Februar 2016, 18:59

Genau gibt im Prinzip drei Dinge die man effektiv machen kann:
- Backups, Backups und noch mal Backups und dann die Datenträger auf denen gespeichert wird stromlos aufbewahren
- Alle Markos per GPO oder lokal in den Office Einstellungen einschränken/deaktivieren (beachten: Vertrauenswürdige Quellen sind hiervon evtl. nicht betroffen)
- Wer eine FritzBox oder einen Proxy nutzt: Das Downloaden von .exe / .pif Dateien verbieten, die Makros und JavaScripte laden nachträglich Dateien herunter, die die eigentliche Verschlüsselung anstossen
- JavaScript und PHP sind for die "WebServer" Variante relevant, also ggfs. auch deaktivieren

Die Selbstverständlichkeit, dass man Dateien / EMails die man nicht kennt / erwartet auch nicht öffnet sondern ungelesen löscht, erwähne ich mal nur zur Vollständigkeit.

Diese blöde Ding hat uns ziemlich auf Trap gehalten... bis jetzt keine Infektion :-D
Warum der GT so ein geiles Auto ist?
------------------------------------------------------
Abgefahren: Der GT86 in Bewegung
Lesestoff: Bücher.
Lustig: Is drifting a crime?

Beiträge: 1 163

Danksagungen: 222

  • Nachricht senden

10

Donnerstag, 25. Februar 2016, 20:40

Das Zeug ist die Pest schlechthin. Am Ende kannst Du machen was Du willst (sofern Du durch Dein OS gefährdet bist). Von daher behaupte ich: Hirn schlägt Technik – immer noch.

Und die (derzeit) beste „Waffe“ ist (D)ein aktuelles, funktionierendes Backup udn die CPU zwischen den Ohren.
Ich möchte wie mein Opa im Schlaf sterben und
nicht so jammernd wie sein Beifahrer.

満月-86

GT_86

Profi

Beiträge: 834

Fahrzeuge: NSU 1000C, VW Derby, Opel Ascona Sport 2.0 E, VW Corrado G60 Exklusiv, Opel Corsa C 1,2, BRZ

Wohnort: Bremen

  • Nachricht senden

11

Donnerstag, 25. Februar 2016, 23:22

In unserem Netzwerk hat es der gleiche Benutzer schon 2 mal geschafft, sich den Trojaner einzufangen,
an 2 aufeinanderfolgenden Tagen. :love:

Bin zum Glück nicht der Admin und kann mir das alles in Ruhe von außen angucken :D

Privat gesurft, oder geht das in unserer Branche auch schon rum ?
3 : 3 ;)

schockfroster

Fortgeschrittener

Beiträge: 251

Fahrzeuge: GT86, Yaris XP9 1,33

Wohnort: Bayerisch Schwaben

Beruf: noch ein IT-ler

Danksagungen: 23

  • Nachricht senden

12

Freitag, 26. Februar 2016, 06:23

Die Mails "tarnen" sich stellenweise richtig gut. Da kommt dann eine Mail zum Beispiel von MarkusMeier47632@firmendomain.de wobei es sich bei der Domain um die gleiche wie die des Empfängers handelt. Da hat man als Admin gar keine große Chance seine Mitarbeiter zu sensibilisieren. Die sehen nur die eigene Domain im Absender und öffnen bereitwillig alle Anhänge.

patx

Erleuchteter

Beiträge: 3 168

Danksagungen: 226

  • Nachricht senden

13

Freitag, 26. Februar 2016, 07:51

Die Mails "tarnen" sich stellenweise richtig gut. Da kommt dann eine Mail zum Beispiel von MarkusMeier47632@firmendomain.de wobei es sich bei der Domain um die gleiche wie die des Empfängers handelt.

Geht so, ich habe einfach im Spamfilter alle Mails *@firmendomain.tld in Richtung eingehend geblockt - es macht logisch keinen Sinn, dass Mails von außen durch unseren Mailproxy mit unseren Domains kommen :D Sonst hast du recht, so ein relativ vertrauter Absender verwirrt sehr viele User.
Audi A3 Sportback S line 1.8 TFSI / Seit 06.03.15 zusätzlich: Toyota GT86 in pearl-white

schockfroster

Fortgeschrittener

Beiträge: 251

Fahrzeuge: GT86, Yaris XP9 1,33

Wohnort: Bayerisch Schwaben

Beruf: noch ein IT-ler

Danksagungen: 23

  • Nachricht senden

14

Freitag, 26. Februar 2016, 09:54


es macht logisch keinen Sinn, dass Mails von außen durch unseren Mailproxy mit unseren Domains kommen :D
Das macht durchaus Sinn. Danke für den Denkanstoss :thumbup:

viva71

Unterstützer

Beiträge: 3 499

  • Nachricht senden

15

Freitag, 26. Februar 2016, 10:05

Was mich bei dem Thema so richtig stört, für den Bundestrojaner hat man Geld, für Parksünder hat man Geld aber für Verhandlungen um rechtliche Mittel Weltweit gegen diese Erpresserbanden zu haben wird keine Energie eingesetzt.

Und die machen richtig Geld...für mich ist das nichts anderes als Terror

Beiträge: 1 163

Danksagungen: 222

  • Nachricht senden

16

Freitag, 26. Februar 2016, 11:45

Die Mails "tarnen" sich stellenweise richtig gut. Da kommt dann eine Mail zum Beispiel von MarkusMeier47632@firmendomain.de wobei es sich bei der Domain um die gleiche wie die des Empfängers handelt. Da hat man als Admin gar keine große Chance seine Mitarbeiter zu sensibilisieren. Die sehen nur die eigene Domain im Absender und öffnen bereitwillig alle Anhänge.


Gibt es einen Grund warum Mails der eigenen Domäne von extern kommend nicht sofort verworfen werden? Das ist eigentlich eine übliche Einstellung, ebenso wie eine DNS Prüfung des Absenders.
Ich möchte wie mein Opa im Schlaf sterben und
nicht so jammernd wie sein Beifahrer.

満月-86

Beiträge: 1 163

Danksagungen: 222

  • Nachricht senden

17

Freitag, 26. Februar 2016, 11:49

...für mich ist das nichts anderes als Terror


Das stimmt wohl. Und es wird jeden Tag "besser".

Ich möchte nicht wissen wie hoch der wirtschaftliche Schaden sein wird. Ganz abgesehen von dem "emotionalen Schaden" bei diversen Anwendern und Supportlern, die dem Terror ausgesetzt sind. :(
Ich möchte wie mein Opa im Schlaf sterben und
nicht so jammernd wie sein Beifahrer.

満月-86

Zeto

Fortgeschrittener

Beiträge: 178

Danksagungen: 4

  • Nachricht senden

18

Freitag, 26. Februar 2016, 12:59

Ganz hässliche sache sowas, eine bekannte von mir hat sich auch mal so eine CryptoLocker variante eingefangen natürlich kurz vor der Abgabe der Masterarbeit,
keine Chance auch nur irgendwas wiederherzustellen, die ärmste hat dadurch zwei Wochen arbeit verloren.

Das einzige was da wirklich hilft sind regelmäßige Backups auf externe Datenträger die nach dem Backup direkt entfernt werden.
Die Infektion bei ihr passierte wohl auch über eine Webpage trotz einsatz von aktueller Anti-Viren Software.
Mein "Schneewittchen"
Jeremy Clarkson "It's a car designed for one thing only: fun. It is a lovely car to drive.."

goody85

Profi

Beiträge: 1 142

Fahrzeuge: Toyota GT 86

Wohnort: Bochum

Beruf: Prozesssupporter Energie

Danksagungen: 38

  • Nachricht senden

19

Freitag, 26. Februar 2016, 13:25

Übel... Meine Arbeit hat es auch etwas erwischt... Hier funktioniert schon seit gestern Nachmittag nix mehr...

  • »Donn!e DarKo« ist der Autor dieses Themas

Beiträge: 1 795

Fahrzeuge: BMW 318is Class II, GT86 TRD

Wohnort: Gießen

Beruf: Systemadministrator

Danksagungen: 77

  • Nachricht senden

20

Freitag, 26. Februar 2016, 15:35

Mittlerweile gibt es wohl ein kleines Programm was davor schützt.

http://www.heise.de/download/malwarebyte…re-1197390.html

Der Passende Artikel dazu

http://www.heise.de/security/meldung/Kry…tz-3118188.html
GT86 TRD Schwarz - 200 PS
KW V3 - Bastuck MSD - Bastuck ESD - Ragazzon FP
Winter : VA -2* - HA -3* | Winterfelgen GT86 7x17 ET 43 + 25mm Spurplatten pro Seite
Sommer : VA -2* - HA -3* | OZ Ultraleggera 8x18 ET45