Beiträge 800
||||
-
Zuletzt bearbeitet:
Feedback
Individueller Benutzer
Thx! 
fanwander
************************
Ganz einfach: kein Betriebssystem benutzen, bei dem Userprogramme mit Adminrechten ausgeführt werden...heide69 schrieb:
swissdoc
back on duty
Im konkreten Fall würde das nicht viel nützen. Ein Macro wird offenbar in Excel gestartet und verschlüsselt dann unter User-Rechten alle dessen Dateien. Mit dem Click auf das "harmlose" Excel-Sheet ist die Sache schon passiert. Wenn man die aktuellen Features ab Vista, wie UAC nicht abgeschaltet hat, dann sollte der Schädling sich jedoch nicht einnisten können. XP User, die als Admin arbeiten, die sind natürlich selber schuld. Wäre noch interessant, zu wissen, ob Locky auch auf Files auf Sharepoint zugreifen kann.fanwander schrieb:
Uns hat so 1999 mal dieser .JPG Virus über Outlook erwischt. Ein User hat das Ding gestartet. Das war noch NT4 oder so und schwupps, haben wir alle Bilder verloren. Mit uns meine ich den Netzbetreiber, bei dem ich arbeite, die Netzplanungsabteilung. Wir haben schön viele Bilder von unseren Standorten gehabt. Und unser IT ein Backup. Der Schreck war aber recht heftig...
Moogulator
Admin
fanwander schrieb:
Sagen wir mal so - du kannst oder könntest bei den meisten Betriebssystemen dem User einen anderen Account geben als dem Admin.
Nachteil - Installiersachen sind auf dem anderen Account und Nachteil 2 - Authentifizierung gilt ggf. nur für den Useraccount was neue Software angeht, das wird nämlich hier und da leider irgendwo Userbasiert organisiert. Bei allen OS's drauf achten.
Man kann also schon auch selbst was tun um sowas zu begünstigen bzw. es etwas schwerer zu machen.
Das nur ergänzend.
fanwander
************************
Nach meinem Verständnis verschlüsseln die Macros nicht, sondern sie sind nur der Türöffner (eben das "Trojanische Pferd", in dessen Bauch jemand sitzt, der das Tor in der Stadtmauer öffnen kann), der dann den Code nachlädt mit dem verschlüsselt wird.swissdoc schrieb:
Wenn wirklich nur User-Dateien betroffen wären, dann wäre das ja kein Problem. Das Problem ist ja wohl, dass man sich auch nicht mehr als Admin anmelden kann.
swissdoc
back on duty
OK, es wird ein Binary nachgeladen und dann im User Kontext ausgeführt. Die SW braucht aber keine Admin Rechte, sie nutzt auch nur Registry Entries im HKCU (HKEY_ CURRENT_USER). Ein User in einem Unternehmen hat aber in der Regel via Network Shares Zugriff zu vielen Verzeichnissen und dort kann er normalerweise auch schreiben. Spassig ist noch, dass das .exe im Wordfile als Hexcode abgelegt ist, der dann in das .exe geschrieben wird. Fast so, wie damals die C64 Spiele, die man als ellenlanges Hexcode-Listing abtippen musste.fanwander schrieb:
Zum Thema Login als Admin finde ich nichts.
http://www.heise.de/security/artikel/An ... 73181.html
R
Rabenheim
..
Bisher muss man ja noch aktiv werden und er kommt (zumindest nach meinem letzten Stand) nur per Mail rein. Habe trotzdem gerade etliche aufm Tisch stehen die sich den eingefangen haben.
Alles dabei, von der Oma die vom Enkel eine Mail bekommen hat bis zum Firmenchef, der dank: "ich bin Chef, ich muss überall alle Rechte haben" alle Freigaben inkl. der Backups in Spaghetti verwandelt hat.
Der Tanz geht erst richtig los wenn dafür ein Werbebanner ausreicht.
Alles dabei, von der Oma die vom Enkel eine Mail bekommen hat bis zum Firmenchef, der dank: "ich bin Chef, ich muss überall alle Rechte haben" alle Freigaben inkl. der Backups in Spaghetti verwandelt hat.
Der Tanz geht erst richtig los wenn dafür ein Werbebanner ausreicht.
Beiträge 800
||||
-
Zuletzt bearbeitet:
R
Rabenheim
..
Jup,
mit denen will ich grade nicht tauschen. Die haben echt Stress da.
Mal schauen wie viele heute damit rein kommen.
Gestern durfte ich 20min mit einem diskutieren der gar nicht verstehen konnte wie er sich das auf einem XP einfangen konnte... wo er doch drei AV Programme UND eine Zonealarm Firewall laufen hatte....
mit denen will ich grade nicht tauschen. Die haben echt Stress da.
Mal schauen wie viele heute damit rein kommen.
Gestern durfte ich 20min mit einem diskutieren der gar nicht verstehen konnte wie er sich das auf einem XP einfangen konnte... wo er doch drei AV Programme UND eine Zonealarm Firewall laufen hatte....
Beiträge 800
||||
-
Zuletzt bearbeitet:
nwsm
.....
Meine Tips:
Keine Anhänge in Emails öffnen die unbekannter Herkunft sind.
Datensicherung aller Daten Offline (Backup) und das Medium vor dem Online gehen aushängen, physikalisch abstecken
Den PC bei Befall platt machen. Selbigen Fehler nicht wiederholen.
________
Fragen dazu, kann man nicht Anhänge in einer Sandbox öffnen?
Wenn ich Mails in einer VM mit Linux öffne greift der Virus dann umsich und wütet außerhalb der VM?
Keine Anhänge in Emails öffnen die unbekannter Herkunft sind.
Datensicherung aller Daten Offline (Backup) und das Medium vor dem Online gehen aushängen, physikalisch abstecken
Den PC bei Befall platt machen. Selbigen Fehler nicht wiederholen.
________
Fragen dazu, kann man nicht Anhänge in einer Sandbox öffnen?
Wenn ich Mails in einer VM mit Linux öffne greift der Virus dann umsich und wütet außerhalb der VM?
R
Rabenheim
..
Aus einer vm kommst Du nicht so ohne weiteres raus. Das ist schon ziemlich sicher.
Muss halt installiert werden, braucht Leistung usw. Ist nicht für jeden was.
Hier wirds mal technisch auseinander genommen. Geht primär um die aktuellen joomla Infektionen.
https://isc.sans.edu/forums/diary/Angle ... tes/20741/
Muss halt installiert werden, braucht Leistung usw. Ist nicht für jeden was.
Hier wirds mal technisch auseinander genommen. Geht primär um die aktuellen joomla Infektionen.
https://isc.sans.edu/forums/diary/Angle ... tes/20741/
Beiträge 800
||||
-
Zuletzt bearbeitet:
R
Rabenheim
..
Wirtschaftlich macht das aber jetzt weniger Sinn wie private oder Firmenrechner. Die meisten Seiten dürften bei grösseren Hostern sein. Die machen regelmässig Backups.
Mal schauen wie lange es noch geht bis der über Werbenetzwerke verteilt wird.
Mal schauen wie lange es noch geht bis der über Werbenetzwerke verteilt wird.
nwsm
.....
Die Ransomware TeslaCrypt ist geknackt und betroffene Nutzer können auch ohne das Zahlen von Lösegeld wieder Zugriff auf ihre verschlüsselten Daten erlangen. Heise Security hat das erfolgreich ausprobiert.
http://www.heise.de/forum/heise-Securit ... um-254156/
Hahah, Reingefallen!
Wenn man Glück hat erwischt man Version 3:
- http://www.bleepingcomputer.com/news/se ... xtensions/
http://www.heise.de/forum/heise-Securit ... um-254156/
Hahah, Reingefallen!
Wenn man Glück hat erwischt man Version 3:
- http://www.bleepingcomputer.com/news/se ... xtensions/
nwsm
.....
heide69 schrieb:
Wie es aussieht geht er nur auf Endungen bestimmten Typs. Was ist wenn man sich seine eigenen Endungen erfindet.
Sagen wir mal eine EXE wird zu Ausführung01
BAT zu BATBATBATMAN
TXT zu Docy usw....dann findet der Troj. doch die Files nicht?!?! Oder?
R
Rabenheim
..
vermutlich geht der nur über die Endungen. Das gilt aber auch für die meisten Windows Programme. 
Datensicherung dürfte da stressfreier sein
Datensicherung dürfte da stressfreier sein
Beiträge 800
||||
-
Zuletzt bearbeitet:
Similar threads
News
-
Auf RSF / Behringer Kobol Snare Drum erstellen // 10 Minuten - 19:00 heute online- Gestartet von Moogulator
- Antworten: 3
-
SequencerTalk 208 Heute - Elektron Digitakt II - keiner ballert mehr!
- Gestartet von Moogulator
- Antworten: 1
-
-
Beetlecrab Tempera Granular Synthesizer Talk (English) at SequencerTalk Developer Talk #207
- Gestartet von Moogulator
- Antworten: 1
-
Elektron Digitakt II - alles doppelt! 8 Takte, Viel Speicher, Kits etc.
- Gestartet von Moogulator
- Antworten: 6
-
KI stellt Depeche Mode nach - nach Umstellung wird das zu einer generischen Clone-Band-Kopie, AI Song verursachte komplette Löschung aller Accounts…
- Gestartet von Moogulator
- Antworten: 0
-