Locky - der Verschlüsselungstrojaner

Du benötigst Hilfe bezüglich Firefox? Bitte stelle deine Frage im öffentlichen Bereich des Forums und nicht per Konversation an wahllos ausgesuchte Benutzer. Wähle dazu einen passenden Forenbereich, zum Beispiel „Probleme auf Websites“ oder „Erweiterungen und Themes“ und klicke dann rechts oben auf die Schaltfläche „Neues Thema“.
  • Neben Shortcuts von Office die in Anhängen von Mails warten, geht es neuerdings mehr über Scripte, die in Webseiten lauern.

    Firefox 88.0 Standard & Portabel.
    Windows 10/64 Pro 20H2, 19042.964. Malwarebytes Premium, Adwcleaner, Windows Firewall. Keine Tuningsoftware.

    BACKUP machen, jetzt!

  • Dinole
    Im Malwarebytes gibt es die Funktion 'Ausschliessen'. Ich nehme an damit kann man Programme vom Scannen und löschen ausschliessen.


    http://www.heise.de/security/m…rss.security.beitrag.atom


    Einfach gesagt, MBARW sucht vor allem nach Programmen, die haufenweise Dateien in ein anderes Format ändern. Ich habe jedenfalls zwei solche Programme eingetragen. Beide machen viel an Dateien herum.


    [attachment=0]MalwawarbytesAntiRansom.jpg[/attachment]

  • Zitat von bigpen

    Im Malwarebytes gibt es die Funktion 'Ausschliessen'. Ich nehme an damit kann man Programme vom Scannen und löschen ausschliessen.

    Hallo bigpen,


    das ist richtig, das habe ich gesehen. Allerdings ist dieses Programm, welches Funde direkt in die Quarantäne schickt und dort dann ohne jede Nachfrage direkt löscht, so nicht sinnvoll nutzbar. Ich mache mir da nichts vor, wenn ich ins Forum von MBARW schaue und sehe, wie viele F/P's da gemeldet werden, dann habe ich schon den Eindruck, dass dieses Programm noch im Beta-Status der Beta-Version ist. Sinnvoller wäre doch, einen Fund aus der Quarantäne direkt in die Ausschlussliste schieben zu können, aber erst das Programm zu löschen, neu zu installieren um dann die "Exe" in die Ausschlussliste zu setzten, also ich weiß nicht so recht. Ich denke das ist auch der Grund, weshalb diese Aussage vermerkt wurde....


    [Blockierte Grafik: http://abload.de/img/2016-02-27_0739580iz58.jpg]


    Ich bleibe dann lieber bei meiner Vorgehensweise des verstärkten Aufpassens beim Surfen und Anhängen öffnen.

    Viele Grüße


    Dinole

  • Zitat von Dinole

    und dort dann ohne jede Nachfrage direkt löscht


    Das ist für mich ein absolutes NoGo. Ich möchte doch zumindest gefragt werden ob Programm XY gelöscht werden soll. Immerhin produziert das Tool noch serienweise F/Ps.


    Zitat

    Der Hersteller rät davon ab, die Beta-Version auf Produktivsystemen einzusetzen.


    Und wo soll ich das Tool dann einsetzen? Zuerst den Arbeitsrechner auf einen zweiten klonen, um das Tool nutzen zu können? Dann bleibe ich lieber bei meinem Sicherheitskonzept. Zusätzlich habe ich ja auch noch die zeitnahen Backups in der Hinterhand.

  • Bei mir hat sich das Programm bisher normal verhalten. Keine FalsePositives, kein willkürliches Löschen von irgendwelchen Programmen. Und wenn, ein Programm wäre schnell wieder installiert.


    Zitat

    Der Hersteller rät davon ab, die Beta-Version auf Produktivsystemen einzusetzen.


    Das ist klar. Er will ja nicht für etwaige "Unfälle" verantwortlich gemacht werden.


    Ist auch klar dass jeder das macht was er für gut befindet. Bei mir jedenfalls bleibt MBARW vorläufig auf dem Rechner.


    Edit:
    Hast du noch einen Link zu diesem TeslaCrypt-Artikel?

    Firefox 88.0 Standard & Portabel.
    Windows 10/64 Pro 20H2, 19042.964. Malwarebytes Premium, Adwcleaner, Windows Firewall. Keine Tuningsoftware.

    BACKUP machen, jetzt!

    Einmal editiert, zuletzt von bigpen ()

  • OK danke. Das ist ja der Link, den ich im Beitrag #49 selber gepostet hatte ... :)

    Firefox 88.0 Standard & Portabel.
    Windows 10/64 Pro 20H2, 19042.964. Malwarebytes Premium, Adwcleaner, Windows Firewall. Keine Tuningsoftware.

    BACKUP machen, jetzt!

  • Inzwischen habe ein wenig Versuche angestellt:


    - 60 Filmschnipsel (kurze Filmdateien) in einen Ordner kopiert
    - mit 'Renamer' (ausgeschlossen in Exclusion) die Endung '.locky' angehängt (macht Locky lt. heise)
    - mit 'SyncBack Free' (auch ausgeschlossen) ein Totalbackup aller Datendateien, auch den .locky, gemacht


    Keine irgendwelche Änderungen. Programm und Dateien sind noch da


    Die Programme Renamer und SyncBack Free aus der Exklusion genommen, das gleiche Spiel wiederholt, keine Reaktion. Eigentlich hätte MBARW jetzt ausrufen müssen ...

    Firefox 88.0 Standard & Portabel.
    Windows 10/64 Pro 20H2, 19042.964. Malwarebytes Premium, Adwcleaner, Windows Firewall. Keine Tuningsoftware.

    BACKUP machen, jetzt!

  • Zitat von bigpen

    Eigentlich hätte MBARW jetzt ausrufen müssen ...

    ..vielleicht wurde ja jetzt MBARW von Locky gelockt. :-???

    Viele Grüße


    Dinole

  • Dinole, ich habe KEIN Locky auf dem Rechner! :klasse:


    Fox2Fox
    heise schreibt, dass die Endungen von verschlüsselten Dateien .locky sei. Dann hätte doch MalwareBytes irgendwie reagieren müssen.

    Firefox 88.0 Standard & Portabel.
    Windows 10/64 Pro 20H2, 19042.964. Malwarebytes Premium, Adwcleaner, Windows Firewall. Keine Tuningsoftware.

    BACKUP machen, jetzt!

  • ".locky" ist zwar die Endung der verschlüsselten Dateien, aber nicht der Trojaner selber. Ergo reagiert auch kein Virenscanner darauf. Sonst würden nur deine eigenen (harmlosen) Dateien gelöscht. :wink:

  • Die Funktionsweise von MBARW (heise):

    Zitat

    Löscht ein Prozess etwa massenhaft Dateien bestimmter Formate und legt dafür neue an, könnte es sich um einen Krypto-Trojaner handeln, der gerade die persönlichen Dateien des Nutzers verschlüsselt.


    Zitat

    ... haben wir unser Testsystem absichtlich mit Locky infiziert. Tatsächlich konnte Anti-Ransomware den Trojaner stoppen – allerdings erst, nachdem er bereits 20 Dateien verschlüsselt hatte. Angesichts des Umstands, dass die aktuelle Beta 5 des Tools veröffentlicht wurde, bevor die erste Locky-Variante in den Umlauf kam, ist das jedoch eine beachtliche Leistung.


    Und hier nochmals den Link dazu:
    http://www.heise.de/security/m…rss.security.beitrag.atom

    Firefox 88.0 Standard & Portabel.
    Windows 10/64 Pro 20H2, 19042.964. Malwarebytes Premium, Adwcleaner, Windows Firewall. Keine Tuningsoftware.

    BACKUP machen, jetzt!