Krypto-Trojaner Locky treibt sein Unwesen!

[Tommes]

Es gibt wieder einen Krypto-Trojaner, der Windowssysteme unsicher macht. Interessanter Weise kann dieser Trojaner auch Netzwerkfreigaben und Cloudspeicher befallen. Nähere Infos dazu hab ich bei Heise gefunden...

http://www.heise.de/newsticker/meld...eber-5000-Infektionen-pro-Stunde-3111774.html

http://www.heise.de/newsticker/meld...tun-gegen-den-Windows-Schaedling-3112408.html

Tommes

 

[Frogman]

Als bemerkenswerten Hinweis in diesem Zusammenhang:
Laut BleepingComputer erreicht der Schädling sogar Netzwerkfreigaben, die aktuell nicht ins System eingebunden sind

 

[axuaxu]

Ich frage mich gerade ob ein solches "verfahren" sinnvoll wäre:
Normaler user welcher nur leserechte hat.
Wenn daten geschrieben oder verschoben werden müssen die freigabe mit einem zweiten user welche volle rechte hat einbinden, verschieben etc und dann wieder trennen?
Teils etwas umständlich, aber würde ein plus an sicherheit bringen, oder?

 

[MMD*]

Hallo,

Man kann unter Configuration-->Dateidienst-->Erweitert (oder so ahnlich, unter SMB)

/*.locky/

eintragen.
Damit wird verhindert das *.locky dateien geschrieben werden und somit encryption verhindert.

 

[goetz]

Hallo,
einzig
/*.locky/
wird akzeptiert.

Gruß Götz

 

[MMD*]

Ah ja, tippfehler, danke.

 

[laserdesign]

Hallo,

wo muss ich /*.locky/ eintragen??

 

[goetz]

Hallo,
Systemsteuerung - Dateidienste - Win/Mac/NFS - Windows Dateidienst - Erweiterte Einstellungen - Veto-Dateien

Gruß Götz

 

[laserdesign]

Danke Götz

 

[MMD*]

Danke

 

[axuaxu]

Ernsthaft? So einfach?
Damit wäre die syno vorerst sicher?

 

[MMD*]

Dan mach es so und versuch von einem Rechner eine datei.locky zu erstellen auf einem NAS-share...

Es wurde getestet bei Tweakers, sorry Niederländisch:
http://gathering.tweakers.net/forum/list_messages/1672203

Man konnte auch noch die IP`s und Domains im Firewall auf Rechner eintragen die hier stehen:
http://blog.dynamoo.com/2016/02/malware-spam-rechnung-nr-2016131.html

 

[frankyst72]

da steht:

Analysis those C2 locations give a recommended blocklist of:
46.4.239.64/27
94.242.57.45
185.46.11.239
69.195.129.70

wie soll ich denn das /27 verstehen und in die Firewall eintragen?

 

[laserdesign]

Hallo,

/27 könnte die netmask sein, also 255.255.255.224

PS: oder aber einmal die 64 und die 27 im vierten Octet

 

[Tommes]

Das nenn ich ja mal eine erschreckend einfache Präventivmaßnahme. Klasse!

Tommes

 

[Ansorg]

Das nenn ich ja mal eine erschreckend einfache Präventivmaßnahme. Klasse!

Tommes

Bis der nächste Schädling daherkommt und die Dateien anders benennt? Trügerische Sicherheit.
Mangels alternativer Ansätze aber besser als gar kein Schutz- oder gar kein NAS.

Cloud Station hat ja eine history so dass man wieder an frühere, unverschlüsselt Dateien ran kommt. Das müsste man aber für jede Datei extra vom DSM ausmachen - nicht praktikabel in so einem Fall. Oder übersehen ich was in der Cloud Station Software?

 

[xamoel]

Verhindert dass nur, das locky Dateien geschrieben werden, sind dann nicht die Dateien selbst trotzdem gelöscht?

 

[Frogman]

Nun ja, zunächst muss der Trojaner ja die Daten in jeweils verschlüsselte Dateien packen - erst im Anschluss kann/wird er die originalen Dateien löschen. Kann er den Vorgang nicht durchführen, könnte man annehmen, dass der Löschbefehl nicht abgesetzt wird... Wer es freiwillig testen will, darf hier jetzt laut 'Ich' schreiben

 

[xamoel]

Verstehe ich auch so, könnte schon helfen... Aber was soll das blocken der IPs in der Firewall bringen? Dass er den Key nicht versenden kann?

 

[MMD*]

Laut die Untersuchung ist der erste schritt das umbenennen von eine Datei zum [hashcode].locky
Dan wird innerhalb die Datei encrypted, das konnte man sehen weil man das procces gestopt hat und nach öffnen vom Datei waren teilen von original text zu erkennen.