Trojaner Locky

Question

http://www.macuser.de/threads/trojaner-locky-verschluesselt-munter-benutzerdaten.742631/

Irgendwelche Tips?

Answer 1

Keine unbekannten word/excel Dokumente öffnen!

Answer 2

Am besten auf keinerlei Links in Emails mit unbekanntem Absender klicken! Scheinbar ist nur Windows betroffen, aber man kann nie wissen. Um seine Daten vor dem Trojaner zu sichern ist es am sichersten mehrere externe Platten als Backup zu nutzen und diese zu rotieren (eine in der Praxis, eine zu Hause, eine auf dem "Weg") Hier hat man dann immer eine Platte die definitiv nicht betroffen sein kann.

Comments

Habe mal den Avira Scanner für OSX installiert, scheint das System nicht allzu sehr herunterzuziehen und ist umsonst. In diesen Momenten freue ich mich auch über meinen Mail  Provider der ein sauguten Filter hat.
Angeblich verschlüsselt der Virus alles was er über Netzwerk erreichen kann und so ist OSX auch gefährdet.

---

Hallo Peter, hilft es da vielleicht die Windows und apple Rechner im Netz zu trennen? Z.B. ein Netz mit 75ziger und eines mit 76ziger IP´s. Bin mir nicht sicher. Aber so dürfte kein Zugriff möglich sein?
Gruß Ralf

---

Ich habe keine Ahnung Ralf. Ich verstehe es so: der Virus nutzt das Netzwerk  um seinen Verschlüsselungsbefehl auf OSX zu "übersetzen". Hat er Zugriffsrecht auf das File (lesen/schreiben) über Netzwerk kann er es auch verschlüsseln und das alte File ersetzen. Dann ist es egal welche IP Range du benutzt, Ich werde wohl bis auf weiteres den Windowsrechner ganz vom Netzwerk trennen also einfach das Cat Kabel ziehen. Andere brauchen aber Zugriff auf den Rechner, dann geht das natürlich nicht.

Answer 3

Frage an Zollsoft: am Server macht Avira keinen Sinn oder? Ich habe den Scanner nur an den Clients installiert.

Comments

Aus Gründen der Datensicherheit sollte man auf dem Server keine Mailanhänge öffnen bzw. Dateien herunterladen. In diesem Fall wäre keine AV-Software notwendig. Falls der Server allerdings als Arbeitsplatz genutzt wird, sollte man darüber nachdenken. In diesem Fall wäre es aber auch anzuraten, getrennte Benutzer für tomedo-Server und tomedo-Arbeitsplatz zu verwenden. Der Arbeitsplatz-Nutzer kann dann entsprechend nicht auf die Dateien des Server-Nutzers zugreifen, d.h. er kann diese insbesondere auch nicht verschlüsseln.

---

Hallo Miteinander,

der Mechanismus ist wie folgt: Locky ist ein Windows Programm (Macro-Virus)
Wenn auf dem befallenen Rechner Linux oder OS X Laufwerke gemounted (eingehängt) sind, dann werden diese mitverschlüsselt.

Wenn kein Windows System im Netz ist, funktioniert er nicht.
Da es sich um einen Macro-Virus handelt, wir er aktiv, wenn Dateien aktiv geöffnet werden.
Wenn man nicht alle Sicherheitsfunktionen deaktiviert hat, wird man z.B. in Word erst einmal gefragt, ob man Macros aktivieren möchte. Danach wird man noch einmal gefragt, ob man dem Dokument (Makro) zugriff auf das System gewähren möchte.

Wer das dann auch noch mit 'ja' beantwortet, nun ja......

Es grüßt die
Hausärztliche Praxis Dr. med. Katharina Zumbusch

Answer 4

Meiner Meinung nach ist der Carbon Copy Clone nun doch sehr wichtig. Der Grund ist, dass dasTimemachne Backup immer offen und eingehängt ist. Beim CCC Clone ist das nicht so. Mit dem App Tinker ToolsSystem kann man beim Systemstart die Backuplaufwerke am einhängen hindern. CCC mountet die Drives und wirft sie aus wie es notwendig ist.

Daniel, das automatische Auswerfen und Mounten der Backupdrives durch die Servertoolswäre wichtiger denn je. Die Laufwerke werden aber nicht ausgehängt. Ich denke nicht, dass Locky mounten kann.

Answer 5

Parallels sollte man übrigens auch nicht vergessen vom Netz zu nehmen.