takeoff342 1 Report post Posted December 16, 2015 Hallo, ich muss heute sagen, das ich recht verärgert bin, da sowas einfach nicht passieren darf!!!! Es kam heute die Meldung, übrigens zum 2. mal, das sich nach Update Dateien in Quarantäne befinden die sauber und FP sind, und ob man diese wiederherstellen möchte. Wissen Sie was ich dann auf dem PC hätte wenn ich das gemacht hätte??? 2 RAMSOMS DER TESLA FAMILIE Wie bitte kann es sein, das eine AV Software derartige Meldungen ausgibt? Ein User der keine Kentnisse im PC Bereich hat, und Ihr Unternehmem wirbt dafür, gerade hierfür geeignet zu sein, klicht nun auf diese wiederhergestellte Datei und hat somit alle Daten verschlüsselt. Und kommen Sie mir bitte nicht das die Verhaltenserkennung das dann verhindert hätte. Sie wissen das die TESLA Familie recht neu ist. Bevor ich mich an sämtliche weiter Foren wende und dies ausgibig zur Diskussion stelle, gebe ich Ihnen die Möglichkeit, sich hier zu äussern Download Image 1 Quote Share this post Link to post Share on other sites
Fabian Wosar 390 Report post Posted December 17, 2015 Generell basiert der Mechanismus des Quarantaene Rescans darauf, dass wir Elemente in der Quarantaene nach jedem Update neu scannen. Sollte eine Datei dann ploetzlich nicht laenger erkannt sein, gehen wir davon aus, dass es sich um einen Fehlalarm handelte. Wir justieren Erkennungen konstant. Entsprechend kann es vorkommen, dass insbesondere bei Erkennungen, die von generischen Signaturen ausgeloest wurden, selbst kleine Modifikationen dazu fuehren, dass ein bestimmtes Sample einer Malware Familie nicht laenger erkannt wird. Falls man generell nicht moechte, dass EAM oder EIS die Quarantaene bei jedem Update neu scanned, dann kann man unter Einstellungen/Allgemein den Quarantaene-Scan von "Automatisch" auf "Kein erneutes Scannen" aendern. Und kommen Sie mir bitte nicht das die Verhaltenserkennung das dann verhindert hätte. Sie wissen das die TESLA Familie recht neu ist. Haette sie definitiv. Tesla ist im Grunde nicht wirklich neu. Die ersten Versionen gehen auf Mai diesen Jahres zurueck. Das hier wuerde passieren, wenn man versucht TeslaCrypt auf einem von EAM or EIS geschuetzten PC auszufuehren: Sollte man die Cloud Unterstuetzung deaktiviert haben oder in dem unwahrscheinlichen Falle, dass die Cloud das Sample noch nicht kennt, dann bekommt man folgende Warnungen zu sehen: Erst nachdem man jede dieser Warnhinweise ignoriert und die weitere Ausfuehrung erlaubt hat, wird ueberhaupt irgendeine Datei auf dem PC verschluesselt. 2 Quote Share this post Link to post Share on other sites
Icewolf 9 Report post Posted December 18, 2015 Also kann man davon ausgehen, das TESLA mittlerweile auch wieder per Signatur als Malware erkannt wird? Quote Share this post Link to post Share on other sites
Fabian Wosar 390 Report post Posted December 18, 2015 Also kann man davon ausgehen, das TESLA mittlerweile auch wieder per Signatur als Malware erkannt wird? Naja, die Teslacrypt Kampagnen derzeit generieren derzeit mehrere tausend neue Samples pro Tag. Ob alle immer via Signatur erkannt werden, kann niemand garantieren. Aber im Normalfall sollte die Signaturabdeckung recht gut sein, ja. Quote Share this post Link to post Share on other sites
