Jump to content

Schützt EIS vor "Locky" und Co. ?


Recommended Posts

Die aktuellen Bedrohungen und deren rasante Verbreitung sind bedrohlich.

Wie bei Heise-Security zu lesen ist, spricht man im Fall von "Locky" von

5000 Infektionen pro Stunde. Da wird einem ja ganz schlecht ... 

Die eigenverantwortlichen Verhaltensregeln sind ja bekannt.

Sie betreffen vor allem die Behandlung von Email-Anhängen und Office-Makros.

Dateisicherungsstrategien nicht zu vergessen.!!

Hilft EIS auch wirksam bei der Abwehr solcher Angriffe ?

Also untersucht EIS auch Email-Anhänge bei zB Outlook 2007?

Ich wäre beruhigt, wenn das so wäre ... !! 

Link to comment
Share on other sites

@Fabian Wosar

 

Reicht das aus? Laut Virustotal hätte Emsisoft den Virus in einer Datei nicht identifiziert (Link entstammt dem https://blog.botfrei.de/2016/02/ransomware-ein-fass-ohne-boden/ Artikel):

 

https://www.virustotal.com/en/file/5e945c1d27c9ad77a2b63ae10af46aee7d29a6a43605a9bfbf35cebbcff184d8/analysis/1455638481/

 

Können Sie eine Aussage zur Verhaltensanalyse machen?

Link to comment
Share on other sites

Locky soll nun auch mit JS-Dateien experimentieren, somit 0% Virenerkennung.

Wie kann EAM hier helfen/schützen?

 

Mit grosser Wahrscheinlichkeit, wird der JavaScript Dropper bereits als Malware erkannt von der Verhaltensanalyse. Aber selbst wenn nicht, ist die Malware die der JavaScript Downloader herunterlaedt immer noch die selbe und wird von der Verhaltensanalyse erkannt.

  • Upvote 1
Link to comment
Share on other sites

Die Verhaltenserkennung funktioniert problemlos. Und ja, das ist auch getestet ;)

 

Zum Beispiel hier eine Locky Mail die ca. 2 Stunden alt ist:

 

http://imgur.com/a/0KMQQ

 

Im Endeffekt, egal wie Locky auf das System gelangt, ist es immer das selbe. Wir bemerken eine Anwendung die nach Hause funkt und danach versucht lauter Dokumente neu zu schreiben. In fast allen Faellen bekommt man die Meldung aber gar nicht zu gesicht, weil EAM direkt die Datei in Quarantaene nimmt. Zumindest dann, wenn man die Cloud Anbindung aktiviert hat.

  • Upvote 1
Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...