Lupino 2 Posted February 19, 2016 Report Share Posted February 19, 2016 Die aktuellen Bedrohungen und deren rasante Verbreitung sind bedrohlich. Wie bei Heise-Security zu lesen ist, spricht man im Fall von "Locky" von 5000 Infektionen pro Stunde. Da wird einem ja ganz schlecht ... Die eigenverantwortlichen Verhaltensregeln sind ja bekannt. Sie betreffen vor allem die Behandlung von Email-Anhängen und Office-Makros. Dateisicherungsstrategien nicht zu vergessen.!! Hilft EIS auch wirksam bei der Abwehr solcher Angriffe ? Also untersucht EIS auch Email-Anhänge bei zB Outlook 2007? Ich wäre beruhigt, wenn das so wäre ... !! Quote Link to post Share on other sites
Fabian Wosar 390 Posted February 19, 2016 Report Share Posted February 19, 2016 Locky war zu keinem Zeitpunkt eine Gefahr fuer unsere Nutzer. Email Anhaenge scannen wir generell nicht. Ist allerdings auch nicht wirklich notwendig, da Email Anhaenge erst auf der Festplatte gespeichert werden muessen um ausgefuehrt zu werden, was der File Guard ueberwacht. Quote Link to post Share on other sites
Lupino 2 Posted February 19, 2016 Author Report Share Posted February 19, 2016 Prima! Danke für die rasche Reaktion ! Quote Link to post Share on other sites
Nixxda 0 Posted February 19, 2016 Report Share Posted February 19, 2016 @Fabian Wosar Reicht das aus? Laut Virustotal hätte Emsisoft den Virus in einer Datei nicht identifiziert (Link entstammt dem https://blog.botfrei.de/2016/02/ransomware-ein-fass-ohne-boden/ Artikel): https://www.virustotal.com/en/file/5e945c1d27c9ad77a2b63ae10af46aee7d29a6a43605a9bfbf35cebbcff184d8/analysis/1455638481/ Können Sie eine Aussage zur Verhaltensanalyse machen? Quote Link to post Share on other sites
Fabian Wosar 390 Posted February 19, 2016 Report Share Posted February 19, 2016 Ob wir alle Locky Samples via Signatur erkennen ist letztlich egal. Meine Aussage bezog sich auf den Verhaltensschutz. Alle bisher gesichteten Locky Varianten werden problemlos vom Verhaltensschutz erkannt und in die Quarantaene verfrachtet. Quote Link to post Share on other sites
Oli 0 Posted February 20, 2016 Report Share Posted February 20, 2016 Locky soll nun auch mit JS-Dateien experimentieren, somit 0% Virenerkennung. Wie kann EAM hier helfen/schützen? Quote Link to post Share on other sites
Secondmineboy 5 Posted February 20, 2016 Report Share Posted February 20, 2016 Locky soll nun auch mit JS-Dateien experimentieren, somit 0% Virenerkennung. Wie kann EAM hier helfen/schützen? Der Verhaltensschutz wird immer noch auf das verdächtige manipulieren von Nutzerdaten anschlagen Quote Link to post Share on other sites
Fabian Wosar 390 Posted February 22, 2016 Report Share Posted February 22, 2016 Locky soll nun auch mit JS-Dateien experimentieren, somit 0% Virenerkennung. Wie kann EAM hier helfen/schützen? Mit grosser Wahrscheinlichkeit, wird der JavaScript Dropper bereits als Malware erkannt von der Verhaltensanalyse. Aber selbst wenn nicht, ist die Malware die der JavaScript Downloader herunterlaedt immer noch die selbe und wird von der Verhaltensanalyse erkannt. 1 Quote Link to post Share on other sites
Nixxda 0 Posted February 26, 2016 Report Share Posted February 26, 2016 Habt ihr das mal getestet oder ist da der Glaube ausreichend? Auf jeden Fall hättet ihr ein ziemliches Alleinstellungsmerkmal, wenn die Verhaltenserkennung funktionieren würde: http://www.heise.de/security/meldung/Krypto-Trojaner-Locky-Batch-Dateien-infizieren-Windows-Tool-verspricht-Schutz-3118188.html Quote Link to post Share on other sites
Fabian Wosar 390 Posted February 26, 2016 Report Share Posted February 26, 2016 Die Verhaltenserkennung funktioniert problemlos. Und ja, das ist auch getestet Zum Beispiel hier eine Locky Mail die ca. 2 Stunden alt ist: http://imgur.com/a/0KMQQ Im Endeffekt, egal wie Locky auf das System gelangt, ist es immer das selbe. Wir bemerken eine Anwendung die nach Hause funkt und danach versucht lauter Dokumente neu zu schreiben. In fast allen Faellen bekommt man die Meldung aber gar nicht zu gesicht, weil EAM direkt die Datei in Quarantaene nimmt. Zumindest dann, wenn man die Cloud Anbindung aktiviert hat. 1 Quote Link to post Share on other sites
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.