Schützt EIS vor "Locky" und Co. ?

[Lupino]

Die aktuellen Bedrohungen und deren rasante Verbreitung sind bedrohlich.

Wie bei Heise-Security zu lesen ist, spricht man im Fall von "Locky" von

5000 Infektionen pro Stunde. Da wird einem ja ganz schlecht ... 

Die eigenverantwortlichen Verhaltensregeln sind ja bekannt.

Sie betreffen vor allem die Behandlung von Email-Anhängen und Office-Makros.

Dateisicherungsstrategien nicht zu vergessen.!!

Hilft EIS auch wirksam bei der Abwehr solcher Angriffe ?

Also untersucht EIS auch Email-Anhänge bei zB Outlook 2007?

Ich wäre beruhigt, wenn das so wäre ... !! 

[Fabian Wosar]

Locky war zu keinem Zeitpunkt eine Gefahr fuer unsere Nutzer. Email Anhaenge scannen wir generell nicht. Ist allerdings auch nicht wirklich notwendig, da Email Anhaenge erst auf der Festplatte gespeichert werden muessen um ausgefuehrt zu werden, was der File Guard ueberwacht.

[Lupino]

Prima! Danke für die rasche Reaktion !

[Nixxda]

@Fabian Wosar

 

Reicht das aus? Laut Virustotal hätte Emsisoft den Virus in einer Datei nicht identifiziert (Link entstammt dem https://blog.botfrei.de/2016/02/ransomware-ein-fass-ohne-boden/ Artikel):

 

https://www.virustotal.com/en/file/5e945c1d27c9ad77a2b63ae10af46aee7d29a6a43605a9bfbf35cebbcff184d8/analysis/1455638481/

 

Können Sie eine Aussage zur Verhaltensanalyse machen?

[Fabian Wosar]

Ob wir alle Locky Samples via Signatur erkennen ist letztlich egal. Meine Aussage bezog sich auf den Verhaltensschutz. Alle bisher gesichteten Locky Varianten werden problemlos vom Verhaltensschutz erkannt und in die Quarantaene verfrachtet.

[Oli]

Locky soll nun auch mit JS-Dateien experimentieren, somit 0% Virenerkennung.

Wie kann EAM hier helfen/schützen?

[Secondmineboy]

Locky soll nun auch mit JS-Dateien experimentieren, somit 0% Virenerkennung.

Wie kann EAM hier helfen/schützen?

 

Der Verhaltensschutz wird immer noch auf das verdächtige manipulieren von Nutzerdaten anschlagen

[Fabian Wosar]

Locky soll nun auch mit JS-Dateien experimentieren, somit 0% Virenerkennung.

Wie kann EAM hier helfen/schützen?

 

Mit grosser Wahrscheinlichkeit, wird der JavaScript Dropper bereits als Malware erkannt von der Verhaltensanalyse. Aber selbst wenn nicht, ist die Malware die der JavaScript Downloader herunterlaedt immer noch die selbe und wird von der Verhaltensanalyse erkannt.

[Nixxda]

Habt ihr das mal getestet oder ist da der Glaube ausreichend?

 

Auf jeden Fall hättet ihr ein ziemliches Alleinstellungsmerkmal, wenn die Verhaltenserkennung funktionieren würde:

 

http://www.heise.de/security/meldung/Krypto-Trojaner-Locky-Batch-Dateien-infizieren-Windows-Tool-verspricht-Schutz-3118188.html

[Fabian Wosar]

Die Verhaltenserkennung funktioniert problemlos. Und ja, das ist auch getestet

 

Zum Beispiel hier eine Locky Mail die ca. 2 Stunden alt ist:

 

http://imgur.com/a/0KMQQ

 

Im Endeffekt, egal wie Locky auf das System gelangt, ist es immer das selbe. Wir bemerken eine Anwendung die nach Hause funkt und danach versucht lauter Dokumente neu zu schreiben. In fast allen Faellen bekommt man die Meldung aber gar nicht zu gesicht, weil EAM direkt die Datei in Quarantaene nimmt. Zumindest dann, wenn man die Cloud Anbindung aktiviert hat.