Lupino

Schützt EIS vor "Locky" und Co. ?

Recommended Posts

Die aktuellen Bedrohungen und deren rasante Verbreitung sind bedrohlich.

Wie bei Heise-Security zu lesen ist, spricht man im Fall von "Locky" von

5000 Infektionen pro Stunde. Da wird einem ja ganz schlecht ... 

Die eigenverantwortlichen Verhaltensregeln sind ja bekannt.

Sie betreffen vor allem die Behandlung von Email-Anhängen und Office-Makros.

Dateisicherungsstrategien nicht zu vergessen.!!

Hilft EIS auch wirksam bei der Abwehr solcher Angriffe ?

Also untersucht EIS auch Email-Anhänge bei zB Outlook 2007?

Ich wäre beruhigt, wenn das so wäre ... !! 

Share this post


Link to post
Share on other sites

Locky war zu keinem Zeitpunkt eine Gefahr fuer unsere Nutzer. Email Anhaenge scannen wir generell nicht. Ist allerdings auch nicht wirklich notwendig, da Email Anhaenge erst auf der Festplatte gespeichert werden muessen um ausgefuehrt zu werden, was der File Guard ueberwacht.

Share this post


Link to post
Share on other sites

@Fabian Wosar

 

Reicht das aus? Laut Virustotal hätte Emsisoft den Virus in einer Datei nicht identifiziert (Link entstammt dem https://blog.botfrei.de/2016/02/ransomware-ein-fass-ohne-boden/ Artikel):

 

https://www.virustotal.com/en/file/5e945c1d27c9ad77a2b63ae10af46aee7d29a6a43605a9bfbf35cebbcff184d8/analysis/1455638481/

 

Können Sie eine Aussage zur Verhaltensanalyse machen?

Share this post


Link to post
Share on other sites

Ob wir alle Locky Samples via Signatur erkennen ist letztlich egal. Meine Aussage bezog sich auf den Verhaltensschutz. Alle bisher gesichteten Locky Varianten werden problemlos vom Verhaltensschutz erkannt und in die Quarantaene verfrachtet.

Share this post


Link to post
Share on other sites

Locky soll nun auch mit JS-Dateien experimentieren, somit 0% Virenerkennung.

Wie kann EAM hier helfen/schützen?

 

Der Verhaltensschutz wird immer noch auf das verdächtige manipulieren von Nutzerdaten anschlagen :)

Share this post


Link to post
Share on other sites

Locky soll nun auch mit JS-Dateien experimentieren, somit 0% Virenerkennung.

Wie kann EAM hier helfen/schützen?

 

Mit grosser Wahrscheinlichkeit, wird der JavaScript Dropper bereits als Malware erkannt von der Verhaltensanalyse. Aber selbst wenn nicht, ist die Malware die der JavaScript Downloader herunterlaedt immer noch die selbe und wird von der Verhaltensanalyse erkannt.

  • Upvote 1

Share this post


Link to post
Share on other sites

Die Verhaltenserkennung funktioniert problemlos. Und ja, das ist auch getestet ;)

 

Zum Beispiel hier eine Locky Mail die ca. 2 Stunden alt ist:

 

http://imgur.com/a/0KMQQ

 

Im Endeffekt, egal wie Locky auf das System gelangt, ist es immer das selbe. Wir bemerken eine Anwendung die nach Hause funkt und danach versucht lauter Dokumente neu zu schreiben. In fast allen Faellen bekommt man die Meldung aber gar nicht zu gesicht, weil EAM direkt die Datei in Quarantaene nimmt. Zumindest dann, wenn man die Cloud Anbindung aktiviert hat.

  • Upvote 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.