[b1604391]

Hallo,

ich hatte heute folgendes Problem:

Per Mail kam eine .zip-Datei mit einem Javascript (.txt.js) darin an.
Der Benutzer hat die Datei geöffnet und das Script hat dann aus dem Internet weitere Teile nachgeladen und sich eine .bat-Datei gebaut.
Anschließend wurden viele Dateien verschlüsselt und man sollte Geld zum Entschlüsseln bezahlen.

In Google finde ich das dazu: https://www.hybrid-a...environmentId=1

Als Virenschutz setze ich TrendMicro ein. Dieser hat nicht reagiert.

Ich habe die .js-Datei bei virustotal hochgeladen und nur 6 Engines haben etwas erkannt.

Wie schütze ich mich in Zukunft besser vor solchen Dateien?

Dieser Beitrag wurde von b1604391 bearbeitet: 05. Februar 2016 - 22:30

[Ler-Khun]

Auch hallo,

vor einer freiwilligen Einladung schützt auch der beste Malwarescanner nicht.
Einfach bewußter browsen resp. mit Dateien umgehen heißt hier das Zauberwort. "Auch bekannte Dateierweiterungen anzeigen lassen" scheinst du ja schon aktiviert zu haben. Bei einer Doppelendung sollten eigentlich gleich die Alarmleuchten angehen.
Diese Person sollte lernen nicht blindlings auf den Malwarescanner zu vertrauen und auf ausführbare Dateien klicken.

Speziell in diesem Fall hätte die Deaktivierung von Javascript im Browser das Unheil verhindert. Damit verliert man aber auch gleichzeitig einiges an Komfort beim Browsen. DSas muss man entscheiden was einem wichtiger ist. Ein Plus an Sicherheit oder Komfort/alle Dinge des Webangebots nutzen können auf dessen Seite man gerade surft.

[Q 1]

Zitat (Ler-Khun: 06. Februar 2016 - 01:23)

Speziell in diesem Fall hätte die Deaktivierung von Javascript im Browser das Unheil verhindert.

Weil man ZIP-Archive im Firefox öffnet?

[Ler-Khun]

Was weil man ZIP-Archive im Firefox öffnet?
Das Java Script hat sich nach dem extrahieren wohl nicht von alleine gestartet. Und selbst wenn, dann wäre nichts passiert.
Wo steht eigentlich dass der TO, oder diese ominöse Person, Firefox nutzt?

[b1604391]

Zitat

Wie schütze ich mich in Zukunft besser vor solchen Dateien?

Also Dateien nicht zu öffnen und sofort zu löschen ist natürlich der beste Schutz.

Was gibt es jedoch für Tools um so etwas zu erkennen? (Virenscanner etc.)?

[Future010]

Naja Virenscanner bringen dort nicht immer viel. Mehr Sinn macht es, wenn man einfach etwas besser aufpasst. Gerade bei dieser Dateiart war das ja schon absehbar, dass die nicht sauber ist...
Bei soetwas:
1.) Absender prüfen!
2.) Email genauer Prüfen
3.) Anhänge in der Regel NICHT herunterladen!


Das ganze befindet sich ja in deinem Mail Postfach von daher wäre es für mich jetzt interessant zu erfahren, welcher Anbieter das ist. In Gmail ist es ja mittlerweile nicht mehr möglich rar und co. zu verschicken...

Dieser Beitrag wurde von Future010 bearbeitet: 06. Februar 2016 - 11:05

[dnr]

Zitat (b1604391: 06. Februar 2016 - 10:50)

Also Dateien nicht zu öffnen und sofort zu löschen ist natürlich der beste Schutz.

Was gibt es jedoch für Tools um so etwas zu erkennen? (Virenscanner etc.)?

brain.exe

sry, aber gegen sowas gibt es kein Tool...

Vermutung wie das abgelaufen ist, und damit einher die Fehler die begangen wurden:

1) User bekommt eine Mail incl. Zip-Anhang von vermutlich unbekanntem Absender und öffnet diese
2) ich denke mal, dass der Inhalt irgendwie auf XXX oder irgendwas anderes pikantes hingewiesen hat, wieso sonst sollte der User sonst dadrauf klicken?
3) User entpackt und/oder öffnet die Zipdatei
4) User öffnet/startet dann auch noch die in der Zipdatei enthaltene Datei
5) User wunder sich, dass sein Rechner verseucht ist, er hat ja "nix gemacht"

Ernsthaft:
evtl. hilft Malware-Antibytes proaktiv gegen sowas, kA, müsste man mal testen. Oder Spybot Search&Destroy etc. hat glaube ich auch was proaktives drinne.

Ansonsten würde ich empfehlen, den User aufzuklären, wie er an XXX kommt... und das seine Tante dritten Grades aus Africa ihm ganz sicher keine Millionen hinterlassen hat...
Er hat auch vermutlich nichts gewonnen, sein Schnipel wird nicht größer durch Wunderpillen.. usw. usf.

Dieser Beitrag wurde von dnr bearbeitet: 06. Februar 2016 - 11:20

[b1604391]

Okay ich werde die User aufklären. Es handelt sich dabei um Strato (mit Virenscanner und Spam-Filter).

[Samstag]

Ich weiss jetzt nicht von welchr Grössenordnung wir hier reden. Geht es um Geschäftsbetrieb? Dann wäre es vielleicht die Überlegung wert Anhänge erst nach Prüfung durch den Admin zuzulassen. Sprich, du setzt einen Filter davor der erstmal alle Anhänge rausfiltert und die erst nach manueller Prüfung freigegeben werden.
Das Problem, dass die Datei nicht als Malware erkannt wurde ist hier übrigens vermutlich das Javascript. Du schreibst ja selbst, dass der eigentliche Schadcode erst nachgeladen wurde. Und gegen sowas hilft nunmal kaum ein Virenscanner. Der weiss ja gar nicht für was das gut ist, Schadcode gibts ja noch nicht, der kommt erst.
Was hilft sind regelmässige Backups und Benutzerkonten. Wenn die Malware nämlich kein Adminrecht bekommt, kann sie sich auch nicht in kritische Bereiche installieren. Dann genügt es meist den Benutzer zu löschen und neu anzulegen. Oder aber eben das Backup einspielen, ist die elegantere Lösung mit dem geringsten Datenverlust.

Dieser Beitrag wurde von Samstag bearbeitet: 06. Februar 2016 - 11:22

[Q 1]

Zitat (Ler-Khun: 06. Februar 2016 - 06:07)

Das Java Script hat sich nach dem extrahieren wohl nicht von alleine gestartet. Und selbst wenn, dann wäre nichts passiert.

Du solltest mal in Betracht ziehen, dass Javascript möglicherweise nicht nur innerhalb von Browsern Verwendung findet.

Zitat (Ler-Khun: 06. Februar 2016 - 06:07)

Wo steht eigentlich dass der TO, oder diese ominöse Person, Firefox nutzt?

Du schreibst, in diesem konkreten Fall hätte eine Einstellung im Browser geholfen. Bitte teile uns mit, welcher Browser hier im Spiel gewesen sein soll.

Zitat (dnr: 06. Februar 2016 - 11:10)

ich denke mal, dass der Inhalt irgendwie auf XXX oder irgendwas anderes pikantes hingewiesen hat, wieso sonst sollte der User sonst dadrauf klicken?

"christian_grunewald_lebenslauf_25.01.2016_txt.js"

Das hat sich als Bewerbung ausgegeben.

[b1604391]

Die Mail war als Bewerbung getarnt und die Mail kam an die Adresse: [email protected]. Dort kommen täglich mehrere Bewerbungen an und der User hat einfach ohne nachzudenken gehandelt.

Als Browser wird Firefox und IE verwendet.

Was wir nun daraus gelernt haben:
Da auch auf dem Fileserver alle Dateien wo der User Zugriff hatte unbrauchbar waren sind wir zum Entschluss gekommen zukünftig strengere Regeln zu verwenden.
Es wird keine Mail mehr mit .zip, .rar etc durchgelassen und die User denken vorher nach bevor sie klicken.

[Ler-Khun]

@Q1: Du spielst sicher darauf an dass beim FF Javascript by default aktiviert ist.
Nahezu jeder User hat JS aktiviert da man kaum an einer Seite vorbeikommt ohne aufgefordert zu werden es zu aktivieren da man die Seite sonst nicht im vollen Umfang nutzen kann.

Zitat

Du solltest mal in Betracht ziehen, dass Javascript möglicherweise nicht nur innerhalb von Browsern Verwendung findet.

Ja öffnen kann man solche Dateien mit jedem (Html)Editor. Womit aber ein Javascript ausführen? Windows Script host? Benötigt 'n Browser dafür. Nenne doch bitte ein konkretes Beispiel.

Zitat (b1604391: 06. Februar 2016 - 19:23)

Es wird keine Mail mehr mit .zip, .rar etc durchgelassen und die User denken vorher nach bevor sie klicken.

Könnten man meinen, aber glaubst du wirklich? Ich mein, wenn der User schon eine Datei ausführt die kein typisches Dokument Format hat, mangelt es an bereits am Grundwissen und wird imho nichts bringen.

Dieser Beitrag wurde von Ler-Khun bearbeitet: 06. Februar 2016 - 19:53

[Q 1]

Zitat (Ler-Khun: 06. Februar 2016 - 19:46)

Du spielst sicher darauf an dass beim FF Javascript by default aktiviert ist.

Das Stichwort "Browser" wurde von Dir geliefert. Windows selbst besitzt eine Dateizuordnung für .js. In welchem Browser findet sich eine Möglichkeit, die Ausführung einer js-Datei durch Windows zu verhindern?

[Luis86]

Ich prüfe Anhänge immer erst auf Virustotal. Findet Virustotal keinen Virus, öffne ich den Anhang isoliert.

Mit Sandboxie: http://winfuture.de/...chalt,1972.html
Erklärung: https://www.bleib-vi...iert-ausfuehren

Vielleicht ist Sandboxie eine Möglichkeit, um sich in Zukunft vor solchen Viren zu schützen?

Damit fahre ich seit Jahren gut.