Verschlüsselungs Trojaner (xorthelp@xandex.ru) ähnllich locky

[massaraksch 39]

 

Und das hilft jetzt wie? Was wäre aus Deiner Sicht das richtige Vorgehen? Weiterhin allein den Virenscannern vertrauen?

 

Was erwartest du? Daß dir jemand das Nachdenken abnimmt? Willst du eine "einfache eindeutige" Antwort? Die gibt es nicht.

 

Es geht nicht darum, ob man Virenscannern "vertraut" (was meinst du damit eigentlich?). Es geht um die Bewertung der Ergebnisse solcher Scan-Tests. Und die sind eben nicht immer 100% korrekt. Positiv wie negativ.

 

Niemand ist "unfehlbar". Menschen nicht. Virenscanner nicht. Und die Ergebnisse solcher Tests können sich halt stündlich ändern. Liegt in der Natur der Sache.

 

 

Im Übrigen muss bei Deinem Versuchsaufbau oder bei Dem was Du heruntergeladen hast etwas nicht stimmen.

Microsoft erkennt das Sample jetzt (schon) richtig als "Ransom:Win32/Locky.A"

 

Was heißt "nicht stimmen"? Es ist ganz einfach ein Windows 10 mit Standard-Einstellungen des Defenders.

 

Ich sagte doch, daß die Ergebnisse dieser Online-Scanner wohl nicht immer 1:1 auf die jeweils aktuelle lokale Version übertragbar sein müssen. Vielleicht erkennt ihn der Defender heute auch als "Ransom:Win32/Locky.A"? Keine Ahnung.

[zahni 521]

Was erwartest du? Daß dir jemand das Nachdenken abnimmt? Willst du eine "einfache eindeutige" Antwort? Die gibt es nicht.

 

Es geht nicht darum, ob man Virenscannern "vertraut" (was meinst du damit eigentlich?). Es geht um die Bewertung der Ergebnisse solcher Scan-Tests. Und die sind eben nicht immer 100% korrekt. Positiv wie negativ.

 

Das Problem: Deinen Versuchsaufbau können wir nicht nachvollziehen und auch nicht, was Dir der Server für eine Datei beim Download geschickt hat. Das muss nicht zwangsläufig die gleiche Datei sein wie bei Virustotal. Hast Du mal die Hash-Werte verglichen? 

Ansonsten kann man der Implementierung bei VT schon vertrauen. Allerdings prüfen die auch nur die Scan-Funktionen und nicht irgendwelchen anderen Funktionen der Scanner. Ich habe auch mal eine Weile die Microsoft-Engine lokal geprüft. Die war in der Erkennungsrate eher unterirdisch. Es dauerte teilweise ewig, bis gemeldete Samples in der Engine umgesetzt bzw. erkannt wurden.

[massaraksch 39]

Hm, ich weiß ja nicht, was du eigentlich willst...

 

Dieser Vergleich von Online-Scannern und lokaler Prüfung ist rein akademisch. Du schreibst ja selbst, daß bei VT wohl nicht "irgendwelche anderen Funktionen der Scanner" geprüft werden. Was kann man also dann bezüglich des aktuellen Schutzes der lokalen Scanner sagen? Eben: Nichts genaues weiß man nicht. Virustotal (und andere) sind Hilfsmittel. Nicht mehr und nicht weniger.

 

Ich will hier auch keinen Vergleich von Virenscannern anstellen. Ja, das machen gerne irgendwelche Home-User, die sich ganz doll darüber freuen, daß ihr gerade genutzter Scanner A ungefähr 0,3% mehr Samples erkennt als Scanner B und C. Das ist für mich relativ uninteressant. Nächste Woche sieht das vielleicht anders aus.

 

Ich selbst nutze übrigens auch ein kommerzielles AV-Produkt und nicht die Windows-eigene Lösung.

[PowerShellAdmin 169]

Ich denke der Thead läuft etwas aus dem Ruder, auch wenn ich die Nebendiskussion nicht verkehrt finde.

 

Den Vergleich finde ich nur etwas kontrovers, MS essentials und seine Nachfolger waren früher recht schlecht.

Kostenlos waren sie für Unternehmen eigentlich nie.

Ich möchte damals essentials, da es klein und schlank war.

 

In der Company nutzen wir Eset AV - läuft ähnlich schlank und sind sehr zufrieden.

( im Vergleich zu AVG und kostenpflichtig Avira ).

ESMX 6 ist übel, die Dokumentation unzureichend, der Support teilweise überfordert und das Produkt hat noch kleine Bugs und leider auch Einschränkungen.

 

Ansonsten läuft es wirklich gut und im Ergebnis bin ich zufrieden ( bis auf Kleinigkeiten).

[PowerShellAdmin 169]

Heute eine Email von "Paypal" gefunden - der nächste Versuch.

Anhang ist eine HTML Website.

 

In der Email steht, dass man einen Browser mit aktiviertem Java Skript benötigt...

[Otaku19 33]

->urlquery.net  + virustotal nutzen. Also rein interesse halber mach ich das mal, rein um zu sehen wie gut die Dienste so etwas erkennen. Damit erspart man sich eine abgekapselte Testumgebung und "verunreinigt" auch nicht die eigene IP Reputation, was ja im Fall eines fixen IP Ranges hinter welchem man vielleicht Dienste betreibt keine schöne Sache ist

[Azharu 119]

Nun ja, eine Mischung aus Blocken, Scannen und Vorsicht würde denke ich richtig sein.

 

Ganz ausschließen kann man es eh nicht.

 

Man kann sich nur so gut wie möglich vorbereiten oder?

[ChrisRa 42]

Der Trojaner kommt neuerdings nun auch wohl über Teamviewer. 

 

http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Surprise-verbreitet-sich-anscheinend-ueber-TeamViewer-3148863.html

[PowerShellAdmin 169]

Der Trojaner kommt neuerdings nun auch wohl über Teamviewer. 

 

http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-Surprise-verbreitet-sich-anscheinend-ueber-TeamViewer-3148863.html

Der Trojaner kommt über gekaperte Teamviewer Accounts, die auf Rechner noch Zugriffe haben -  also keine Schwachstelle in Teamviewer ansich.

[Azharu 119]

Die, die solche Viren erstellen und verbreiten werden sich immer wieder Wege einfallen lassen wie sie an ihr Ziel kommen.

 

Einige haben dann mal mehr Erfolg damit wie andere.

[Dunkelmann 96]

Off-Topic:
von 1981:

 

- Secretly  encrypting  the  financial  master  files  and  backup
files  of  a  company  in  its  own  computer  .and  holding  the  key
for  ransom.

https://www.schneier.com/blog/archives/2016/03/1981_us_documen.html

http://www.its.bldrdoc.gov/publications/2825.aspx

[Otaku19 33]

entweder viel rigider mit Cleints umgehen und/oder Advanced Malware Protection einsetzen. Der Virenscanner wird aber deshalb nicht arbeitslos, der wird weiter benötigt