Trojaner Locky jetzt auch in Excel-VBA

[GMG-CC]

@René
Ich habe es mir sehr genau überlegt, ob ich das schreibe.
Ich habe auch ziemlich gut recherchiert und bin zum Ergebnis gekommen, dass eine Warnung sinnvoll sein kann und ist.
Vielleicht solltest du dich auch einmal informieren, ehe du ziemlich emotional die Angelegenheit abtust (zumindest habe ich das Gefühl).
Ich habe -meiner Meinung nach- ganz deutlich geschrieben, dass ich hier niemanden beschuldige, solch ein Teil wissentlich zu verbreiten. Meine Bedenken gehen in die Richtung, dass (so die Vermutung an einigen Stellen) der eigentliche "Starter" eventuell "schlummert" und dann VBA-behaftete Files "infiziert. Es ist im mehreren Beiträgen zu dem Thema davon die Rede gewesen, dass nicht nur Word-Dateien sondern auch Excel-Files als Auslöser für diese Ransomware sind.

Wie soll der Schadcode in meine Dateien kommen ohne dass ich aktiv darauf einwirke?

Das fragen sich diverse Fachleute. Es gibt ja schließlich auch reichlich Viren, die sich durch solch ein infektiöses Verhalten verbreiten. Ich könnte genau so fragen, warum keine der großen "Schädlingsbekämpfer" in der Lage ist, zur Zeit auch nur entfernt einen Schutz anzubieten. Das bedeutet doch offensichtlich, dass die nicht wissen, wie das aufgebaut ist. - Zugegeben, es wird auch in der Fachwelt viel kontrovers diskutiert. Aber ich bin der Meinung, dass eine konkrete Warnung durchaus sinnvoll sein kann, nein ist. Schließlich laden wir Helfer ziemlich bewusst Excel-Files mit VBA-Code herunter, und ich wollte einfach nur einen Weg aufzeigen, wie auch besorgte oder vorsorgende Helfer einen gewissen Schutz aufbauen und dennoch gezielt helfen können.

Und last but not least:

Mir ist dieser Trojaner nicht untergekommen.

Mir selbst auch nicht, zumindest nicht als Schaden in/auf meinem Rechner. Aber ich habe schon mehrfach eine Mail von dem angeblichen Absender bekommen, wo die auslösende "Rechnung" drin ist. Klar, dass ich solche Teile ungeöffnet in den Spam-Ordner lösche, aber in den Medien gibt es ja schon seit längerer Zeit ein Thema, welches solche Meldungen in den Hintergrund schiebt oder einfach keinen Platz dafür lässt. Aber diese Malware breitet sich schlimmer aus als Unkraut auf dem Feld bei bestem Wachstumswetter.
Und das Misstrauen ist nur gegen die "Erfinder" des Locky (und sehr ähnlicher Software) gerichtet und aus meiner Sicht berechtigt. Lese bitte unter diesem Aspekt noch einmal meine Zeilen durch.

[Woofer]

Danke für die Warnung.
Eigentlich sollte es doch nicht schwer sein, bei Excel Dokumenten den Virus zu erkennen. Jedenfalls durch einen Virenscanner.

Eine Exceldatei ist doch nicht verschlüsselt. Es muss doch möglich sein zu erkennen/ zu verhindern, das eine Exceldatei etwas aus dem WWW herunter laden tut und ausführt.

Der Größte Fehler, den die Benutzer machen sind irgendwelche Vermeintlichen Rechnungen oder Mahnungen aus Emails zu öffnen.
Meistens sind es dann aber *.bat, *.com, oder *.exe. Dateien, die auf dem ersten Blick wie PDF´etc aus sehen.

[Peter]

Hallo,

dann wird vorgeschlagen nichts auf dem lokalen Rechner zu speichern sondern ausschließlich auf Netzlaufwerke und auf Sharepoint

das könnte (Spekulation) auch mit der Backupstrategie der Firma zu tun haben - die Daten der Netzlaufwerke werden gesichert, die Daten auf den lokalen Rechnern nicht.

Meistens sind es dann aber *.bat, *.com, oder *.exe. Dateien, die auf dem ersten Blick wie PDF´etc aus sehen.

Meine Rechner haben immer noch Windows7 als BS und dort ist standardmäßig in den Optionen aktiviert, dass Erweiterungen bei bekannten Dateitypen ausgeblendet werden - das ist i.d.R. das erste was ich ändere wenn ich an einem PC arbeite. Ich vermute, dass diese Voreinstellung auch bei den neueren BS noch nicht geändert hat.

Jedenfalls durch einen Virenscanner.

Das ist aber wie das Rennen zwischen Igel und Hase. Erst wenn der Virus in der freien Wildbahn auftritt können die Hersteller reagieren. Ein Virenscanner ist nützlich, aber kein Allheilmittel.

Brain 1.0 sollte immer und überall 'installiert' sein.

[mumpel]

(...) dass eine Warnung sinnvoll sein kann und ist (...)

Ein Warnung ist ja gut und schön. Aber gleich keine Dateien mehr herunterladen zu wollen und anderen zu empfehlen es Dir gleichzutun kann geschäftsschädigend sein. Mein Workshop z.B. ist ohne Beispieldateien nur die Hälfte wert, aber hin und wieder aktualisieren muss ich sie und das kann ich nur über meinen PC (die Dateien müssen dort gespeichert sein und bleiben). Ich hoffe doch sehr dass meine Geschäftspartner nicht so denken wie Du und mir die Zusammenarbeit nicht aufkündigen.

[mumpel]

(...) Eine Exceldatei ist doch nicht verschlüsselt (...)

Kommt darauf an wie der Angreifer den Schadcode einbaut. Direkt zur Laufzeit der Datei ist es nicht möglich, da man dafür den Zugriff auf das "VBA-Projekt Objekt Modell" benötigt. Ich kenne derzeit nur eine Möglichkeit die aktuellen Dateiformate zu infizieren. Da es sich bei den aktuellen Dateiformaten um ZIP-Archive handelt ist es ganz leicht. Man tauscht einfach die vbaproject.bin aus (Das VBA-Projekt versieht man mit einem Kennwort und entfernt dann mit einem geeigneten Tool die Möglichkeit das VBA-Kennwort mit einem Hex-Editor aushebeln zu können. Dann können die Anwender auch nicht mehr ins VBA-Projekt schauen). Diesen Austausch kann man (eventuell) verhindern indem man die Dateien mit einem Kennwort versieht.

(...) Es muss doch möglich sein zu erkennen/ zu verhindern, das eine Exceldatei etwas aus dem WWW herunter laden tut und ausführt (...)

Solange die Makros deaktiviert sind, was man immer tun sollte um prüfen zu können, kann man das herausfinden. Aber wenn man Makros aktiviert ohne sie vorher zu prüfen ist es zu spät.

[schauan]

Hallo zusammen,

ich hab ja weiter oben schon was geschrieben, vielleicht hätte ich da schon ein paar mehr Gedanken einbringen sollen.
Man muss, wie in vielen Antworten zum Ausdruck gekommen ist, entsprechende Vorsicht walten lassen und soll nicht in Panik verfallen. Und das nicht erst seit diesem Locky.

Ganz ohne Downloads wird das eine oder andere nicht gehen. Dann könnte der eine oder andere, wie René sinngemäß schreibt, dicht machen.
Es ist keinesfalls so, dass man die entsprechenden Dateien generell nicht mehr nutzen kann und das hat zum Glück keiner behauptet. Beim Download sollte man vorsichtig sein, das ist eine Grundregel.
Wie weit man sich einschränkt ist jedem sein eigen Ding. Ein Forum ist hinsichtlich des "Vorsichtsgrad", den man walten lassen sollte, sicher anders zu bewerten als eine Seite, wo nur eine Person oder eine Firma Daten bereitstellt.

Es ist nicht verkehrt, wenn man ab und zu an die Gefahren erinnert wird. Ich denke, der Locky hätte weniger Chancen, wenn mehr User mit Daten und Verbindungen jederzeit sorgfältiger umgehen würden. Ich vergleiche das gerne mit dem Arbeitsschutz. Man mag über sich wiederholende Belehrungen denken, was man will, aber ohne würde sicher mehr passieren.

Genau so sehe ich es hier. Der Neuling weiß noch nicht genug, dem alten Hasen ist jahrelang nichts passiert. Da kann man so eine Info auch mal zum Anlass nehmen, nachzuschauen, ob noch alles ok ist und bei den nächsten Downloads wieder etwas mehr Vorsicht walten lassen. Es könnte ja sein, dass man doch in letzter Zeit etwas nachlässiger geworden ist ... Was man alles tun und lassen sollte erspar ich mir hier, da kann man gerne stundenlang die Tante G fragen ...

Solche Gefahren gehen, wie gesagt, nicht nur von Locky und VBA aus und auch nicht erst seit heute sondern seit Jahr und Tag. Schadcode kann überall sein, in Links und Schließen-Buttons auf Webseiten, in HTML-E-Mails, in Bildern, Filmen, MP3. Wenn man ganz auf der sicheren Seite sein will, dann am Besten ohne PC und ohne Smartphone Und dann immer dran denken, auch ein unachtsam weggeworfener Kontoauszug kann zu Problemen führen. Und lasst die Kontrolleure von den Rauchmeldern nicht rein

[mumpel]

Es besteht aber m.E. kein Grund hier im Forum generell keine Officedateien mehr herunterzuladen und auch selber nicht mehr hochzuladen, so wie es Günther vorhat. Das nenne ich Paranoia. ;)