Guten Abend,
nach einem Virenbefall ist der Admin Rechner ausser Gefecht gesetzt und soll nicht mehr mit dem Netz verbunden werden.
Am Admin Rechner waren die meisten Datev Programme und der persönliche MIdentity des Kanzleiinhabers installiert.
Der Plan wäre jetzt, den vorhandenen Kommserver PC zunächst zum Admin PC zu machen und dort die netzweite Aktualisierung auf DVD 12.1 + Servicepacks durchzuführen. Danach würde ich einen neuen Admin PC mit der neuen DVD 12.1 aufsetzen und die restlichen Programme installieren und den Arbeitsplatz aktualisieren. In dem Zusammenhang würde ich auch wieder das MIdentity dort einrichten.
Spricht aus eurer Sicht etwas gegen diese Vorgehensweise?
Vielen Dank und einen schönen Abend!
Carsten
Hallo Herr Lehmann,
hier nur ein paar Hinweise, wie ich selbst an Ihrer Stelle vorgehen würde:
Viele Grüße
Michael Vogtsburger
P.S:
Wenn es für "Virenbefall" ein Patentrezept gäbe, wären die Schadprogramme wahrscheinlich längst ausgerottet
Dagegen spricht, daß doch schnell das Backup des betroffenen PC rückgesichert werden kann, was in 30 Minuten erledigt ist. DVDs nachziehen, fertig.
kein Backup vorhanden???
-> Neu aufsetzen mit Formatieren...
Aber... Wie mein Vorredner schrieb:
- was für en Virus?
- Wie entdeckt? (kein Echtzeitschutz an?)
- Wenn ViWas nur eine verseuchte Email in Quarantäne schickte, dann ist doch alles OK.
… oder hat ein "Verschlüsseler" den PC komplett geschrottet?
- Auf einem DATEV- PC mit DATEVNET kann es lt. Definition keinen Virus geben oder... ???
Vielen Dank für eine Antwort, da dieses anderen Kanzleien helfen kann, Vorkehrungen zu treffen.
Auch wenn der Fehler fahrlässig und "suoperpeinlich" war...
Guten Morgen,
Backup des PCs ist nicht vorhanden, er wird durch einen neu aufgesetzten PC ersetzt.
Zur Infektion: Der Rechner wurde mit dem Trickbot Trojaner in Folge des Klickens auf ein Bild in einer "Telekom Rechnungs" Mail am 17.01. infiziert. Es wurden Bankdaten geklaut und das Mailpostfach übernommen - Dank mitdenkender Bank und EMail Provider gab es hier keine Schäden. Sämtliche Passwörter wurden geändert
Erst am 21.01. bemerkte ViWas den Trojaner und löschte ihn vermutlich. Direkt danach durchgeführte Analysen mit Malwarebytes und der Kaspersky Rescue CD brachten kein Ergebnis -> der Rechner soll trotzdem neu aufgesetzt werden.
Im Netz ist soweit kein ungewöhnliches Verhalten zu sehen.
Ich möchte darauf hinweisen, daß sowohl Patchlevel als auch Virensignaturen auf Stand waren und sind...
Passt zu den Meldungen die aktuell im Netz kursieren (siehe angehängte Links weiter unten).
Wenn Sie sich mit dem Trickbot infiziert haben zeigt das allerdings das Ihre Makroeinstellungen entweder fehlerhaft waren ("Alle Makros ohne Benachrichtigung deaktivieren" nicht aktiv) bzw. die Makros direkt im Dokument aktiviert wurden (... mit Benachrichtigung...).
Zuzüglich dazu kommt die Tatsache, dass Trickbot meist von Emotet per Sideload nachgeladen wird, Trickbot also selten alleine kommt und nur den "Anhang" von Emotet darstellt.
Zitat heise:
"Emotet ist äußerst gefährlich und perfide, weil er vielseitig einsetzbar ist. Zum Beispiel holt er nach einer Infektion beispielsweise den Banking-Trojaner Trickbot auf Computer. Außerdem kopiert er Passwörter aus Browsern und Mail-Clients, kann sich wurmartig in Netzwerken verbreiten und effektiv vor Schutzsoftware verstecken. Darüber hinaus soll sich die weiterentwickelte aktuelle Version noch effektiver durch Spamfilter mogeln."
Siehe dazu auch hier:
Aktuelle Trojaner-Welle: Emotet lauert in gefälschten Rechnungsmails | heise online
und
Dynamit-Phishing mit Emotet: So schützen Sie sich vor der Trojaner-Welle | heise Security
Was die Sache mit den Makros betrifft vielleicht ein Tipp für die Zukunft: Einfach alle Makros ohne Benachrichtigung im Trust Center oder über eine Gruppenrichtlinie deaktivieren.
Dort können dann auch vertrauenswürdige Speicherorte angelegt / verwaltet werden. Sollten also z.B. vertrauenswürdige (geprüfte) Exceldokumente Makros benötigen, kann man sie an diesen Orten ablegen und normal bearbeiten (ohne Funktionseinschränkungen).
Ich gehe davon aus, dass unter der DATEV-Umgebung viele Mandantendaten gespeichert sind. Diese Daten unterliegen aus mehrfachen Gründen einem besonderen Schutz.
Als Ergebnis dieser Erkenntnis sollte der Kanzleiinhaber bei allen Entscheidungen das System wieder in Betrieb zu nehmen unbedingt auf Vollprofis zurückgreifen, in Abstimmung und mit Empfehlung der DATEV.
Ohne jemanden zu nahe treten zu wollen. Sich an dieser Stelle Rat zu holen, ist aus meiner Sicht schon der erste falsche Schritt.
@auch wieder dabei
Ich gebe Ihnen Recht, aber NACH einer Infektion ist VOR einer Infektion.
Im täglichen Büroalltag lauern die 'Pfützen' und 'Schlaglöcher' auf Schritt und Tritt.
Jeder Tipp zur Vermeidung von Risiken und Nebenwirkungen und vor allem die Sensibilisierung der Mitarbeiter ist hilfreich.
Bei uns habe ich in jedem Outlook eine tabellarische Ansicht für den Posteingang eingestellt, mit einer zusätzlichen Spalte "E-Mail-Adresse des Absenders". Dieses Feld wird nicht standardmäßig in Outlook dargestellt, ist aber eine zusätzliche visuelle Hilfe zur Erkennung von suspekten E-Mail-Adressen.
Leider muss man ein paar Klimmzüge machen, um das Feld hinzufügen zu können
VG
Michael Vogtsburger
Bevor die Vorverurteilungen anfangen:
Die Administratorenkennwörter sind starke Kennwörter, die Viwas Definitionen waren und sind aktuell und alle Clients und der Server sind auf dem aktuellen Stand.
Diese Fehler wurden gemacht: Der betreffende User ist lokaler Admin auf dem befallenen PC - Grund ist hier eine alte Software
Es wurde in der Mail auf ein Bild geklickt, die Word Datei wurde NICHT geöffnet!
Ich denke mal, dieses Szenario kann in jeder Kanzlei auftauchen, grade in der Größenordnung 1 - 4 Mitarbeiter.
Fragwürdig finde ich da eher, wie sich unter den Augen von Viwas eine .exe Datei auf dem System und in den geplanten Tasks einrichten kann.