11
Verhalten von Locky u. TC3 bei USB-Backupplatten unter Windows Server mittels Windows Server Backup
Hallo.
Seit dem stärkeren Aufkommen von Locky und TeslaCrypt3 wird im Falle von Backups auf USB-Festplatten dazu geraten, die USB-Platten abzustecken, wenn gerade kein Backup läuft. Ansonsten würde Locky/TC3 den erreichbaren USB-Backupdatenträger ja mitverschlüsseln.
Doch wie verhält es sich beim eingebauten Windows Server Backup unter W2K8/W2K8R2(W2K12/W2K12R2?
Ich sichere die Fileserver in Außenstellen per Windows Server Backup auf USB-Festplatten. Beim Einrichten des Zieldatenträgers entfernt Windows Server Backup ja den ansich sichtbaren USB-Datenträger aus der Exploreransicht. Das Laufwerk wird dann einfach nicht mehr gelistet und hat auch keinen sichtbaren LW-Buchstaben mehr. "Sehen" kann man das LW danach nur noch in der Datenträgerverwaltung.
Nun frage ich mich, ob die aktuellen Ransomwares schon so "schlau" sind, solche Laufwerke trotz "Unsichtbarkeit" dennoch zu finden und zu verschlüsseln. Normalerweise hieß es ja bisher, daß die Ransomware die Laufwerke verschlüsseln kann, die es mit den Usercredentials des Users erreichen kann, an dessen Rechner die Ransomware ausgelöst wurde. Es wird aber mittlerweile auch von abenteuerlichen Wunderfähigkeiten von Locky berichtet, wonach Locky auf einem einmal "erreichten" Fileserver von dort aus munter "weiterwandert" zu allem, was dann dort erreichbar ist.
Weiß jemand was dazu? Muß ich meine Backupplatten (die Backups laufen nachts) in den Außenstellen frühmorgens ab- und abends wieder anklemmen? Wie gesagt, selbst als Admin an der Serverkonsole sehe ich die USB-Platte im Windows-Explorer nicht, sie haben schlichtweg keinen Laufwerksbuchstaben mehr , wenn sie einmal unter Windows Server Backup eingerichtet wurden. Wenn Locky und TC3 mittlerweile wirklich so schlau sind, auf dem einmal eingedrungenen Fileserver "weiterzumachen", wie weitgehend sind dann diese Fähigkeiten?
Wäre klasse, wenn jemand etwas dazu wüßte.
Vielen Dank.
Viele Grüße
von
departure69
Seit dem stärkeren Aufkommen von Locky und TeslaCrypt3 wird im Falle von Backups auf USB-Festplatten dazu geraten, die USB-Platten abzustecken, wenn gerade kein Backup läuft. Ansonsten würde Locky/TC3 den erreichbaren USB-Backupdatenträger ja mitverschlüsseln.
Doch wie verhält es sich beim eingebauten Windows Server Backup unter W2K8/W2K8R2(W2K12/W2K12R2?
Ich sichere die Fileserver in Außenstellen per Windows Server Backup auf USB-Festplatten. Beim Einrichten des Zieldatenträgers entfernt Windows Server Backup ja den ansich sichtbaren USB-Datenträger aus der Exploreransicht. Das Laufwerk wird dann einfach nicht mehr gelistet und hat auch keinen sichtbaren LW-Buchstaben mehr. "Sehen" kann man das LW danach nur noch in der Datenträgerverwaltung.
Nun frage ich mich, ob die aktuellen Ransomwares schon so "schlau" sind, solche Laufwerke trotz "Unsichtbarkeit" dennoch zu finden und zu verschlüsseln. Normalerweise hieß es ja bisher, daß die Ransomware die Laufwerke verschlüsseln kann, die es mit den Usercredentials des Users erreichen kann, an dessen Rechner die Ransomware ausgelöst wurde. Es wird aber mittlerweile auch von abenteuerlichen Wunderfähigkeiten von Locky berichtet, wonach Locky auf einem einmal "erreichten" Fileserver von dort aus munter "weiterwandert" zu allem, was dann dort erreichbar ist.
Weiß jemand was dazu? Muß ich meine Backupplatten (die Backups laufen nachts) in den Außenstellen frühmorgens ab- und abends wieder anklemmen? Wie gesagt, selbst als Admin an der Serverkonsole sehe ich die USB-Platte im Windows-Explorer nicht, sie haben schlichtweg keinen Laufwerksbuchstaben mehr , wenn sie einmal unter Windows Server Backup eingerichtet wurden. Wenn Locky und TC3 mittlerweile wirklich so schlau sind, auf dem einmal eingedrungenen Fileserver "weiterzumachen", wie weitgehend sind dann diese Fähigkeiten?
Wäre klasse, wenn jemand etwas dazu wüßte.
Vielen Dank.
Viele Grüße
von
departure69
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 299132
Url: https://administrator.de/contentid/299132
Printed on: April 25, 2024 at 10:04 o'clock
11 Comments
Latest comment
Moin,
aus diesem Grund ändere ich gerade einige SOHO-Kunden von "Sicherung auf USB HDD" auf "Sicherung auf NAS auf USB HDD".
Wobei 1. die USB HDD am NAS angeschlossen sind (synchronisiert vom NAS), 2. nur die Sicherungssoftware die Zugangsdaten für die Freigaben hat.
Zu 99,9% wird das unfreundliche Program auf einem PC aktiv und wartet dort erstmal und sammelt Zugangsdaten und scannt das Netzwerk.
Von dort wird dann alles verschlüsselt was geht.
Es werden auch die Images von DriveSnapShot verschlüsselt.
Sehr wahrscheinlich auch die Windows-Sicherung.
Und wenn die Rechte reichen dann werden auch die Schattenkopien ausgeschaltet.
Es wird auch versucht mit Brute-Force in andere PCs und Server einzubrechen um auf dortige Freigaben zuzugreifen.
Einem Kunden von mir wurde der unwichtige Benutzer scan für das Scannen am Kopierer zum Verhängnis der ein normalen Domänenbenutzer war.
Stefan
aus diesem Grund ändere ich gerade einige SOHO-Kunden von "Sicherung auf USB HDD" auf "Sicherung auf NAS auf USB HDD".
Wobei 1. die USB HDD am NAS angeschlossen sind (synchronisiert vom NAS), 2. nur die Sicherungssoftware die Zugangsdaten für die Freigaben hat.
Zu 99,9% wird das unfreundliche Program auf einem PC aktiv und wartet dort erstmal und sammelt Zugangsdaten und scannt das Netzwerk.
Von dort wird dann alles verschlüsselt was geht.
Es werden auch die Images von DriveSnapShot verschlüsselt.
Sehr wahrscheinlich auch die Windows-Sicherung.
Und wenn die Rechte reichen dann werden auch die Schattenkopien ausgeschaltet.
Es wird auch versucht mit Brute-Force in andere PCs und Server einzubrechen um auf dortige Freigaben zuzugreifen.
Einem Kunden von mir wurde der unwichtige Benutzer scan für das Scannen am Kopierer zum Verhängnis der ein normalen Domänenbenutzer war.
Stefan
Moin,
Nur weil Due etwas nicht sehen kannst, heitß das nicht, daß es ncih terreichbar ist. Erinnert mich an kleine Kinder, die sich die Augen zuhalten udn dann meinen, man könnte sie nicht sehen.
Solange die Malware nciht auf dem Serve rselbst ist, könnte man damit Erfolg haben. Sobald sie aber auf dem Server ist, hast Du keine Gewähr, daß die Malware die Laufwerke nciht einfach selbst mountet und verschlüsselt. Un dich könnt emir auch dirchaus malware vorstellen, die einfach das ganze device verschlüselt. Es würde, solange es nciht gemountet ist, ja gar nicht auffallen.
Locky udn TC3 in den aktuellen Varianten ist offenbar noch nicht ganz so schlau, aber auch die Malware-Entwickler lernen.
Meine Erfahrung: Nur Baclkups die wirklich "offline" sind bieten Schutz vor versehentlichen oder absichtlichen Beschädigungen.
lks
Nur weil Due etwas nicht sehen kannst, heitß das nicht, daß es ncih terreichbar ist. Erinnert mich an kleine Kinder, die sich die Augen zuhalten udn dann meinen, man könnte sie nicht sehen.
Solange die Malware nciht auf dem Serve rselbst ist, könnte man damit Erfolg haben. Sobald sie aber auf dem Server ist, hast Du keine Gewähr, daß die Malware die Laufwerke nciht einfach selbst mountet und verschlüsselt. Un dich könnt emir auch dirchaus malware vorstellen, die einfach das ganze device verschlüselt. Es würde, solange es nciht gemountet ist, ja gar nicht auffallen.
Locky udn TC3 in den aktuellen Varianten ist offenbar noch nicht ganz so schlau, aber auch die Malware-Entwickler lernen.
Meine Erfahrung: Nur Baclkups die wirklich "offline" sind bieten Schutz vor versehentlichen oder absichtlichen Beschädigungen.
lks
Moin.
Stellt euch bitte die Frage, warum auf einem win-Server nicht applocker laufen sollte. Und dann stellt sich die eigentliche Frage nicht mehr.
Stellt euch bitte die Frage, warum auf einem win-Server nicht applocker laufen sollte. Und dann stellt sich die eigentliche Frage nicht mehr.
Hallo.
aus diesem Grund ändere ich gerade einige SOHO-Kunden von "Sicherung auf USB HDD" auf "Sicherung auf NAS auf USB HDD".
Wobei 1. die USB HDD am NAS angeschlossen sind (synchronisiert vom NAS), 2. nur die Sicherungssoftware die Zugangsdaten für die Freigaben hat.
Zu 99,9% wird das unfreundliche Program auf einem PC aktiv und wartet dort erstmal und sammelt Zugangsdaten und scannt das Netzwerk.
Von dort wird dann alles verschlüsselt was geht.
Das ist ja genau die Frage. Wo läuft die Schadsoftware? Das die Executable, die den Verschlüsselungsvorgang vornimmt, auf dem Fileserver läuft, halte ich nach dem, was ich bisher gelesen habe, für unwahrscheinlich. Wenn, dann "läuft" sie doch von einem User-PC aus, der sich den Dreck per Mail oder durch's Surfen eingefangen hat. Auf unseren Servern wird nicht gesurft und es werden auch keine Mails geöffnet. Das sie vom User-PC aus alles, was sie mit den Usercredentials mit Schreibrechten erreichen kann, infiziert, ist ja klar.
Es werden auch die Images von DriveSnapShot verschlüsselt.
Auch hier die Frage nach dem Warum. Kann ein normaler User diese erreichen, und hat er auf diese Schreibrechte? Mal davon abgesehen, daß ich DriveSnapshot nicht nutze.
Sehr wahrscheinlich auch die Windows-Sicherung.
Wieso? Das Windows Server Backup läuft mit dem Systemkonto. Wenn ich den eigentlich verborgenen USB-Datenträger gewaltsam per Datenträgerverwaltung doch wieder im Explorer mit LW-Buchstabe sichtbar mache, kriege ich beim Doppelklick als Domänenadministrator ein "Zugriff verweigert". Wie soll die Malware, die vom User-PC aus mit den eingeschränten Credentials des Users läuft, darauf Schreibrechte erhalten?
Und wenn die Rechte reichen dann werden auch die Schattenkopien ausgeschaltet.
Das wiederum ist denkbar, weil der User ja Rchte auf die Schattenkopien hat, die von Dateien erzeugt wurden die er erstellt hat.
Es wird auch versucht mit Brute-Force in andere PCs und Server einzubrechen um auf dortige Freigaben zuzugreifen.
Ds ist mir neu, und wenn das stimmt, ist das eine Katastrophe. Hast Du dazu eine Quelle?
Einem Kunden von mir wurde der unwichtige Benutzer scan für das Scannen am Kopierer zum Verhängnis der ein normalen Domänenbenutzer war.
Solche Konten habe ich auch, allerdings nicht in den Außenstellen. trotzdem: Übel, übel.
Stefan
Danke für Deine Hinweise.
Viele Grüße
von
departure69
Moin,
eigentlich sind diese Programme harmlos und nur lästig.
Man wird es, besonders bei SOHO-Kunden, in der Regel nicht zu 100% verhindern können.
So sollte es ja sein
1. versuchten PC identifizieren und letztes Image oder sonstigen Sicherung wiederherstellen
2. Dateien auf dem Server aus den Schattenkopien oder DS wiederherstellen
easy
So war es bei dem Kunden (SOHO, 1 Server, 3 PCs)
1a) Die images der PCs liegen auf einem NAS und waren alle verschlüsselt
2) Auf dem Server waren die Schattenkopien nicht konfiguriert
3) Die Datensicherungsfestplatten (F:\) (USB am Server) war dort freigegeben war verschlüsselt
4) Der letzte Wechsel des Mediums war 4 Wochen her
=> Pech
Siehe eine Zeile tiefer.
Alle Dateien auf dem Server waren mit scan erstellt worden.
scan wird aber nur am Kopierer genutzt. Ich hatte mich auch kurz gefragt ob das Ding vieleicht gehackt worden sein könnte.
Viele Grüße
Stefan
eigentlich sind diese Programme harmlos und nur lästig.
Man wird es, besonders bei SOHO-Kunden, in der Regel nicht zu 100% verhindern können.
So sollte es ja sein
1. versuchten PC identifizieren und letztes Image oder sonstigen Sicherung wiederherstellen
2. Dateien auf dem Server aus den Schattenkopien oder DS wiederherstellen
easy
So war es bei dem Kunden (SOHO, 1 Server, 3 PCs)
1a) Die images der PCs liegen auf einem NAS und waren alle verschlüsselt
2) Auf dem Server waren die Schattenkopien nicht konfiguriert
3) Die Datensicherungsfestplatten (F:\) (USB am Server) war dort freigegeben war verschlüsselt
4) Der letzte Wechsel des Mediums war 4 Wochen her
=> Pech
Es wird auch versucht mit Brute-Force in andere PCs und Server einzubrechen um auf dortige Freigaben zuzugreifen.
Ds ist mir neu, und wenn das stimmt, ist das eine Katastrophe. Hast Du dazu eine Quelle?Alle Dateien auf dem Server waren mit scan erstellt worden.
scan wird aber nur am Kopierer genutzt. Ich hatte mich auch kurz gefragt ob das Ding vieleicht gehackt worden sein könnte.
Einem Kunden von mir wurde der unwichtige Benutzer scan für das Scannen am Kopierer zum Verhängnis der ein normalen Domänenbenutzer war.
Solche Konten habe ich auch, allerdings nicht in den Außenstellen. trotzdem: Übel, übel.Viele Grüße
Stefan
Hallo.
Nur weil Due etwas nicht sehen kannst, heitß das nicht, daß es ncih terreichbar ist. Erinnert mich an kleine Kinder, die sich die Augen zuhalten udn dann meinen, man könnte sie nicht sehen.
Der Smiley hat dich jetzt gerettet, sonst wär' ich beleidigt. Mir ist das Vogel-Strauß-Prinzip schon klar. Doch auch hierzu, wie ich an @StefanKittel schon schrieb: Das Entfernen des Laufwerkbuchstabens ist ja nur eine kosmetische Maßnahme, sobald Windows-Server-Backup eingerichtet wurde. Tatsächlich "gehört" der USB-Datenträger danach dem Systemkonto, hänge ich das USB-LW gewaltsam per Datenträgerverwaltung wieder mit einem LW-Buchstaben ein, kriege ich beim Doppelklick als Domänen-Admin ein "Zugriff verweigert". Wie soll die Malware an dieser Stelle etwas erreichen können?
Solange die Malware nciht auf dem Serve rselbst ist, könnte man damit Erfolg haben.
Und wieder diese Frage: Wo läuft die Malware? Sind denn Fälle bekannt, daß die Malware-Executable wirklich als Prozeß auf dem Server läuft, als sei sie dort wirklich ausgeführt worden?
Sobald sie aber auf dem Server ist, hast Du keine Gewähr, daß die Malware die Laufwerke nciht einfach selbst mountet und verschlüsselt. Und ich könnte mir auch durchaus Malware vorstellen, die einfach das ganze Device verschlüselt. Es würde, solange es nciht gemountet ist, ja gar nicht auffallen.
Wenn das wirklich der derzeitige Status Quo der aktuellen Fähigkeiten von Locky und TC3 ist, klingt das richtig übel. Ist das wirklich so, oder spekulierst Du in/auf eine (vielleicht nicht mehr so) ferne Zukunft?
Locky udn TC3 in den aktuellen Varianten ist offenbar noch nicht ganz so schlau, aber auch die Malware-Entwickler lernen.
Das Dumme ist, daß diese widerlichen Typen vermutlich auch bei uns hier und anderswo die möglichen Gegenmaßnahmen mitlesen.
Meine Erfahrung: Nur Baclkups die wirklich "offline" sind bieten Schutz vor versehentlichen oder absichtlichen Beschädigungen.
Im Haupthaus hab' ich hinsichtlich der Backups auch kein Problem, Bänder und zweites, synchronisiertes Veeam-NAS sind vorhanden (und in anderem Brandabschnitt des Hauptgebäudes), doch ich hab' leider nicht die Zeit jeden Tag zweimal die Außenstellen aufzusuchen, nur um die USB-Platten morgens ab- und abends wieder anzustecken. Und dem dortigen Personal ist das nicht zumutbar und auch zweifelhaft, daß die das zuverlässig erledigen würden.
lks
Vielen Dank.
Viele Grüße
von
departure69
Zitat von @StefanKittel:
So war es bei dem Kunden (SOHO, 1 Server, 3 PCs)
1a) Die images der PCs liegen auf einem NAS und waren alle verschlüsselt
2) Auf dem Server waren die Schattenkopien nicht konfiguriert
3) Die Datensicherungsfestplatten (F:\) (USB am Server) war dort freigegeben war verschlüsselt
4) Der letzte Wechsel des Mediums war 4 Wochen her
=> Pech
So war es bei dem Kunden (SOHO, 1 Server, 3 PCs)
1a) Die images der PCs liegen auf einem NAS und waren alle verschlüsselt
2) Auf dem Server waren die Schattenkopien nicht konfiguriert
3) Die Datensicherungsfestplatten (F:\) (USB am Server) war dort freigegeben war verschlüsselt
4) Der letzte Wechsel des Mediums war 4 Wochen her
=> Pech
Da ist aber auch alles schiefgelaufen, das wir nicht nur einmal Pech, sondern gleich mehrmals. Offenbar waren sowohl die PC-Images auf dem NAS als auch die Freigaben auf den USB-Sicherungsplatten von den User-PCs aus mit Schreibrechten erreichbar. Ob die Schattenkopien, wenn es welche gegeben hätte, verschont geblieben wären, wissen wir nicht.
Es wird auch versucht mit Brute-Force in andere PCs und Server einzubrechen um auf dortige Freigaben zuzugreifen.
Ds ist mir neu, und wenn das stimmt, ist das eine Katastrophe. Hast Du dazu eine Quelle?Alle Dateien auf dem Server waren mit scan erstellt worden.
scan wird aber nur am Kopierer genutzt. Ich hatte mich auch kurz gefragt ob das Ding vieleicht gehackt worden sein könnte.
Das würde aber voraussetzen, daß die Weiterentwicklung von Locky und Konsorten schon sehr, sehr weit fortgeschritten ist - nicht undenkbar.
Viele Grüße
Stefan
Nochmals Danke.
Viele Grüße
von
departure69
Solange die Malware nciht auf dem Serve rselbst ist, könnte man damit Erfolg haben.
Das ist jetzt genau das Szenario, das ich hier in meiner Firma umsetzen will. Eben dass die Malware nicht auf die Server gelangt.Man muss ja damit rechnen, dass Locky, TC3, usw. irgendwann mal auf einem Client auftaucht. Zumindest auf einem Client, an dem auch gearbeitet wird.
Dazu will ich eben komplett auf VDI mit ThinClients auf Linuxbasis setzen.
Die Malware kann sich ja dann nur noch dort ausbreiten, wie weit die Userrechte reichen. Also auf den entsprechenden Freigaben der einzelnen User.
Wenn da jetzt nicht jeder User auf sämtliche Clients und Server-Freigaben Zugriff hat, dann hat man ja die Gefahr schon mal ziemlich eingedämmt.
Klar, die Clients innerhalb einer Freigabeebene sind da dann komplett betroffen Aber weiter kommt die Malware ja nicht.
Wenn da dann mit vernünftiger Sicherung gearbeitet wird, dann kann man so einen Befall dann relativ schnell wieder beheben. Man dürfte da eigentlich nur einen Tag verlieren (was ja schon schlimm genug ist).
Oder liege ich da jetzt völlig daneben?
Solange die Malware nciht auf dem Serve rselbst ist, könnte man damit Erfolg haben.
Ersetze "könnte" durch "muss". Dennoch: sichert endlich Eure Server vernünftig ab, nicht mit Möchtegern-AV-Sicherheit, sondern mit Applocker. Das auf Servern einzusetzen ist nun wirklich kinderleicht. Es ist in der Standardedition von 2008R2/2012/2012R2 enthalten. Auf 2008 muss man Softwareeinschränkungsrichtlinien nehmen, welche ebenso ausreichen.Zitat von @departure69:
Das Entfernen des Laufwerkbuchstabens ist ja nur eine kosmetische Maßnahme, sobald Windows-Server-Backup eingerichtet wurde. Tatsächlich "gehört" der USB-Datenträger danach dem Systemkonto, hänge ich das USB-LW gewaltsam per Datenträgerverwaltung wieder mit einem LW-Buchstaben ein, kriege ich beim Doppelklick als Domänen-Admin ein "Zugriff verweigert". Wie soll die Malware an dieser Stelle etwas erreichen können?
Das Entfernen des Laufwerkbuchstabens ist ja nur eine kosmetische Maßnahme, sobald Windows-Server-Backup eingerichtet wurde. Tatsächlich "gehört" der USB-Datenträger danach dem Systemkonto, hänge ich das USB-LW gewaltsam per Datenträgerverwaltung wieder mit einem LW-Buchstaben ein, kriege ich beim Doppelklick als Domänen-Admin ein "Zugriff verweigert". Wie soll die Malware an dieser Stelle etwas erreichen können?
Es gib in windows genügend lokale prvilege-escalation-Methoden, ohne daß der User das mitbekommt. Von daher ist das zwar noch kein Wahrscheinliche, aber doch mögliche Methode and die Backup-laufwerke zu kommen. Zugegeben. In Massenerpressungsmalware wird das noch nciht eingesetzt, weil das einfach zuviel Aufwand für zuwenig Ertrag ist, aber es ist nich tabwegig, daß Malware gewzielt so eingesetzt wird, wenn das Ziel sich lohnt.
Solange die Malware nciht auf dem Serve rselbst ist, könnte man damit Erfolg haben.
Und wieder diese Frage: Wo läuft die Malware? Sind denn Fälle bekannt, daß die Malware-Executable wirklich als Prozeß auf dem Server läuft, als sei sie dort wirklich ausgeführt worden?
Es gibt auch dämliche Admins. .-)
Sobald sie aber auf dem Server ist, hast Du keine Gewähr, daß die Malware die Laufwerke nciht einfach selbst mountet und verschlüsselt. Und ich könnte mir auch durchaus Malware vorstellen, die einfach das ganze Device verschlüselt. Es würde, solange es nciht gemountet ist, ja gar nicht auffallen.
Wenn das wirklich der derzeitige Status Quo der aktuellen Fähigkeiten von Locky und TC3 ist, klingt das richtig übel. Ist das wirklich so, oder spekulierst Du in/auf eine (vielleicht nicht mehr so) ferne Zukunft?
Locky und TC3 setzen socleh Mechanismen vermutlich noch nicht ein. Was aber nichtist, kann ganz schnell werden, wenn die Schutzmechnismen zu gut werden.
lks
Hallo! Vielleicht haben Sie nicht wissen, aber Locky ständig umgewandelt. Er war Petya, Odin, Cerber und jetzt ist es THOR.
"Eine interessante Eigenschaft der .thor Erweiterungsvariante von Locky ist, dass sie Daten im Offline-Modus verschlüsseln kann. Das bedeutet, dass eine Abfrage eines externen Befehls- und Steuerservers für Krypto Schlüssel nicht nötig ist und es sich dabei also nun um eine autonome Bedrohung handelt. Darüber hinaus ist nicht klar wie weite die eigene Firewall reicht, was den Angreifern eine weitere Schicht zur Verschleierung bietet. Während die Entschlüsselung von .thor Dateien ohne Bezahlung für den privaten RSA Schlüssel kaum möglich ist, sollten infizierte Benutzer die Nutzung einer intelligenten forensischen Methode zur Wiederherstellung der wichtigsten Daten in Erwägung ziehen."
Der Text von dieser Seite http://linkmailer.de/viren/thor-dateien-virus
"Eine interessante Eigenschaft der .thor Erweiterungsvariante von Locky ist, dass sie Daten im Offline-Modus verschlüsseln kann. Das bedeutet, dass eine Abfrage eines externen Befehls- und Steuerservers für Krypto Schlüssel nicht nötig ist und es sich dabei also nun um eine autonome Bedrohung handelt. Darüber hinaus ist nicht klar wie weite die eigene Firewall reicht, was den Angreifern eine weitere Schicht zur Verschleierung bietet. Während die Entschlüsselung von .thor Dateien ohne Bezahlung für den privaten RSA Schlüssel kaum möglich ist, sollten infizierte Benutzer die Nutzung einer intelligenten forensischen Methode zur Wiederherstellung der wichtigsten Daten in Erwägung ziehen."
Der Text von dieser Seite http://linkmailer.de/viren/thor-dateien-virus
