[Eisfair] E1 - BFB 0.8.0 - Locky in action

[Jürgen Pfautsch]

Hi Olaf,
folgendes Verhalten beobachtet:
Ich war gerade dabei, eine große Anzahl von kleinen Dateien auf den Eis zu 
kopieren, als plötzlich die Verbindung abbrach.

Dann kam folgende Mail:
Die IP 192.xxx.xxx.xxx ist vermutlich von einem Verschluesselungstrojaner 
verseucht. Der Zugang wurde durch eine Nullroute blockiert.
Bitte ueberpruefe nun den Rechner. Nach erfolgreicher Saeuberung kannst Du 
ihn wieder mittels
route del -host 192.xxx.xxx.xxx reject
freigeben.

Ein Scan auf dem Host ergab keine Infektion.
Ein Blick in die messages ergab keine Auffälligkeiten (nur die Einträge der 
kopierten Dateien) und auch keinen Hinweis auf den Block.
Eine Mißinterpretation von BFB?
Finde ich da noch woanders ein log dazu?

Uuuund:
nach einen Neustart des Servers hatte ich wieder Zugriff vom Host auf den 
Server.
Der Block überlebt also scheinbar einen Neustart nicht?

Danke
Jürgen 


---
Diese E-Mail wurde von Avast Antivirus-Software auf Viren geprüft.
https://www.avast.com/antivirus