20
Welche Schlüsse nach "Locky" ziehen?
Hallo!
Hatte heute die Ehre das ich beim Kunden das erste mal "Locky" miterleben durfte.
Kurz zum Setup:
1 SBS2011 (Eierlegende Wollmilchsau) mit dem Trend Micro Worry Free 9.0
1 Server 2008 für das ERP-System
4 Clients mit Win 7 und Win 10 ebenfalls mit dem Trend Micro Worry Free 9.0
Gesichert wird mit der Windows Server Sicherung auf 2 HDDs (werden täglich umgesteckt).
Nun zum Problem:
Die Sekretärin öffnete eine zip mit dem Locky darin, Gott sei Dank reagierte diese geistesgegenwärtig und zog den Netzstecker.
Ihre Daten auf dem Client waren Schrott, aber bis zur Netzfreigabe kam er nicht, nur ein paar Files von der ERP-Freigabe waren verschlüsselt (nur Logs).
Nach dem neuinstallieren des Clients stell ich mir natürlich die Frage was man außer Schulung der Mitarbeiter noch machen kann.
Der Exchange 2010 auf dem SBS hat keinen expliziten Virenschutz, hab mich nach dem Trend Micro Hosted Mail Security erkundigt, was haltet ihr von dem?
Preislich ist für 4 Benutzer auch Exchange Online interessant, hier wäre der Spam- und Virenschutz auch schon dabei.
Wegen der Datensicherungsgeschichte; Würdet ihr hier was anders machen?
Danke!
LG
intermarty
Hatte heute die Ehre das ich beim Kunden das erste mal "Locky" miterleben durfte.
Kurz zum Setup:
1 SBS2011 (Eierlegende Wollmilchsau) mit dem Trend Micro Worry Free 9.0
1 Server 2008 für das ERP-System
4 Clients mit Win 7 und Win 10 ebenfalls mit dem Trend Micro Worry Free 9.0
Gesichert wird mit der Windows Server Sicherung auf 2 HDDs (werden täglich umgesteckt).
Nun zum Problem:
Die Sekretärin öffnete eine zip mit dem Locky darin, Gott sei Dank reagierte diese geistesgegenwärtig und zog den Netzstecker.
Ihre Daten auf dem Client waren Schrott, aber bis zur Netzfreigabe kam er nicht, nur ein paar Files von der ERP-Freigabe waren verschlüsselt (nur Logs).
Nach dem neuinstallieren des Clients stell ich mir natürlich die Frage was man außer Schulung der Mitarbeiter noch machen kann.
Der Exchange 2010 auf dem SBS hat keinen expliziten Virenschutz, hab mich nach dem Trend Micro Hosted Mail Security erkundigt, was haltet ihr von dem?
Preislich ist für 4 Benutzer auch Exchange Online interessant, hier wäre der Spam- und Virenschutz auch schon dabei.
Wegen der Datensicherungsgeschichte; Würdet ihr hier was anders machen?
Danke!
LG
intermarty
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 299802
Url: https://administrator.de/contentid/299802
Printed on: April 24, 2024 at 13:04 o'clock
20 Comments
Latest comment
N'Abend.
Cheers,
jsysde
Zitat von @intermarty:
Nach dem neuinstallieren des Clients stell ich mir natürlich die Frage was man außer Schulung der Mitarbeiter noch machen kann.
Beten und hoffen wäre ein Anfang - du wirst niemals sicherstellen können, dass Scanner XYV und/oder Security Suite ABC die nächste Version zuverlässig erkennt, bevor ein User draufgeklickt hat.Nach dem neuinstallieren des Clients stell ich mir natürlich die Frage was man außer Schulung der Mitarbeiter noch machen kann.
Wegen der Datensicherungsgeschichte; Würdet ihr hier was anders machen?
Jein - prinzipiell machst du es schon richtig und trennst du die Backup-Medien vom Live-System, somit kann dort wüten, was will, du hast immer ein unverschlüsseltes und sauberes Backup. "Luft nach oben" besteht noch beim Komfort, das Wechseln von Platten kann doch lästig und unbequem sein. Aber wie gesagt, vom Konstrukt her, alles prima (immer vorausgesetzt, du hast das Backup korrekt konfiguriert. Und du testest natürlich auch regelmässig, dass die Daten wiederherstellbar sind).Cheers,
jsysde
Hi.
Welche Schlüsse: Virenscanner sind nicht das geeignete Mittel.
Admins erfreuen sich zwar an ihren Verwaltungskonsolen mit lauter ansehnlichen grünen Lampen, dennoch bleibt nur, davon Abschied zu nehmen.
Stell Dir vor, du hättest eine Liste mit allen Anwendungen eurer Firma und ebenso ein Verzeichnis von vertrauten Herausgebern von weiteren Anwendungen, die ihr evtl. demnächst einsetzen könntet, aber derzeit noch nicht tut. Nur diese Anwendungen würden laufen können, alles andere, ausnahmslos, würde, egal wie blöd sich die Sekretärin auch anstellen mag, nicht einmal ausführbar sein... wäre das nicht schön?
Diese Technik ist der richtige Ansatz und es gibt sie für Windows seit 15 Jahren. Nur wenige nutzen sie, denn wenn nichts Böses mehr laufen kann und auch keine grünen Lampen mehr angestarrt werden können, hey, wo ist noch der Spaß an der Sache?
Lass gut sein mit weiteren Virenscannern, schau Dir Applocker und Softwareeinschränkungsrichtlinien an.
Welche Schlüsse: Virenscanner sind nicht das geeignete Mittel.
Admins erfreuen sich zwar an ihren Verwaltungskonsolen mit lauter ansehnlichen grünen Lampen, dennoch bleibt nur, davon Abschied zu nehmen.
Stell Dir vor, du hättest eine Liste mit allen Anwendungen eurer Firma und ebenso ein Verzeichnis von vertrauten Herausgebern von weiteren Anwendungen, die ihr evtl. demnächst einsetzen könntet, aber derzeit noch nicht tut. Nur diese Anwendungen würden laufen können, alles andere, ausnahmslos, würde, egal wie blöd sich die Sekretärin auch anstellen mag, nicht einmal ausführbar sein... wäre das nicht schön?
Diese Technik ist der richtige Ansatz und es gibt sie für Windows seit 15 Jahren. Nur wenige nutzen sie, denn wenn nichts Böses mehr laufen kann und auch keine grünen Lampen mehr angestarrt werden können, hey, wo ist noch der Spaß an der Sache?
Lass gut sein mit weiteren Virenscannern, schau Dir Applocker und Softwareeinschränkungsrichtlinien an.
Die Schattenkopien am Server zu aktivieren wäre auch eine Möglichkeit, das würde die Wiederherstellung erleichtern kostet aber Speicherplatz.
Hallo jsysde!
Vielen Dank für Deinen Input!
Wie würdest Du das am besten regeln damit man nicht mehr jeden Tag die Platte umstecken muss, aber man trotzdem ein sicheres Backup der Daten hat?
Danke!
LG
Intermarty
Vielen Dank für Deinen Input!
Wie würdest Du das am besten regeln damit man nicht mehr jeden Tag die Platte umstecken muss, aber man trotzdem ein sicheres Backup der Daten hat?
Danke!
LG
Intermarty
Hallo.
Hatte heute die Ehre das ich beim Kunden das erste mal "Locky" miterleben durfte.
Nach dem neuinstallieren des Clients stell ich mir natürlich die Frage was man außer Schulung der Mitarbeiter noch machen kann.
Der Exchange 2010 auf dem SBS hat keinen expliziten Virenschutz, hab mich nach dem Trend Micro Hosted Mail Security erkundigt, was haltet ihr von dem?
Preislich ist für 4 Benutzer auch Exchange Online interessant, hier wäre der Spam- und Virenschutz auch schon dabei.
Wer kauft denn Trend-Micro-Worry-Free-Business-Security ohne den Trend Micro Messaging Security Agent für den Exchange? Falls der am SBS für den Exch. 2010 wirklich fehlt, ist das leicht nachzuholen, Lizenz nachkaufen, über die Trend-Micro-Konsole dem Exch. draufpumpen, fertig. Denn fernab von akteller Ransomware sind Viren im klassischen Sinne in E-Mail-Anlagen natürlich noch nicht ausgestorben - unbedingt ergänzen, dann brauchst Du kein anderes Mailsystem, schon gar nicht outgesourct.
Desweiteren zu TrendMicro-Worry-Free-Business-Security: Die wohl auch bei Deinem Kunden aktuelle Version 9.0 hat schon mehrere Service-Packs und danach auch noch mehrere Critical Updates erhalten, unter anderem eines von Januar 2016, welches überhaupt erst ermöglicht, verbesserten Schutz vor Ransomware zu bekommen und die verhaltensbasierte Überwachung zu verbessern, ist das alles wirklich aktuell und eingespielt und eingestellt worden?
Hier nachzuschauen:
Downloads:
http://downloadcenter.trendmicro.com/index.php?regs=de&clk=latest&a ...
Ganz wichtig, Best-Practise für WFBS wg. Ramsomware:
http://esupport.trendmicro.com/solution/en-us/1039099.aspx
Abarbeiten!
Im Übrigen hat @DerWoWusste natürlich recht, Malwarescanner jeglicher Couleur sind und bleiben Schlangenöl, das Katz- und Mausspiel zwischen den Herstellern und den bösen Buben wird auf kurze Distanz immer der böse Bube gewinnen, weil der Antimalwarehersteller stets erst dann reagieren kann, wenn schon bei irgendwem was passiert ist. Erst langfristig werden sich bessere und wirklich sichere Schutzmethoden durchsetzen, von denen @DerWoWusste auch schon die derzeit wirksamste aufgezeigt hat: Applocker und SRP.
LG
intermarty
intermarty
Viele Grüße
von
deaprture69
Zitat von @agowa338:
Die Schattenkopien am Server zu aktivieren wäre auch eine Möglichkeit, das würde die Wiederherstellung erleichtern kostet aber Speicherplatz.
Die Schattenkopien am Server zu aktivieren wäre auch eine Möglichkeit, das würde die Wiederherstellung erleichtern kostet aber Speicherplatz.
Es ist nicht sicher, ob Locky die nicht auch löscht, wenn er das verbundene Netzlaufwerk einmal erreicht hat. TeslaCrypt 3 und TeslaCrypt 4 löschen auf jeden Fall auch vorgefundene Schattenkopien (zumindest diejenigen, auf die der angemeldete User, von dessen laufendem Account aus die Ransomware TC3 od. TC4 läuft, Schreibrechte hat).
Der aktuelle TeslaCrypt 4 ist besonders perfide, TC3 hat noch alles, was er verschlüsselt hat, mit der Endung *.mp3 versehen, es war also bei Befall recht schnell zu bemerken, das was nicht stimmt ("Hey Admin, ich hab' nur noch MP3s in meinem Home-Laufwerk") - TeslaCrypt 4 verschlüsselt nur noch, benennt aber nicht mehr um, das heißt, man sieht beim Blick ins Netzlaufwerk nicht unbedingt sofort, daß der da schon gewütet hat.
Viele Grüße
von
departure69
Hey DerWoWusste, mich wunderts, dass Du nicht noch Deinen Beitrag gepostet hast.
Ich fand ihn damals sehr aufschlussreich und er passt ja auch hier ganz gut.
Gruß, freenode.
Ich fand ihn damals sehr aufschlussreich und er passt ja auch hier ganz gut.
Gruß, freenode.
Der einfachste Schluss daraus ist: Einen Mac Rechner mit OS-X kaufen 
mich wunderts, dass Du nicht noch Deinen Beitrag gepostet hast.
Hi.Ich habe meinen Tipp auf das Wichtigste reduziert. Und das war anzuprangern, dass Admins gerne Virenscanner nutzen, anstatt Methoden, die tatsächlich auch funktionieren. Wenn man schon diesen Bauernfang-Mumpitz hört "Trend Micro worry free", kann man doch nur lachen.
Hallo!
Erstmal würde ich der Sekretärin eine Prämie geben.... Ich hätte niemanden im Unternehmen, der so spontan reagiert hätte!
Meine Schlüsse sind:
- ALLE unnötigen Zugriffe unterbinden.
- Stärker segmentieren.
--> Die Auswirkungen klein halten.
Phil
Erstmal würde ich der Sekretärin eine Prämie geben.... Ich hätte niemanden im Unternehmen, der so spontan reagiert hätte!
Meine Schlüsse sind:
- ALLE unnötigen Zugriffe unterbinden.
- Stärker segmentieren.
--> Die Auswirkungen klein halten.
Phil
ihhh Mac....aber bei Linux allgemein wäre ich bei Dir....
Servus,
hatte mal vor sehr kurzer Zeit den TrendMicro AV getestet, da gibt es schon vom März 2016 offenbar ein weiteres kritisches Updates, siehe
http://downloadcenter.trendmicro.com/index.php?regs=NABU&clk=latest ...
Gruß
VGem-e
hatte mal vor sehr kurzer Zeit den TrendMicro AV getestet, da gibt es schon vom März 2016 offenbar ein weiteres kritisches Updates, siehe
http://downloadcenter.trendmicro.com/index.php?regs=NABU&clk=latest ...
Gruß
VGem-e
Ich persönlich neige bei einem SBS immer dazu, ihn auf die von Gott gegebenen Dinge zu reduzieren.
Dann kannst Du dir da schon mal eine Antivirenlizenz sparen
Dann kannst Du dir da schon mal eine Antivirenlizenz sparen
Zitat von @117471:
Ich persönlich neige bei einem SBS immer dazu, ihn auf die von Gott gegebenen Dinge zu reduzieren.
Dann kannst Du dir da schon mal eine Antivirenlizenz sparen
Ich persönlich neige bei einem SBS immer dazu, ihn auf die von Gott gegebenen Dinge zu reduzieren.
Dann kannst Du dir da schon mal eine Antivirenlizenz sparen
Kommt darauf an, was Du mit "von Gott gegeben" meinst
Wenn ich hier "Gott" mit "Microsoft" austausche, dann ist der SBS als Tausendsassa designt, der ganz viele Serveraufgaben auf einmal hat: DC, DNS, DHCP, Exchange, WSUS, SharePoint und Fileserver.
Ich habe meinen SBS 2008 auch entrümpelt und z. B. Fileserver und WSUS auf andere Maschinen gelagert, meiner ist also "nur noch" DC, DNS, DHCP u. Exchange.
Doch wer ihn so nutzt, wie er für kleinere bis mittlere KMU designt wurde (also alles in einer Maschine), braucht auf jeden Fall ein professionelles AV-Produkt. Wie ich weiter oben schon schrieb, ist fernab von Locky, TC3 und TC4 die "klassische" Malware, gleich welcher Art, noch nicht ausgestorben.
Wer den SBS also so nutzt, wie er eigentlich gedacht ist, sollte auf keinen Fall auf ein AV-Produkt verzichten, zumindest meiner unmaßgeblichen Meinung nach.
Viele Grüße
von
departure69
Auf einem korrekt betriebenen Fileserver brauchst Du keinen Virenscanner.
Zum Einen hast Du den Virenschutz auf den Clients.
Zum Anderen gibt es dort nichts, was den Algorithmus des Schädlings startet. Der liegt maximal ungenutzt auf der Festplatte rum.
Erfahrungen mit diversen Vireninfektionen bestätigen das. Der SBS war immer sauber.
Ich bleibe dabei - ein SBS mit einem Virenscanner betrachte ich persönlich erst einmal als "zerstört". Alles, was dann noch funktioniert ist pures Glück.
Zum Einen hast Du den Virenschutz auf den Clients.
Zum Anderen gibt es dort nichts, was den Algorithmus des Schädlings startet. Der liegt maximal ungenutzt auf der Festplatte rum.
Erfahrungen mit diversen Vireninfektionen bestätigen das. Der SBS war immer sauber.
Ich bleibe dabei - ein SBS mit einem Virenscanner betrachte ich persönlich erst einmal als "zerstört". Alles, was dann noch funktioniert ist pures Glück.
Hi.
Ergo: Virenscanner nicht nötig, aber Applocker anschalten, auf jeden Fall!
Zum Anderen gibt es dort nichts, was den Algorithmus des Schädlings startet.
Nicht korrekt. Wenn ein Dienst angreifbar ist (der smb-Dienst, der die Freigaben bereitstellt - wird bald wieder aktuell werden, siehe http://badlock.org/ ), dann kannst Du den Zielrechner dazu bringen, Code auszuführen. Und da fangen Angreifer nicht an, an der Konsole rumzutippen, sondern feuern auch vorgefertigte Skripte und Schädlinge ab.Ergo: Virenscanner nicht nötig, aber Applocker anschalten, auf jeden Fall!
Zitat von @DerWoWusste:
Wenn ein Dienst angreifbar ist (der smb-Dienst, der die Freigaben bereitstellt - wird bald wieder aktuell werden, siehe http://badlock.org/ ), dann kannst Du den Zielrechner dazu bringen, Code auszuführen.
Wenn ein Dienst angreifbar ist (der smb-Dienst, der die Freigaben bereitstellt - wird bald wieder aktuell werden, siehe http://badlock.org/ ), dann kannst Du den Zielrechner dazu bringen, Code auszuführen.
Da hast Du Recht. Aber in dem Punkt gehe ich mal davon aus, dass ein Angriffsszenario dermaßen speziell auf den Host zugeschnitten ist, dass es ein generischer Trojaner / Virus / Wurm nicht enthält.
Cool wäre natürlich ein Schädling, der das System und dessen Patchstand erkennt und ein speziell für diesen Fall programmiertes Add-On aus einem Torrent-Botnetz nachlädt... *hrhrhr*
Und ich bin mir ehrlich gesagt auch nicht sicher, ob ich Datei- und Druckerfreigaben jetzt unbedingt zu den Kernaufgaben eines SBS zählen würde. Ich sehe den Schwerpunkt des Systems in erster Linie im AD, im Exchange und im WSUS. Das Sharepoint, das SQL usw. ist in meinen Augen eher "Beiwerk zur internen Verwaltung bzw. zur Handhabung des Servers".
Hinzu kommt, dass SBS-Server für viele KMU nahezu unersetzlich sind. Zumindest so lange, wie man Office noch auf 2016 downgraden kann / darf
Insofern würde ich die Strategie immer darauf auslegen, das Teil auf das Notwendige zu reduzieren und dementsprechend zu isolieren (reverse Proxy vors OWA, E-Mail-Eingang über separaten postfix / fetchmail o.Ä.).Aber ich befürchte, auch hier weichen wir gerade wieder etwas vom Thema ab. Aber, um es noch einmal zu sagen: Was ich niemals tun würde ist, einen Virenscanner auf einem SBS zu installieren. Schon gar keinen Antiviren-Managementserver, der noch fleißig in eigenen SQL-Datenbanken herumkrakelt...
Aber in dem Punkt gehe ich mal davon aus, dass ein Angriffsszenario dermaßen speziell auf den Host zugeschnitten ist, dass es ein generischer Trojaner / Virus / Wurm nicht enthält
Es werden fast immer Baukästen benutzt, die unter anderem bekannte Sachen wie mimikatz starten. Auch wenn es ein handverlesenes Skript ist - der Angreifer führt es oft auf dem Server selbst aus und das würde applocker ja blocken können. Applocker frisst keine Ressource, ist bei Standardservern schon onboard und macht auf Servern nun wirklich keine Scherereien.Ist beim SBS applocker dabei? Wenn nicht, werden zumindest SRP dabei sein.
Hi Intermarty,
am besten setzt du am Perimeter eine Next Generation Firewall ein (Fortinet, Palo Alto, ...). Dort kann ein Locky oder andere Ramsomware direkt am Internet und noch vor dem Client abgeblockt werden. Da aber auch jede Firewall, wie ein Virenscanner, signaturbasiert arbeitet müssen diese Signaturen natürlich erst einmal vorhanden sein bzw. der Virus muss erkannt werden. Kann ein Virus aufgrund fehlender Signaturen nicht erkannt werden dann schafft eine Sandbox Lösung Abhilfe. In einer Sandbox werden die Anhänge, .exe Files, doc Files etc. in einer isolierten VM Umgebung ausgeführt und überprüft ob es sich um Malware handelt. Im Falle von Fortinet oder Palo Alto sind diese Sandbox Systeme direkt an der Firewall integrierbar. Zusätzlich kann man ein Antispam Gateway nutzen, welches die Mail-Anhänge so lange zurückhält und dann erst an den User freigibt wenn diese durch eine Sandbox überprüft worden sind. Damit hat man sich bereits eine sehr hohe Security Ebene aufgebaut. 100% kann man leider nie abdecken.
Falls du mehr Infos haben willst, schreib mich an.
Grüße,
-exellent
am besten setzt du am Perimeter eine Next Generation Firewall ein (Fortinet, Palo Alto, ...). Dort kann ein Locky oder andere Ramsomware direkt am Internet und noch vor dem Client abgeblockt werden. Da aber auch jede Firewall, wie ein Virenscanner, signaturbasiert arbeitet müssen diese Signaturen natürlich erst einmal vorhanden sein bzw. der Virus muss erkannt werden. Kann ein Virus aufgrund fehlender Signaturen nicht erkannt werden dann schafft eine Sandbox Lösung Abhilfe. In einer Sandbox werden die Anhänge, .exe Files, doc Files etc. in einer isolierten VM Umgebung ausgeführt und überprüft ob es sich um Malware handelt. Im Falle von Fortinet oder Palo Alto sind diese Sandbox Systeme direkt an der Firewall integrierbar. Zusätzlich kann man ein Antispam Gateway nutzen, welches die Mail-Anhänge so lange zurückhält und dann erst an den User freigibt wenn diese durch eine Sandbox überprüft worden sind. Damit hat man sich bereits eine sehr hohe Security Ebene aufgebaut. 100% kann man leider nie abdecken.
Falls du mehr Infos haben willst, schreib mich an.
Grüße,
-exellent
Zitat von @DerWoWusste:
Nicht korrekt. Wenn ein Dienst angreifbar ist (der smb-Dienst, der die Freigaben bereitstellt - wird bald wieder aktuell werden, siehe http://badlock.org/ )
Nicht korrekt. Wenn ein Dienst angreifbar ist (der smb-Dienst, der die Freigaben bereitstellt - wird bald wieder aktuell werden, siehe http://badlock.org/ )
I have some bad news for you...
Es gibt schon ein Exploit.
Lonesome Walker
