edvmaedchenfueralles
Goto Top

Cryptolocker und seine verwandte

Hallo zusammen.
Die Cryptolocker Viren sind zur Zeit ja in aller Munde. Leider wurden wir in der Firma auch schon 2x befallen. Glücklicherweise sind wir jedesmal draufgekommen bevor er sein Werk vollenden konnte.

Als weitere Sicherheitsmaßnahmen werden nun alle. zip Dateien in Quarantäne verschoben bevor sie per Mail zugestellt werden.

Zur Frage: Würde es in dem Fall auch helfen den Download von. exe Dateien durch den Proxy zu verhindern? Dann kann der Trojaner den Virus nicht nachladen.
Weiters hab ich mich gefragt, ob ich die Verschlüsselung im Fall von Locky dadurch zu verhindern, dass ich die Dateierweiterung .locky verbiete.

Danke im voraus.


Lg mäderl

Content-ID: 296853

Url: https://administrator.de/forum/cryptolocker-und-seine-verwandte-296853.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

maretz
maretz 20.02.2016 um 12:11:33 Uhr
Goto Top
Moin,

das hilft eher begrenzt. Du blockst zip - ok, und was machst du mit Office-Dateiendungen wie z.B. die ganzen *.doc-Files? Da kommt aktuell (zumindest bei mir) auch viel Müll... Wenn du das auch blockst - dann werden sich die Anwender nur Wege überlegen das zu umgehen da man die Daten ja auch arbeitsmäßig braucht.

Was hilft ist die Leute da mal etwas zu sensibilisieren - und natürlich eine sinnvolle Rechtevergabe falls noch nicht vorhanden. Du kannst natürlich noch einiges mehr machen wenn die Optionen bestehen (z.B. Proxy der auch automatisch nach entsprechenden Dingen scannt). Aber im Endeffekt hilft am besten ein gutes Backup der Daten. Denn selbst wenn du im Web alles verboten hast kommt Herr Meyer zu Frau Schmidt mit dem USB-Stick und der ganz tollen und lustigen Datei XYZ... Konnte er leider nicht öffnen zuhause weil sein Rechner in dem Moment des Öffnens irgendwie abgeschmiert ist - aber Frau Schmidt kann die doch bestimmt schnell in der Firma eben ausdrucken... ;)
edvmaedchenfueralles
edvmaedchenfueralles 20.02.2016 aktualisiert um 12:40:09 Uhr
Goto Top
Du wirst jetzt vielleicht lachen, aber ich werde am Montag auch Word Dateien in Quarantäne geben und individuell freigeben.
Weiters werde ich in Word die Makros deaktivieren. Das sollte mal reichen.

Das verhindern der Umbenennung von Dateien in z.b. ".locky" wird die Verschlüsselung wahrscheinlich auch nicht stoppen, oder?
Meierjo
Meierjo 20.02.2016 um 12:43:45 Uhr
Goto Top
Hallo

Aber im Endeffekt hilft am besten ein gutes Backup der Daten.

Aber nicht vergessen: es gibt ja mittlerweile auch solche Cryptolocker, die einige Wochen im System schlummern, bevor sie aktiv werden

Gruss
maretz
maretz 20.02.2016 um 13:08:54 Uhr
Goto Top
das hängt natürlich von der unternehmensgröße und -umfeld ab -> wenn das manuell machbar ist dann wäre das ja kein Problem. Wobei dann halt alle möglichen Sachen manuell gemacht werden müssen - Zip-Files, ...
Und dann kommt noch der Datenschutz ob du das überhaupt darfst - aber ich gehe davon aus das du dir da alle Gedanken gemacht hast und das völlig legitim ist....
kaiand1
kaiand1 20.02.2016 um 13:22:18 Uhr
Goto Top
Ein Proxy wird es nicht Verhindern da ja Zugang weiterhin zum Internet besteht und Seiten Aufgerufen werden können.
Was aber wohl gehen würde währe wenn du im IE ein Proxy einträgst den es nicht gibt und so den IE für Internetsurfen "unbrauchbar" machst.
Die Standard EInstellung fürs Surfen geht ja über den IE wodurch das Programm wohl nichts mehr nachladen könnte.
Fürs Surfen müsstes du dann ein anderen Browser nehmen mit den Richtigen Proxy damit die Leute Arbeiten können...
Aber da die Macher der Cryptolocker diese auch immer Verbessern ist es eh möglich das die dann über den anderen Browser auch ihre Daten nachladen..
Sowie werden die auch mit den Sperren Rechnen und andere Wege dann gehen...
Ist halt immer ein Katz und Maus Spiel...
Rechne lieber damit das du Infizierst wirst und Versuche dann den Schaden soweit es geht zu Begrenzen.
Dazu kannst du auch Dummydateien erstellen und diese zb alle 5 Minuten per Cron Prüfen lassen ob diese noch da sind oder in Bestimmte Ordner Cryptofiles Auftauchen und dich dann Infomieren lassen.
Auf den Clients könntes du dann diesen PC Automatisch Isolieren lassen und eine Anmeldung verweigern sowie diese Runterfahren lassen.
Zumal du das System eh nicht so Absichern kannst ohne die Arbeit der Leute einzuschränken...
Dani
Dani 20.02.2016 aktualisiert um 14:14:46 Uhr
Goto Top
Moin,
ist sicher ein Ansatz... aber ist kein 100%iger Schutz. Denn es reicht auch schon ein USB-Stick und ein nicht wirksamer Virenschutz auf dem Client um freie Fahrt zu haben.

Wir haben inzwischen per Firewall diverse C'&C Server gesperrt mit entsprechenden Reporting. Parallel dazu sind gängige Ransomware Dateitypen auf CIFS und NFS nicht mehr erlaubt. Ist natürlich ein gewisser Pflegeaufwand seitens Admins. Zusätzlich müssen die Anwender nochmals sensibilisiert werden. Bildet aber einen gewissen Grundschutz für die meisten Fälle... es ist ein Katz und Mausspiel.

Evtl. ist es auch sinnvoll, die vorhandenen Datensicherungsanzahl und Häufigkeit anzupassen. Setzt natürlich vorraus, dass der notwendige Speicherplatz vorhanden ist und Techniken wie Snapshots zum Einsatz kommen. Ein Backup auf Tape dauert in den meisten Fällen ein bisschen Länger als ein Snapshot. face-smile


Gruß,
Dani
edvmaedchenfueralles
edvmaedchenfueralles 20.02.2016 um 14:30:26 Uhr
Goto Top
Was sind  C'&C Server?
Blöd nur, dass die Cryptolocker auch die Schattenkopien löschen.
Henere
Henere 20.02.2016 um 16:22:00 Uhr
Goto Top
Zitat von @edvmaedchenfueralles:

Was sind  C'&C Server?
Blöd nur, dass die Cryptolocker auch die Schattenkopien löschen.

Command & Control ... die Steuern das Verhalten der "Clients"
Dani
Dani 20.02.2016 um 16:33:03 Uhr
Goto Top
Blöd nur, dass die Cryptolocker auch die Schattenkopien löschen.
Setzt aber die notwendigen Rechte vorraus, oder? Wer für Backups und Recovery entsprechend dedizierte Serviceaccounts benutzt, hat nichts zu befürchten.

Gruß,
Dani
kaiand1
kaiand1 20.02.2016 um 17:33:00 Uhr
Goto Top
C&C sind die Steuerserver für die Infizierten Clients/User...
Crypto mag zwar Schattenkopien löschen in der neuen Version aber dies trifft eher nur auf Privat PCs zu sowie auf Firmensysteme die schlecht eingestellt sind.
In Firmen wird ja mit DC gearbeitet wodurch du die Rechte ziemlich gut Einstellen kannst wer was darf.
So kannst du Einstellen das die User zwar Backups starten können aber nicht auf die Daten zugreifen können oder was Löschen/Ändern dürfen.
Für Privat währe dies auch möglich die Rechte besser Einzustellen jedoch macht dies so der Normal User nicht wodurch dieser halt sehr Angreifbar ist...
edvmaedchenfueralles
edvmaedchenfueralles 20.02.2016 um 17:38:35 Uhr
Goto Top
Ok. Danke.
Wo finde ich die IPs der bekannten C&C Server?
Bzw. sind die dann überhaupt noch gefährlich wenn sie bekannt sind?
Lochkartenstanzer
Lochkartenstanzer 20.02.2016 um 17:48:41 Uhr
Goto Top
Zitat von @edvmaedchenfueralles:

.. . zip Dateien ...

... .exe Dateien ...

... .locky ...

Jede Aktion, die sich an Dateiandungen aufhängt udn nicht am Dateiinhalt, ist schon von vornherein zum scheitern verurteilt.

lks
edvmaedchenfueralles
edvmaedchenfueralles 20.02.2016 um 18:31:45 Uhr
Goto Top
Das ist mir durchaus bewusst aber irgendwo muss man ansetzen...
Was würdest du vorschlagen?
Bin für jede Hilfe dankbar!
119944
119944 21.02.2016, aktualisiert am 22.02.2016 um 09:30:56 Uhr
Goto Top
Moin,

wir verwenden bei uns "Software Restriction Policy" um das ausführen von Programmen unter %appdata% und %temp% zu verhindern.

Edit:
Wir haben inzwischen per Firewall diverse C'&C Server gesperrt mit entsprechenden Reporting.
Auch von mir die Frage: Wo bekommt ihr die Listen der C&C Server her?

Weis jemand was passieren würde wenn man einfach das Erstellen von .locky Dateien auf dem Fileserver sperrt?

VG
Val
RicoPausB
Lösung RicoPausB 23.02.2016 aktualisiert um 15:14:37 Uhr
Goto Top
Ich denke, die brauchbarsten Ansätze sind hier 1 beschrieben.
Wir fahren seit crypto-locker mit Software-Restriction-Policies und nun habe ich das ganze noch ergänzt.
Das A und O ist IMHO allerdings noch immer eine Sensibilisierung der User, was den Umgang mit eMail-Anhängen und USB-Sticks etc. angeht.

Der Rico
edvmaedchenfueralles
edvmaedchenfueralles 23.02.2016 um 15:14:15 Uhr
Goto Top
Danke für die zahlreichen Antworten.