33
DHARMA Ransomware hat zum zweiten mal zugeschlagen - Systeme sind aber sauber?
Hallo,
letzte Woche Sonntag hat die DHARMA Ransomware bei einem Kunden von mir zugeschlagen und einiges auf dem Server verschlüsselt. Abgesichert ist alles via Avira Server. Kommt noch von meinem Vorgänger, ich würde dem Kunden Sophos empfehlen.
Wir hatten das dank guter Backups relativ schnell im Griff und konnten bereits nach 4 Stunden wieder voll arbeiten. Alle Client-Systeme wurden offline mit Bitdefender und aktuellen Daten durchgescannt, Die beiden Server (Ein SBS 2008 und ein 2008R2 als Terminalserver) wurden online vom Avira gescannt mit aktuellen Daten. Nix gefunden.
Da auch nicht alle Ordner auf dem Server befallen sind,, sondern nur Netzwerkfreigaben, bin ich nicht davon ausgegangen, dass hier der Virus nicht sitzt. Auf dem Terminalserver sowie den Cleints wurden keine verschlüsselten Dateien gefunden.
Jetzt war die ursprüngliche Vermutung, dass zwischen Vorfall (Sonntag mittag, alle Clients aus) und Montag morgen das Avira sich geupdated hat und wir somit den Virus nicht mehr finden konnten. ODER, da Sonntag Mittags ein User sich via VPN eingewählt hat, dass eventuell der User-Rechner befallen war (was sich nicht bestätigt hat). Allerdings könnte ich mir nur schwer erklären, wie 50 GB binnen Minuten (lt. Zeitstempel der verschlüsselten Dateien) über ein popeliges VPN hätten verschlüsselt werden können...
Naja, jedenfalls, kein Virus gefunden, Daten zurückgespielt, alles gut. Parallel dazu baue ich gerade eine neue Infrastruktur auf, da SBS 2008 ja im April ausläuft (bzw. das Exchange 2007), ein neuer Server ist in Arbeit (Hier habe ich andere Probleme, siehe anderen Thread von mir).
Nur jetzt ist es heute nacht (Sonntag auf Montag) wieder passiert. Alle freigegebenen Ordner verschlüsselt. Seit Montag letzter Woche gab es VPN Verbot (muss noch prüfen, ob sich jeder daran gehalten hat). Ich kann mir nicht erklären, wo dieser Schweinehund sitzt...
Um so mehr Angst habe ich, am Samstag den neuen Server in's Netz zu holen, so lange hier noch Unklarheit herrscht.
Was kann ich tun?
letzte Woche Sonntag hat die DHARMA Ransomware bei einem Kunden von mir zugeschlagen und einiges auf dem Server verschlüsselt. Abgesichert ist alles via Avira Server. Kommt noch von meinem Vorgänger, ich würde dem Kunden Sophos empfehlen.
Wir hatten das dank guter Backups relativ schnell im Griff und konnten bereits nach 4 Stunden wieder voll arbeiten. Alle Client-Systeme wurden offline mit Bitdefender und aktuellen Daten durchgescannt, Die beiden Server (Ein SBS 2008 und ein 2008R2 als Terminalserver) wurden online vom Avira gescannt mit aktuellen Daten. Nix gefunden.
Da auch nicht alle Ordner auf dem Server befallen sind,, sondern nur Netzwerkfreigaben, bin ich nicht davon ausgegangen, dass hier der Virus nicht sitzt. Auf dem Terminalserver sowie den Cleints wurden keine verschlüsselten Dateien gefunden.
Jetzt war die ursprüngliche Vermutung, dass zwischen Vorfall (Sonntag mittag, alle Clients aus) und Montag morgen das Avira sich geupdated hat und wir somit den Virus nicht mehr finden konnten. ODER, da Sonntag Mittags ein User sich via VPN eingewählt hat, dass eventuell der User-Rechner befallen war (was sich nicht bestätigt hat). Allerdings könnte ich mir nur schwer erklären, wie 50 GB binnen Minuten (lt. Zeitstempel der verschlüsselten Dateien) über ein popeliges VPN hätten verschlüsselt werden können...
Naja, jedenfalls, kein Virus gefunden, Daten zurückgespielt, alles gut. Parallel dazu baue ich gerade eine neue Infrastruktur auf, da SBS 2008 ja im April ausläuft (bzw. das Exchange 2007), ein neuer Server ist in Arbeit (Hier habe ich andere Probleme, siehe anderen Thread von mir).
Nur jetzt ist es heute nacht (Sonntag auf Montag) wieder passiert. Alle freigegebenen Ordner verschlüsselt. Seit Montag letzter Woche gab es VPN Verbot (muss noch prüfen, ob sich jeder daran gehalten hat). Ich kann mir nicht erklären, wo dieser Schweinehund sitzt...
Um so mehr Angst habe ich, am Samstag den neuen Server in's Netz zu holen, so lange hier noch Unklarheit herrscht.
Was kann ich tun?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 322343
Url: https://administrator.de/contentid/322343
Ausgedruckt am: 26.11.2024 um 06:11 Uhr
33 Kommentare
Neuester Kommentar
Hallo Mac,
1. VPN deaktivieren. Verbote helfen wenig, wenn man "nur mal schnell" was schauen will.
2. Wie sieht die Firewall aus?
3. Was für Client OS sind im Einsatz? Avira ersetzen!
VG
1. VPN deaktivieren. Verbote helfen wenig, wenn man "nur mal schnell" was schauen will.
2. Wie sieht die Firewall aus?
3. Was für Client OS sind im Einsatz? Avira ersetzen!
VG
Moin,
- setze Dich mit Avira in Verbindung und frage an, ob und wie (online?, offline?) die ransomware dedektiert und vernichtet werden kann.
- wenn die das nicht können -> Drittherstellerlösung einsetzen
- beschäftige Dich mit Schutzmechanismen gegen nicht authorisierte Verschlüsselung (kann Avira das auch nicht)?
- diszipliniere die Mitarbeiter
- sperre email-Anhänge, die Schadcode enthalten können im Virenscanner
- etc.pp.
LG, Thomas
Was kann ich tun?
- setze Dich mit Avira in Verbindung und frage an, ob und wie (online?, offline?) die ransomware dedektiert und vernichtet werden kann.
- wenn die das nicht können -> Drittherstellerlösung einsetzen
- beschäftige Dich mit Schutzmechanismen gegen nicht authorisierte Verschlüsselung (kann Avira das auch nicht)?
- diszipliniere die Mitarbeiter
- sperre email-Anhänge, die Schadcode enthalten können im Virenscanner
- etc.pp.
LG, Thomas
Client sind Win 7 und 10. Auf die Firewall habe ich keinen Zugriff, die wird (noch) von einer anderen Firma gewartet. Irgendwie kann mir im Moment auch keiner sagen, wie ich da ran komme, oh mann... Jedenfalls kann ich das VPN auch nicht deaktivieren...
Mit Avira will ich nix zu tun haben, da finde ich ja Windows Defender besser 
Ich such mal nach einem Scanner für das Teil.
Ich glaube nicht, dass heute nacht von den Mitarbeitern jemand was gemacht hat, die sind eigentlich sehr diszipliniert. Aber ich schaue mal weiter...
Ich such mal nach einem Scanner für das Teil.Ich glaube nicht, dass heute nacht von den Mitarbeitern jemand was gemacht hat, die sind eigentlich sehr diszipliniert. Aber ich schaue mal weiter...
Moin,
LG, Thomas
da finde ich ja Windows Defender besser
bist Du sicher, dass Du die Kompetenz besitzt, eine Arztpraxis zu betreuen ... ?Ich glaube nicht, dass heute nacht von den Mitarbeitern jemand was gemacht hat
Du musst Dich auch mal mit Schadsoftware beschäftigen, gehört ja auch zu Deinem Berufswissen. Locky bspw. hat auf manchen Systemen wochenlang geschlafen, ehe es aktiv wurde ... die Chance, dass Du die Ransomware wieder mit dem restore implantiert hast, ist nicht direkt gering. Die grosse Masse an Schadsoftware kommt über email-Anhänge rein, da liegt ein Schwerpunkt Deiner Arbeit. Wie Du dass mit Defender regeln willst, bleibt Dein Geheimnis. Nächster Punkt ist die endpoint protection, um Infektionen über USB, DVD & Co. zu behindern. And so on, and so on ... Was das VPN angeht - da hilft eigentlich nur präventives Auspeitschen der VPN-Nutzer und natürlich ein schneller und aktueller Scanner.LG, Thomas
Hallo,
haben die veränderten Dateien auch schöne Dateiendungen?
Bei: http://www.frankysweb.de/
gibt es einen Beitrag wie man mit Boardmitteln und ein bisschen Scripten Benutzer von Freigaben aussperren kann wenn die anfangen bestimmte Endungen zu fabrizieren.
Damit könntest Du evtl rausbekommen von wo aus die Teile loslegen und in welchem Benutzerkontext.
Sind über das Wochenende bestimmte Rechner an?
Wielange hält der Terminalserver eine Sitzung offen?
Ist auch was verschlüsselt, wo nur ein Administrator zugriff hat?
Ist was verschlüsselt wo nicht alle rauf kommen sondern nur bestimmte Benutzergruppen?
Die Schadsoftware macht halt alles im Benutzerkontext und darf alles was der entsprechende Benutzer kann, außer das Teil hat auch noch Rechteexploits.
Gruß
Chonta
haben die veränderten Dateien auch schöne Dateiendungen?
Bei: http://www.frankysweb.de/
gibt es einen Beitrag wie man mit Boardmitteln und ein bisschen Scripten Benutzer von Freigaben aussperren kann wenn die anfangen bestimmte Endungen zu fabrizieren.
Damit könntest Du evtl rausbekommen von wo aus die Teile loslegen und in welchem Benutzerkontext.
Sind über das Wochenende bestimmte Rechner an?
Wielange hält der Terminalserver eine Sitzung offen?
Ist auch was verschlüsselt, wo nur ein Administrator zugriff hat?
Ist was verschlüsselt wo nicht alle rauf kommen sondern nur bestimmte Benutzergruppen?
Die Schadsoftware macht halt alles im Benutzerkontext und darf alles was der entsprechende Benutzer kann, außer das Teil hat auch noch Rechteexploits.
Gruß
Chonta
An dem Defender war ein Smiley... Das war ironisch gemeint... Normalerweise arbeite ich mit Sophos.
Ich habe keinen Full Restore gemacht, nur einzelne Dateien zurückgeholt, durch Scanner geschleust (Avira halt).
Zu meiner Verteidigung muss ich sagen, dass mir in meinen 24 Jahren Laufbahn sowas noch nicht untergekommen ist, und ich das System so von einer Vorgängerfirma übernommen habe, was noch nicht lange her ist. Über meine Aufgaben bin ich mir bewusst. Ist natürlich nicht einfach, bei einem neuen Kunden erst mal alles über den Haufen zu werfen, was Vorgänger gemacht haben. Erst mal reinkommen und alles schlecht machen gehört sich ja auch nicht. Fazit: Wenn ich sowas von Anfang an einrichte, passiert sowas nicht
Und dass ich jetzt immer noch keinen Zugang zur Firewall habe, ist echt übel...
Anhänge sind sowieso gesperrt.
Nur nützt das alles nix hätte, wäre, wenn... Ich habe ein Konkretes Problem
Ich habe keinen Full Restore gemacht, nur einzelne Dateien zurückgeholt, durch Scanner geschleust (Avira halt).
Zu meiner Verteidigung muss ich sagen, dass mir in meinen 24 Jahren Laufbahn sowas noch nicht untergekommen ist, und ich das System so von einer Vorgängerfirma übernommen habe, was noch nicht lange her ist. Über meine Aufgaben bin ich mir bewusst. Ist natürlich nicht einfach, bei einem neuen Kunden erst mal alles über den Haufen zu werfen, was Vorgänger gemacht haben. Erst mal reinkommen und alles schlecht machen gehört sich ja auch nicht. Fazit: Wenn ich sowas von Anfang an einrichte, passiert sowas nicht
Und dass ich jetzt immer noch keinen Zugang zur Firewall habe, ist echt übel...
Anhänge sind sowieso gesperrt.
Nur nützt das alles nix hätte, wäre, wenn... Ich habe ein Konkretes Problem
Ich habe keinen Full Restore gemacht, nur einzelne Dateien zurückgeholt
Wenn Du eine Patientin mit Brustkrebs und Hautmetastasen an Armen und Beinen hast, ist es wenig hilfreich, Arme und Beine zu transplantieren ...Ich habe ein Konkretes Problem
Eine erste Antwort kann Dir Avira geben ... s.o. 
LG
Ich habe keinen Full Restore gemacht, nur einzelne Dateien zurückgeholt, durch Scanner geschleust (Avira halt).
Das Problem ist Das Du nicht weißt von WO der Trojaner sein Werk verrichtet hat.Wie ist das VPN aufgebaut? Ist man direkt im selben IP Bereich wie das Firmennetz oder eigener IP Bereich?
Wenns ein eigener IP-Bereich ist, dann blocke diesen Bereich in den Firewalls der Server.
Was sonst noch geht habe ich schon oben geschrieben.
Wichtig rausbekommen von wo das problem kam, den Rechner plat machen und ganz wichtig eine Mitarbeiterschulung!
Und neue Richtlinien für VPN-Zugänge.
Gruß
Chonta
haben die veränderten Dateien auch schöne Dateiendungen?
jup, .[worm01@india.com].dharma
Bei: http://www.frankysweb.de/
gibt es einen Beitrag wie man mit Boardmitteln und ein bisschen Scripten Benutzer von Freigaben aussperren kann wenn die anfangen bestimmte Endungen zu fabrizieren.
Damit könntest Du evtl rausbekommen von wo aus die Teile loslegen und in welchem Benutzerkontext.
gibt es einen Beitrag wie man mit Boardmitteln und ein bisschen Scripten Benutzer von Freigaben aussperren kann wenn die anfangen bestimmte Endungen zu fabrizieren.
Damit könntest Du evtl rausbekommen von wo aus die Teile loslegen und in welchem Benutzerkontext.
Ich lese...
Sind über das Wochenende bestimmte Rechner an?
nein. Auch nicht abends...
Wielange hält der Terminalserver eine Sitzung offen?
Ja, den habe ich ggf. auch unter Verdacht. Ich schalte den mal ab.
Ist auch was verschlüsselt, wo nur ein Administrator zugriff hat?
nein.
Ist was verschlüsselt wo nicht alle rauf kommen sondern nur bestimmte Benutzergruppen?
ja, das lässt den Benutzerkreis eingrenzen, da habe ich schon geschaut.
Die Schadsoftware macht halt alles im Benutzerkontext und darf alles was der entsprechende Benutzer kann, außer das Teil hat auch noch Rechteexploits.
So in der Richtung ist auch mein Verdacht.
VPN fliegt zukünftig ganz raus mit dem neuen Server. Leider habe ich keine Doku über das VPN zur Zeit, ich denke aber nicht, dass es ein eigenes Netz ist. Hoffe ich bekomme da heute noch Antwort Firewalltechnisch...
Ich habe ein paar Tage verwechselt, das erst mal war Sonntags wie geschrieben, das zweite mal heute nacht... Ist ja schon Dienstag
Jedenfalls scheint eine Rücksicherung auch gerade nicht sauber zu laufen, da kommen verwirrende Dateien. Wohl unverschlüsselt, aber mit kryptischer Endung. Eigentlich gut, das heisst, der Virus ist aktiv, ich habe was zum Anfassen!
Ich habe ein paar Tage verwechselt, das erst mal war Sonntags wie geschrieben, das zweite mal heute nacht... Ist ja schon Dienstag
Jedenfalls scheint eine Rücksicherung auch gerade nicht sauber zu laufen, da kommen verwirrende Dateien. Wohl unverschlüsselt, aber mit kryptischer Endung. Eigentlich gut, das heisst, der Virus ist aktiv, ich habe was zum Anfassen!
VPN fliegt zukünftig ganz raus mit dem neuen Server.
Ein Leben ohne VPN ist möglich ... aber sinnlos ! Ich würde Stunden länger in der Praxis sitzen müssen, wenn ich nicht im huscheligen Heim ab und an über VPN arbeiten könnte.Was sagt denn nun der AVIRA-support?
LG, Thomas
Heute is ein Tag...
Bei nem anderen Kunden ist gerade der Remote-Lizenzserver weggeflogen, wiederum bei einem anderen war heute nacht zweimal Stromausfall (Geizhals wollte keine USV), Wiederum bei einem anderen verreckt gerade die CPU. Und mein Partner hat keine Zeit, hängt in der Brauerei rum (OK, baut da was neues auf).
Ich glaube, ich baue hier in diesem Fall auch den neuen Server, so unfertig er ist, auf. Was solls. Clients mach ich alle platt... W10 is schnell installiert. Mal sehen
Bei nem anderen Kunden ist gerade der Remote-Lizenzserver weggeflogen, wiederum bei einem anderen war heute nacht zweimal Stromausfall (Geizhals wollte keine USV), Wiederum bei einem anderen verreckt gerade die CPU. Und mein Partner hat keine Zeit, hängt in der Brauerei rum (OK, baut da was neues auf).
Ich glaube, ich baue hier in diesem Fall auch den neuen Server, so unfertig er ist, auf. Was solls. Clients mach ich alle platt... W10 is schnell installiert. Mal sehen
VPN fliegt zukünftig ganz raus mit dem neuen Server.
Ein Leben ohne VPN ist möglich ... aber sinnlos ! Ich würde Stunden länger in der Praxis sitzen müssen, wenn ich nicht im huscheligen Heim ab und an über VPN arbeiten könnte.Fliegt nur vorrübergehend raus, bis ich die Firewall im Griff habe. Oder wir nutzen nur RDP-Gateway oder so. Aber das ist ja auch so eine Sache...
Was sagt denn nun der AVIRA-support?
Bitte warten...
Jedenfalls scheint eine Rücksicherung auch gerade nicht sauber zu laufen, da kommen verwirrende Dateien. Wohl unverschlüsselt, aber mit kryptischer Endung. Eigentlich gut, das heisst, der Virus ist aktiv, ich habe was zum Anfassen!
Blödsinn, ich war nur zu ungeduldig, die Rücksicherung war noch nicht fertig...
Bitte warten...
... nette Firma.Ich glaube, ich baue hier in diesem Fall auch den neuen Server, so unfertig er ist, auf.
Wäre bei mir einen Riesenaufwand, obwohl ich die allermeisten Anwendungen und Datenbanken auf anderen Servern laufen habe. Wie ich die allermeisten meiner Kollegen kenne, haben die Ihre Praxisverwaltung und die Anbindungen der Medizintechnik und was weiss ich nicht noch alles auf einer Kiste laufen. Du hast dann noch dazu eine neue Domäne (oder hast Du migriert?) ...Für so ein Vorhaben würde ich - elektiv geplant - so ca. 3 Tage Praxisschliessung nach dem Wochenende einplanen
Und mein Partner hat keine Zeit, hängt in der Brauerei rum (OK, baut da was neues auf).
Was baut er da auf - seinen Blutalkoholspiegel ?LG, Thomas
Leider habe ich keine Doku über das VPN
Aber Du bist der Admin, Du solltest generell einen VPN Zugang haben, und dann weist Du auch ob das ein eigenes Netz ist oder Du im selben IP Bereich bist wie das Firmennetz.Ich glaube, ich baue hier in diesem Fall auch den neuen Server, so unfertig er ist, auf. Was solls. Clients mach ich alle platt... W10 is schnell installiert. Mal sehen
Hilft nicht viel, wenn das Teil von außen eingeschleppt wird bzw. das Teil auf BYOD Hardware liegt.die Rücksicherung war noch nicht fertig...
Wird einem doch angezeigt wann die fertig ist Ist im Backup nur ein Teil der Daten verschlüsselt? Wie weit geht das Backup zurück? Habt ihr Bitcoins?
Gruß
Chonta
Habt ihr Bitcoins?
YMMD LG, Thomas
Moin,
es gibt da einen schönen Spruch:
Legst Du mich einmal rein, Schande über Dich,
Legst Du mich zweimal rein, Schande über mich.
Also mein Glückwunsch.
Beim erstenmal hhätten schon die Alarmglocken läuten müssen, udn man hätte alles erstmal offline nehmen müssen udn mit einem offlinescanner, wie z-B desinfect von heise oder den offline-scannern der hersteller durchscannen müssen. Auch wenn der Betrieb einen Tag steht, ist das immer noch besser als sich wiederholt zu infizieren. Das ist so ähnlich, als ob man eine Antibiotika-Kur macht und diese vorzeitig absetzt.Dann hätte man sich das auch sparen können.
Also mein Rat:
lks
es gibt da einen schönen Spruch:
Legst Du mich einmal rein, Schande über Dich,
Legst Du mich zweimal rein, Schande über mich.
Also mein Glückwunsch.
Beim erstenmal hhätten schon die Alarmglocken läuten müssen, udn man hätte alles erstmal offline nehmen müssen udn mit einem offlinescanner, wie z-B desinfect von heise oder den offline-scannern der hersteller durchscannen müssen. Auch wenn der Betrieb einen Tag steht, ist das immer noch besser als sich wiederholt zu infizieren. Das ist so ähnlich, als ob man eine Antibiotika-Kur macht und diese vorzeitig absetzt.Dann hätte man sich das auch sparen können.
Also mein Rat:
- Hol Dir desinfect (oder drei offlinescanner von verschiedenen Herstellern)
- scanne damit alles durch (Nur die Kisten, die gescannt wurden, dürfen wieder online!
- Prüfe mit malwarebytes Antimalware, Hijackthis und AdwCleaner alles durch.
lks
Leider habe ich keine Doku über das VPN
Aber Du bist der Admin, Du solltest generell einen VPN Zugang haben, und dann weist Du auch ob das ein eigenes Netz ist oder Du im selben IP Bereich bist wie das Firmennetz.ja das sollte ich... Leider wird dieser Teil von einer anderen Firma betreut. Und die erreiche ich nicht...
Ich glaube, ich baue hier in diesem Fall auch den neuen Server, so unfertig er ist, auf. Was solls. Clients mach ich alle platt... W10 is schnell installiert. Mal sehen
Hilft nicht viel, wenn das Teil von außen eingeschleppt wird bzw. das Teil auf BYOD Hardware liegt.BOYD macht keiner. Nach wie vor ist der Terminalserver (oder der SBS selbst) auf meiner Verdächtigenliste. Klar besteht da ein Restrisiko, aber wenn alle Clients neu sind, der Server neu und der TS wegfällt (oder neu gemacht wird, sieht es ganz gut aus. Nur die Rücksicherungen machen mir dann noch Sorgen. Und zwei Clients, die ich nicht neu machen kann (aber dann auf Herz und Nieren geprüft werden).
Wird einem doch angezeigt wann die fertig ist
Ungeduld
Nobody is perfect...Ist im Backup nur ein Teil der Daten verschlüsselt? Wie weit geht das Backup zurück? Habt ihr Bitcoins?
Backup scheint komplett unverschlüsselt zu sein, auch das von letzter nacht (kurz vor der Verschlüsselung). Um Wochen. Aber die sind nicht wirklich nachzuarbeiten...
Bitcoins:
Interessanterweise finde ich keinen Erpresserbrief... Lt. Netz der Netze soll in jedem Ordner mit verschlüsselten Dateien eine Textdatei mit Anweisungen sein. Dem ist nicht so bei uns...
Beim erstenmal hhätten schon die Alarmglocken läuten müssen, udn man hätte alles erstmal offline nehmen müssen udn mit einem offlinescanner, wie z-B desinfect von heise oder den offline-scannern der hersteller durchscannen müssen. Auch wenn der Betrieb einen Tag steht, ist das immer noch besser als sich wiederholt zu infizieren. Das ist so ähnlich, als ob man eine Antibiotika-Kur macht und diese vorzeitig absetzt.Dann hätte man sich das auch sparen können.
Haben wir doch alles gemacht, noch mehr als oben beschrieben (wollte nicht so viel schreiben)... Aber so ist das beim Frühjahrsputz: Man kann auch mal ne Schublade übersehen... Allerdings weis ich immer noch nicht, welche...
Nach wie vor ist der Terminalserver (oder der SBS selbst)
Also da auf dem SBS nur der Admin arbeitet und Aufgaben per Planung laufen die vom Admin eingerichtet wurden wird der es nicht sein.
Oder hat da ein Schelm einen Task eingerichtet, der alles verschlüsselt?
Terminalserver
Dann muss auch ein Benutzer eingelogt sein bzw eine Sitzung muss aktiv sein.BOYD macht keiner.
Aber sicher das Ich tippe auf VPN Zugriff von zu hause vom Chefe, oder einem übereifrigen.
Kannst ja mal unverbindlich nachfragen ob jemand zu hause kürzlich Probleme beim Zugriff auf seine eigenen Dateien hatte oder sich ein Bitcoinacc angeschafft hat
Die meldung Zahlemann und Söhne kommt ja nur in dem Profil von dem es ausgeht. Wenn in der Firma nix ist, muss es ja von außen kommen sprich auf dem Heimrechner.
Kannst aber auch alle Benutzerprofile nach Readme oder Datein die der Trojaner anlegensoll für Bazahlinfos durchsuchen.
Leider wird dieser Teil von einer anderen Firma betreut. Und die erreiche ich nicht
Was für eine SLA besteht bitte zu der Firma?Gruß
Chonta
Also da auf dem SBS nur der Admin arbeitet und Aufgaben per Planung laufen die vom Admin eingerichtet wurden wird der es nicht sein.
Oder hat da ein Schelm einen Task eingerichtet, der alles verschlüsselt?
Oder hat da ein Schelm einen Task eingerichtet, der alles verschlüsselt?
äh, ja stimmt. Vergiss den SBS...
Terminalserver
Dann muss auch ein Benutzer eingelogt sein bzw eine Sitzung muss aktiv sein.Sehr gut möglich. Würde berechtigungstechnisch zu den befallenen Dateien passen.
BOYD macht keiner.
Aber sicher das Nope, nur mit Geräten (Also Notebooks) aus dem Büro.
Ich tippe auf VPN Zugriff von zu hause vom Chefe, oder einem übereifrigen.
Jein, meinst Du über VPN sind 50 GB in wenigen Minuten zu verschlüsseln?
Jein, meinst Du über VPN sind 50 GB in wenigen Minuten zu verschlüsseln?
Habt ihr ein 10GbE, wenn nein geht das übers LAN auch nicht im vorbei gehen.Was für eine Bandbreite hat den das VPN?
Gruß
Chonta
20 M/Bit. TS und SBS sitzen beide auf der gleiche nphysischen Maschine (VMWare)....
nabend...
als erstes möchte ich dir mal Kaspersky Security for Windows Server an Herz legen, der kommt mit dharma und co klar... und das Nachweislich!
... Avira ist was für die Tonne...!!!!
dazu sollst du deinen Exchange mit Kaspersky Security für Microsoft Exchange Server laufen lassen, ...und so einrichten das nur noch .PDF Dateien in den Exchange einlaufen!
auf die Clients kommt Kaspersky Endpoint Security für Windows!
es kann noch gut sein, das deine Ransomware in einer Mail liegt, und der eine oder andere Anwender sich sagt, das muss doch aufgehen....
ich würde das system offline scannen, vpn dicht machen- und stück für stück alles scannen und freigeben.
ich tippe mal du wirst im exchange fündig, oder auf eurem TS... ist so eine erfahrung
Frank
als erstes möchte ich dir mal Kaspersky Security for Windows Server an Herz legen, der kommt mit dharma und co klar... und das Nachweislich!
... Avira ist was für die Tonne...!!!!
dazu sollst du deinen Exchange mit Kaspersky Security für Microsoft Exchange Server laufen lassen, ...und so einrichten das nur noch .PDF Dateien in den Exchange einlaufen!
auf die Clients kommt Kaspersky Endpoint Security für Windows!
es kann noch gut sein, das deine Ransomware in einer Mail liegt, und der eine oder andere Anwender sich sagt, das muss doch aufgehen....
ich würde das system offline scannen, vpn dicht machen- und stück für stück alles scannen und freigeben.
ich tippe mal du wirst im exchange fündig, oder auf eurem TS... ist so eine erfahrung
Frank
Ich habe jetzt erst mal alles wieder "hingepfuscht", Terminalserver ist abgeschaltet und bleibt das auch für immer, das Exchange läuft noch genau 3 Tage.
Der neue Server steht schon hier, verknüpft mit Office365.
Also irgendwie Glück im Unglück, ich werde da jetzt nicht all zu viel Zeit in die Analyse stecken, wenn sowieso alles neu gemacht wird. Ich nehme nur noch das unter die Lupe, was bleiben darf.
Nur das VPN muss ich noch dicht bekommen.
so wird es geschehen, und ist es schon mal geschehen. Aber diesmal bin ich brutaler
jap, denke ich auch. Gut dass beides rausfliegt. Ich ziehe zwar noch die Mails vom Exchange ab, aber die werden dann debei durchgetunnelt durch ein Antivirensystem... Vermutlich Sophos.
Der neue Server steht schon hier, verknüpft mit Office365.
Also irgendwie Glück im Unglück, ich werde da jetzt nicht all zu viel Zeit in die Analyse stecken, wenn sowieso alles neu gemacht wird. Ich nehme nur noch das unter die Lupe, was bleiben darf.
Nur das VPN muss ich noch dicht bekommen.
ich würde das system offline scannen, vpn dicht machen- und stück für stück alles scannen und freigeben.
so wird es geschehen, und ist es schon mal geschehen. Aber diesmal bin ich brutaler
ich tippe mal du wirst im exchange fündig, oder auf eurem TS... ist so eine erfahrung
jap, denke ich auch. Gut dass beides rausfliegt. Ich ziehe zwar noch die Mails vom Exchange ab, aber die werden dann debei durchgetunnelt durch ein Antivirensystem... Vermutlich Sophos.
Hallo Zusammen,
Erfahrungsbericht: Die Antiviren-Hersteller auch Sophos arbeiten mit Hochdruck an einer Lösung für die Ransomware- Plage. Sophos hat selber erst ein Tool herausgebracht. Was nur die Symptome behebt aber nicht die Ursache. Ransomware ist kein normaler Virus und lässt sich nicht so ohne weiteres erkennen.
Tipp: Schaue dir die verschlüsselten Dateien an. Wer hat sie erstellt(Besitzer) und dann weißt du auch wer der Verursacher ist. Spreche aus eigener Erfahrung.
Wenn die User per Terminal Server Zugriff auf Daten haben. Hilft dir nur ein vernünftiges Backup. Computer zu Hause kannst du nicht kontrollieren.
Und alles Abschalten bringt auch nichts. Sie müssen arbeiten können. Verlasse dich nicht auf Virenscanner die hatten bei mir auch nichts gefunden. Ich nutze Sophos.
Zur Zeit teste ich ihre neues Tool. Da werden bei einem Befall 3-4 Datein verschlüsselt und dann schreitet Sophos ein und unterbindet weitere Verschlüsslungen. Die Daten die betroffen sind werden aus dem Speicher wieder hergestellt.
Viel Erfolg!
Erfahrungsbericht: Die Antiviren-Hersteller auch Sophos arbeiten mit Hochdruck an einer Lösung für die Ransomware- Plage. Sophos hat selber erst ein Tool herausgebracht. Was nur die Symptome behebt aber nicht die Ursache. Ransomware ist kein normaler Virus und lässt sich nicht so ohne weiteres erkennen.
Tipp: Schaue dir die verschlüsselten Dateien an. Wer hat sie erstellt(Besitzer) und dann weißt du auch wer der Verursacher ist. Spreche aus eigener Erfahrung.
Wenn die User per Terminal Server Zugriff auf Daten haben. Hilft dir nur ein vernünftiges Backup. Computer zu Hause kannst du nicht kontrollieren.
Und alles Abschalten bringt auch nichts. Sie müssen arbeiten können. Verlasse dich nicht auf Virenscanner die hatten bei mir auch nichts gefunden. Ich nutze Sophos.
Zur Zeit teste ich ihre neues Tool. Da werden bei einem Befall 3-4 Datein verschlüsselt und dann schreitet Sophos ein und unterbindet weitere Verschlüsslungen. Die Daten die betroffen sind werden aus dem Speicher wieder hergestellt.
Viel Erfolg!
Tipp: Schaue dir die verschlüsselten Dateien an. Wer hat sie erstellt(Besitzer) und dann weißt du auch wer der Verursacher ist. Spreche aus eigener Erfahrung.
Gute Idee... leider schon alle gelöscht. Aber ich kann ja mal was zurückholen.
Wenn die User per Terminal Server Zugriff auf Daten haben. Hilft dir nur ein vernünftiges Backup. Computer zu Hause kannst du nicht kontrollieren.
Das Backup ist gott sei Dank vorbildlich.
Zur Zeit teste ich ihre neues Tool. Da werden bei einem Befall 3-4 Datein verschlüsselt und dann schreitet Sophos ein und unterbindet weitere Verschlüsslungen. Die Daten die betroffen sind werden aus dem Speicher wieder hergestellt.
Ist wohl jetzt offiziell, das Tool: Sophos Intercept X. Nur habe ich nicht herausgefunden, ob es davon eine Serverversion gibt bzw. ob es auf Servern läuft.
So, falls es von Interesse ist:
Ursache nicht gefunden, nur vermutet.
Wir bauen das Netz komplett neu auf:
Neuer Server, Sophos UTM + Network Protection + Sandstorm Protection + Endpoint Protection, Clients werden neu aufgesetzt. Alte Daten werden noch mal durch zwei verschiedene Antivirenprogramme durchgetunnelt, bevor sie auf dem neuen Server landen.
Neuer Server war sowieso geplant.
Leider habe ich da auch noch ein völlig anderes ärgerliches Problem (anderer Thread), aber gut.
vielen Dank noch mal an alle Beteiligten!!!
Ursache nicht gefunden, nur vermutet.
Wir bauen das Netz komplett neu auf:
Neuer Server, Sophos UTM + Network Protection + Sandstorm Protection + Endpoint Protection, Clients werden neu aufgesetzt. Alte Daten werden noch mal durch zwei verschiedene Antivirenprogramme durchgetunnelt, bevor sie auf dem neuen Server landen.
Neuer Server war sowieso geplant.
Leider habe ich da auch noch ein völlig anderes ärgerliches Problem (anderer Thread), aber gut.
vielen Dank noch mal an alle Beteiligten!!!
Neuer Server, Sophos UTM + Network Protection + Sandstorm Protection + Endpoint Protection, Clients werden neu aufgesetzt.
Warst Du sooooooo liebt, das der Weihnachtsmann das alles vorbeibringt? Ursache nicht gefunden, nur vermutet.
Dann kann das auf selbem Wege nochmal passieren.Wenn es natürlich nicht rekonstroierbar ist ok, aber ne Mitarbeitersensebilisierung würde ich dennoch sehr empfehlen.
Leider habe ich da auch noch ein völlig anderes ärgerliches Problem
Link? Gruß
Chonta
Da er nur zwei Threads hat, kann es eigentlich nur der sein:
Im Server Essentials Dashboard bei den Benutzern ist die Zugriffsebene bei Freigegebenen Ordner ausgegraut keine Änderung möglich
lks
Warst Du sooooooo liebt, das der Weihnachtsmann das alles vorbeibringt?
Jaaaa
Und ich hoffe er schafft das heute noch.Dann kann das auf selbem Wege nochmal passieren.
Theoretisch, aber unwahrscheinlich, weil wir alles umstricken. VPN gibt es auch nicht mehr (Nur RDP-Gateway), Clients sind ja alle "neu", Exchange haben wir nicht mehr, Terminalserver wird jetzt doch auch ein neuer.
Wenn es natürlich nicht rekonstroierbar ist ok, aber ne Mitarbeitersensebilisierung würde ich dennoch sehr empfehlen.
Das sowieso. Und Wechseldatenträger werden gesperrt
Leider habe ich da auch noch ein völlig anderes ärgerliches Problem
Link? Im Server Essentials Dashboard bei den Benutzern ist die Zugriffsebene bei Freigegebenen Ordner ausgegraut keine Änderung möglich
