Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Geschwindigkeit Verschlüsselungstrojaner

Mitglied: theoberlin

theoberlin (Level 2) - Jetzt verbinden

03.06.2019, aktualisiert 17:11 Uhr, 736 Aufrufe, 16 Kommentare

Hallo zusammen,

hat jemand eine Erfahrungswert (mein Beileid wenn aus erster Hand) wie schnell Verschlüsselungstrojaner álá Wannacry etc. Dateien verschlüsseln? Also eine pro Minute / 10 pro Sekunde. ich nehme jetzt mal die üblichen Office Dateigrößen an.

EDIT: Es geht um Serverfreigaben. Gehobene Office PCs mit i3/i5 Prozessor und Gigabit Anbindung.

lg
Theo
Mitglied: Kraemer
03.06.2019 um 16:57 Uhr
Moin,

Zitat von theoberlin:
ich nehme jetzt mal die üblichen Office Dateigrößen an.
und was nimmst du nun als Hardware an? Nen üblichen grauen PC?

Gruß
Bitte warten ..
Mitglied: itisnapanto
03.06.2019 um 17:06 Uhr
Moin ,

kann man so schlecht sagen . Hängt ja stark von der Hardware ab.
Bei ner SSD geht das Ratz fatz . Willst du Erfahrungswerte, verschlüssle deine HDD mal komplett mit Bitlocker o.Ä. Dann siehst du den Speed.


Gruss
Bitte warten ..
Mitglied: theoberlin
03.06.2019 um 17:10 Uhr
Hallo zusammen,

Die lokalen Rechner sind nicht das Problem, mir gehts um die Serverfreigaben. Hätte ich mal schreiben können.
Rechner sind gehobene Office PCs i3-i5 mit Gigabit Anbindung an die Server.

lg
Theo
Bitte warten ..
Mitglied: itisnapanto
03.06.2019 um 17:25 Uhr
Was juckt die eigentlich der Speed ?

Wenn ein Verschlüsselungstrojaner wütet, ist glaube ich die Geschwindigkeit noch das kleinere Problem.

Wir kennen den Speed deinen Netzwerkes auch nicht , um das zu beurteilen.

Gruss
Bitte warten ..
Mitglied: theoberlin
03.06.2019, aktualisiert um 18:06 Uhr
Die Geschwindigkeit steht oben. Gigabit Linespeed und das machen die Server natürlich auch mit.

Kurzes Wort zum Hintergrund:

Ein Server wertet die Dateiänderungen der einzelnen shares aus. Diese werden nach Clients geordnet. Ab einer gewissen Änderung pro Zeiteinheit trenne ich den Client vom Netz zusammen mit reporting der veränderten files usw.

Der Wert wird natürlich weit über der üblichen Nutzung liegen die ich seit ca. zwei Wochen analysiere.

Das ganze soll neben allen anderen üblichen Schutzmaßnahmen quasi als letzte Bastion dienen.

LG
Theo
Bitte warten ..
Mitglied: NetzwerkDude
03.06.2019 um 18:37 Uhr
Kommt drauf an wie effizient die cryptotrojaner eben geschrieben sind, mein bauchgefühl sagt das das bottleneck die SMB Performance des Servers ist, die sich aus Platte und Netzwerk zusammensetzt.

Da die meisten Datei für Datei mit asynchronen Schlüsseln verschlüsseln, kann man das verhalten mit z.b. GnuPG simulieren, indem du eine Dateiliste an gpg pipest und einen öffentlichen schlüssel zur crypten verwendest
Bitte warten ..
Mitglied: theoberlin
03.06.2019 um 18:51 Uhr
Na siehste an gnupg hab ich noch garnicht gedacht obwohl am naheliegendsten...
Das werde ich wohl morgen mal auf einen Test Share loslassen.

Lg Theo
Bitte warten ..
Mitglied: StefanKittel
03.06.2019 um 21:45 Uhr
Moin,

das hängt davon ab
Im Normalfall in der gleichen Geschwindigkeit wie Du Dateien auf den Server schreiben kannsts.
Aber gehen wir mal von 40 MB/Sekunde.

Es soll auch Trojaner geben die nur die ersten und letzten 2 MB verschlüsseln.
Dann schaffen die deutlich mehr Dateien in Abhängigkeit von den Dateigrößen.

Stefan
Bitte warten ..
Mitglied: theoberlin
03.06.2019 um 22:08 Uhr
Das ist auch nochmal ne interessante Info. Auch wenn für mich eher die Differenz von „Normaler Nutzung“ zu „Trojaner verschlüsselt“ interessant ist. Alles was schneller ist wird ja sowieso erkannt.
Bitte warten ..
Mitglied: BassFishFox
04.06.2019, aktualisiert um 00:41 Uhr
Hi,

Den Schnelltest kannst Du selber machen.
Nimm ein beliebiges Pack-Programm (ohne GUI) und lass das auf die Ordnerstruktur los.
Ein optimierter Trojaner ist u.U. schneller.

Im Endeffekt ist es unerheblich, wie schnell das "Tierchen" ist.
Erheblich ist, wie schnell Du das merkst.

BFF
Bitte warten ..
Mitglied: theoberlin
04.06.2019, aktualisiert um 06:19 Uhr
Hi BFF,

packen die Trojaner denn? Ich meine die Verschlüsseln jede Datei einzeln. In dem Fall müsste ich Umdenken, da ich „read“ Ereignisse aktuell außen vor lasse um keinen zu hohen Count zu bekommen. Das geht nämlich auch mal schnell wenn man die Windows Suche auf ein höheres Verzeichnis loslässt.

Und merken tue ich es sofort. Die Auswertung erfolgt in Echtzeit und 10 Sekunden später ist der Client aus. Hängt natürlich auch davon ab welche Schwellen wie schnell überschritten werden.

LG
Theo
Bitte warten ..
Mitglied: hesper
04.06.2019 um 07:48 Uhr
Bei einer zugekauften Firma hat sich eine Mitarbeiterin letztes Jahr mal den Grandcrab V4 eingefangen.
Dort konnte man tatsächlich zuschauen, wie die Dateien irgendwo im Sekundentakt verschlüsselt wurden. Ja, da hab ich mt Teamviewer draufschauen können.
Vorgegangen wurde ordnerweise, aber die Reihenfolge war nachträglich nicht wirklich ersichtlich. Der mischte auch lokale und gemappte Ordner auf dem Server.

Insgesamt ging da nicht viel verloren innerhalb von ca. 30 Minuten. Es kam auf, weil ziemlich schnell der Programmordner eines Bankingprogramms verschlüsselt wurde und das nicht mehr funktionierte.

Es war natürlich ein Bewerbungsschreiben. Gezippt.

h.
Bitte warten ..
Mitglied: StefanKittel
04.06.2019 um 08:22 Uhr
Zitat von theoberlin:
packen die Trojaner denn?
Vergleiche diese Trojaner mit 7zip.
Verzeichnis komprimierung, dabei mit Kennwort verschlüsseln und Dateien danach löschen.

Bei einem Kunden hat so ein Ding innerhalb von 12 Minuten ca. 60 GB Daten verschlüsselt (SSD).

Stefan
Bitte warten ..
Mitglied: theoberlin
04.06.2019, aktualisiert um 08:42 Uhr
Spätestens wenn die ersten Files gelöscht werden, werden Sie ja wieder erfasst.
Es geht ja auch nicht darum, dass sofort zu verhindern. Dafür gibt es ja Backups. Aber halt schnell zu beenden. Und ich möchte halt nicht in die unangenehme Situation kommen, dass mehrere verschlüsselte Versionen in den Backups landen und sich die Katze dann nach ein paar Tagen in den ### beißt.

Dann werde ich mehrere Kriterien festlegen:

Generell Änderungen f/sec, f/min, f/h.

Und für Read Vorgänge einen wirklich hohen Wert um Fehlalarme zu vermeiden. Mal sehen was da die Erfahrungswerte zeigen wenn ich die mit auswerte.

Mit GnuPG Verschlüsselung habe ich hier ungefähr 80 files/sec bei Word/Excel files von rund 1-1,5 MB. Also quasi Netzwerk Vollauslastung.

Edit: Interessant zu sehen, dass Administrator.de Wörter "wegpiept" :D
Bitte warten ..
Mitglied: Dilbert-MD
04.06.2019 um 10:09 Uhr
Zitat von theoberlin:
Ein Server wertet die Dateiänderungen der einzelnen shares aus. Diese werden nach Clients geordnet. Ab einer gewissen Änderung pro Zeiteinheit trenne ich den Client vom Netz zusammen mit reporting der veränderten files usw.

Dann denke doch mal anders herum:
Wie viele Dateien / Änderungen an Dateien würde ein normaler User schreiben, wenn er bzw. seine Software intensiv arbeitet?
- bei Word und Excel 5 bis 10x Speichern pro Minute incl. Temp-Datei und Sicherungsdatei
- bei BranchenSoftware 3 bis 4x Speichern pro Minute x 10 Dateien
- CAD/CAM mit diversen Verknüpfungen und Anbindung an Datenbanken ... ??
Danach setzt Du das Limit für Änderungen und neue Dateien +10% und probierst es aus. Kommen Beschwerden von Nutzern, musst Du schauen, welche Software da so sehr aktiv ist.

Dann musst Du ggf. noch Sonderfälle beachten, z.B. wenn ein Ordner mit vielen Daten verschoben oder kopiert wird oder wenn ein Mitarbeiter von einem Ortstermin 100 Fotos mitbringt und diese kopiert oder bei vorhandenen Fotos alle Fotos im Verzeichnis in einem Rutsch verkleinert oder wenn Dateien von Projektpartnern importiert werden oder wenn eine altes Projekt in einem ZIP-Archiv ausgepackt wird... usw.

Gruß
Bitte warten ..
Mitglied: theoberlin
04.06.2019 um 12:59 Uhr
Hi Dilbert,

genauso mache ich es auch. Seit ca. zwei Wochen analysiere ich das Verhalten. Aber dennoch ist es ja wichtig zu wissen was der Trojaner veranstaltet. Wenn die beiden Aktivitäten zu nah beieinander liegen müsste ich mir zusätzliche Methoden zurechtlegen um das auseinanderzuhalten.

lg
Theo
Bitte warten ..
Ähnliche Inhalte
Backup
Geschwindigkeit Datenwiederherstellung
Frage von HenereBackup10 Kommentare

Servus zusammen, nach einem Festplattencrash bin ich nun dabei 6TB an Daten wieder herzustellen. Server hat ein Raid0 aus ...

LAN, WAN, Wireless
WLAN Geschwindigkeit
gelöst Frage von keine-ahnungLAN, WAN, Wireless28 Kommentare

Hallo all, ich habe mir zuhause einen ftth-Zugang der Telekomiker aufschwatzen lassen. Zugang ins heimische WLAN erfolgt via pppoe ...

Batch & Shell
Powershell - Geschwindigkeit Dateisuche
gelöst Frage von internet2107Batch & Shell16 Kommentare

Ich habe das Problem, dass eine Suche nach einer Datei extrem lange dauert, obwohl ich dem Befehl schon Grundsätze ...

Vmware
Geschwindigkeit VM Ware Maschinen
Frage von novregenVmware18 Kommentare

Hallo, bei einer von uns genutzten Oracle DB Anwendung, die auf unseren virtuellen Windows 2003 R2 Maschinen (VM Ware ...

Neue Wissensbeiträge
Windows 10
Windows 10: Netzwerk zeigt Fehler 0x80070035
Tipp von anteNope vor 1 StundeWindows 105 Kommentare

Moin zusammen, ich hatte gerade mal wieder das Vergnügen mit dem obigen Fehler. Unter Borns Blog ist das beschreiben: ...

Windows 10

Bug: Windows 10 Enterprise LTSC erhält Funktionsupdate angeboten

Information von kgborn vor 19 StundenWindows 104 Kommentare

Der Fehler ist mittlerweile zwar korrigiert, aber ich denke, ich stelle die Info doch mal hier für Leute ein, ...

Viren und Trojaner

Entschlüsselungs-Tool für aktuelle GandCrab-Version verfügbar

Information von MrCount vor 23 StundenViren und Trojaner

Für alle Betroffenen gibt es offenbar ein Tool zur Entschlüsselung. Dann wird wohl die nächste version von GandCrap nicht ...

LAN, WAN, Wireless
Sophos RED50 stürzt ab und ist danach tot
Information von Ex0r2k16 vor 4 TagenLAN, WAN, Wireless3 Kommentare

Hey, nach meinem Thread bin ich durch Zufall auf das hier gestoßen: Also wenn ihr UTMs und RED50's im ...

Heiß diskutierte Inhalte
Viren und Trojaner
Gefahr - Risiko zwischen doc xls und docx xlsx
Frage von Asker06Viren und Trojaner33 Kommentare

Guten Tag, ich wollte wissen ob die .doc und .xls datein viel gefährlicher sind als .docx und .xlsx?? Ich ...

Sicherheit
Wie sichert (verschlüsselt) ihr eure Passwörter ?
gelöst Frage von decehakanSicherheit20 Kommentare

Hallo Admins, Mittlerweile hat man für jeden Dienst seine Zugangsdaten, sei es Amazon, Bank, FB, etc , vor allem ...

Windows Netzwerk
Standardgateway bei Clients mit statischer IP Adresse ändern
Frage von sammy65Windows Netzwerk17 Kommentare

Hallo miteinander, Wie kann ich über eine GPO die Standardgateway an meinen Clients ändern? Ich habe das versucht?: Es ...

Netzwerkmanagement
VLAN zwischen HP Switchen
gelöst Frage von SykoNFNetzwerkmanagement15 Kommentare

Moin Moin, ich versuche eine ganz einfachen Aufbau von VLAN zu erreichen. Ich habe zwei Switche, HP 1920-48G und ...