Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Geschwindigkeit Verschlüsselungstrojaner

Mitglied: theoberlin

theoberlin (Level 2) - Jetzt verbinden

03.06.2019, aktualisiert 17:11 Uhr, 1959 Aufrufe, 17 Kommentare

Hallo zusammen,

hat jemand eine Erfahrungswert (mein Beileid wenn aus erster Hand) wie schnell Verschlüsselungstrojaner álá Wannacry etc. Dateien verschlüsseln? Also eine pro Minute / 10 pro Sekunde. ich nehme jetzt mal die üblichen Office Dateigrößen an.

EDIT: Es geht um Serverfreigaben. Gehobene Office PCs mit i3/i5 Prozessor und Gigabit Anbindung.

lg
Theo
Mitglied: Kraemer
03.06.2019 um 16:57 Uhr
Moin,

Zitat von theoberlin:
ich nehme jetzt mal die üblichen Office Dateigrößen an.
und was nimmst du nun als Hardware an? Nen üblichen grauen PC?

Gruß
Bitte warten ..
Mitglied: itisnapanto
03.06.2019 um 17:06 Uhr
Moin ,

kann man so schlecht sagen . Hängt ja stark von der Hardware ab.
Bei ner SSD geht das Ratz fatz . Willst du Erfahrungswerte, verschlüssle deine HDD mal komplett mit Bitlocker o.Ä. Dann siehst du den Speed.


Gruss
Bitte warten ..
Mitglied: theoberlin
03.06.2019 um 17:10 Uhr
Hallo zusammen,

Die lokalen Rechner sind nicht das Problem, mir gehts um die Serverfreigaben. Hätte ich mal schreiben können.
Rechner sind gehobene Office PCs i3-i5 mit Gigabit Anbindung an die Server.

lg
Theo
Bitte warten ..
Mitglied: itisnapanto
03.06.2019 um 17:25 Uhr
Was juckt die eigentlich der Speed ?

Wenn ein Verschlüsselungstrojaner wütet, ist glaube ich die Geschwindigkeit noch das kleinere Problem.

Wir kennen den Speed deinen Netzwerkes auch nicht , um das zu beurteilen.

Gruss
Bitte warten ..
Mitglied: theoberlin
03.06.2019, aktualisiert um 18:06 Uhr
Die Geschwindigkeit steht oben. Gigabit Linespeed und das machen die Server natürlich auch mit.

Kurzes Wort zum Hintergrund:

Ein Server wertet die Dateiänderungen der einzelnen shares aus. Diese werden nach Clients geordnet. Ab einer gewissen Änderung pro Zeiteinheit trenne ich den Client vom Netz zusammen mit reporting der veränderten files usw.

Der Wert wird natürlich weit über der üblichen Nutzung liegen die ich seit ca. zwei Wochen analysiere.

Das ganze soll neben allen anderen üblichen Schutzmaßnahmen quasi als letzte Bastion dienen.

LG
Theo
Bitte warten ..
Mitglied: NetzwerkDude
03.06.2019 um 18:37 Uhr
Kommt drauf an wie effizient die cryptotrojaner eben geschrieben sind, mein bauchgefühl sagt das das bottleneck die SMB Performance des Servers ist, die sich aus Platte und Netzwerk zusammensetzt.

Da die meisten Datei für Datei mit asynchronen Schlüsseln verschlüsseln, kann man das verhalten mit z.b. GnuPG simulieren, indem du eine Dateiliste an gpg pipest und einen öffentlichen schlüssel zur crypten verwendest
Bitte warten ..
Mitglied: theoberlin
03.06.2019 um 18:51 Uhr
Na siehste an gnupg hab ich noch garnicht gedacht obwohl am naheliegendsten...
Das werde ich wohl morgen mal auf einen Test Share loslassen.

Lg Theo
Bitte warten ..
Mitglied: StefanKittel
03.06.2019 um 21:45 Uhr
Moin,

das hängt davon ab
Im Normalfall in der gleichen Geschwindigkeit wie Du Dateien auf den Server schreiben kannsts.
Aber gehen wir mal von 40 MB/Sekunde.

Es soll auch Trojaner geben die nur die ersten und letzten 2 MB verschlüsseln.
Dann schaffen die deutlich mehr Dateien in Abhängigkeit von den Dateigrößen.

Stefan
Bitte warten ..
Mitglied: theoberlin
03.06.2019 um 22:08 Uhr
Das ist auch nochmal ne interessante Info. Auch wenn für mich eher die Differenz von „Normaler Nutzung“ zu „Trojaner verschlüsselt“ interessant ist. Alles was schneller ist wird ja sowieso erkannt.
Bitte warten ..
Mitglied: BassFishFox
04.06.2019, aktualisiert um 00:41 Uhr
Hi,

Den Schnelltest kannst Du selber machen.
Nimm ein beliebiges Pack-Programm (ohne GUI) und lass das auf die Ordnerstruktur los.
Ein optimierter Trojaner ist u.U. schneller.

Im Endeffekt ist es unerheblich, wie schnell das "Tierchen" ist.
Erheblich ist, wie schnell Du das merkst.

BFF
Bitte warten ..
Mitglied: theoberlin
04.06.2019, aktualisiert um 06:19 Uhr
Hi BFF,

packen die Trojaner denn? Ich meine die Verschlüsseln jede Datei einzeln. In dem Fall müsste ich Umdenken, da ich „read“ Ereignisse aktuell außen vor lasse um keinen zu hohen Count zu bekommen. Das geht nämlich auch mal schnell wenn man die Windows Suche auf ein höheres Verzeichnis loslässt.

Und merken tue ich es sofort. Die Auswertung erfolgt in Echtzeit und 10 Sekunden später ist der Client aus. Hängt natürlich auch davon ab welche Schwellen wie schnell überschritten werden.

LG
Theo
Bitte warten ..
Mitglied: 127132
04.06.2019 um 07:48 Uhr
Bei einer zugekauften Firma hat sich eine Mitarbeiterin letztes Jahr mal den Grandcrab V4 eingefangen.
Dort konnte man tatsächlich zuschauen, wie die Dateien irgendwo im Sekundentakt verschlüsselt wurden. Ja, da hab ich mt Teamviewer draufschauen können.
Vorgegangen wurde ordnerweise, aber die Reihenfolge war nachträglich nicht wirklich ersichtlich. Der mischte auch lokale und gemappte Ordner auf dem Server.

Insgesamt ging da nicht viel verloren innerhalb von ca. 30 Minuten. Es kam auf, weil ziemlich schnell der Programmordner eines Bankingprogramms verschlüsselt wurde und das nicht mehr funktionierte.

Es war natürlich ein Bewerbungsschreiben. Gezippt.

h.
Bitte warten ..
Mitglied: StefanKittel
04.06.2019 um 08:22 Uhr
Zitat von theoberlin:
packen die Trojaner denn?
Vergleiche diese Trojaner mit 7zip.
Verzeichnis komprimierung, dabei mit Kennwort verschlüsseln und Dateien danach löschen.

Bei einem Kunden hat so ein Ding innerhalb von 12 Minuten ca. 60 GB Daten verschlüsselt (SSD).

Stefan
Bitte warten ..
Mitglied: theoberlin
04.06.2019, aktualisiert um 08:42 Uhr
Spätestens wenn die ersten Files gelöscht werden, werden Sie ja wieder erfasst.
Es geht ja auch nicht darum, dass sofort zu verhindern. Dafür gibt es ja Backups. Aber halt schnell zu beenden. Und ich möchte halt nicht in die unangenehme Situation kommen, dass mehrere verschlüsselte Versionen in den Backups landen und sich die Katze dann nach ein paar Tagen in den ### beißt.

Dann werde ich mehrere Kriterien festlegen:

Generell Änderungen f/sec, f/min, f/h.

Und für Read Vorgänge einen wirklich hohen Wert um Fehlalarme zu vermeiden. Mal sehen was da die Erfahrungswerte zeigen wenn ich die mit auswerte.

Mit GnuPG Verschlüsselung habe ich hier ungefähr 80 files/sec bei Word/Excel files von rund 1-1,5 MB. Also quasi Netzwerk Vollauslastung.

Edit: Interessant zu sehen, dass Administrator.de Wörter "wegpiept" :D
Bitte warten ..
Mitglied: Dilbert-MD
04.06.2019 um 10:09 Uhr
Zitat von theoberlin:
Ein Server wertet die Dateiänderungen der einzelnen shares aus. Diese werden nach Clients geordnet. Ab einer gewissen Änderung pro Zeiteinheit trenne ich den Client vom Netz zusammen mit reporting der veränderten files usw.

Dann denke doch mal anders herum:
Wie viele Dateien / Änderungen an Dateien würde ein normaler User schreiben, wenn er bzw. seine Software intensiv arbeitet?
- bei Word und Excel 5 bis 10x Speichern pro Minute incl. Temp-Datei und Sicherungsdatei
- bei BranchenSoftware 3 bis 4x Speichern pro Minute x 10 Dateien
- CAD/CAM mit diversen Verknüpfungen und Anbindung an Datenbanken ... ??
Danach setzt Du das Limit für Änderungen und neue Dateien +10% und probierst es aus. Kommen Beschwerden von Nutzern, musst Du schauen, welche Software da so sehr aktiv ist.

Dann musst Du ggf. noch Sonderfälle beachten, z.B. wenn ein Ordner mit vielen Daten verschoben oder kopiert wird oder wenn ein Mitarbeiter von einem Ortstermin 100 Fotos mitbringt und diese kopiert oder bei vorhandenen Fotos alle Fotos im Verzeichnis in einem Rutsch verkleinert oder wenn Dateien von Projektpartnern importiert werden oder wenn eine altes Projekt in einem ZIP-Archiv ausgepackt wird... usw.

Gruß
Bitte warten ..
Mitglied: theoberlin
04.06.2019 um 12:59 Uhr
Hi Dilbert,

genauso mache ich es auch. Seit ca. zwei Wochen analysiere ich das Verhalten. Aber dennoch ist es ja wichtig zu wissen was der Trojaner veranstaltet. Wenn die beiden Aktivitäten zu nah beieinander liegen müsste ich mir zusätzliche Methoden zurechtlegen um das auseinanderzuhalten.

lg
Theo
Bitte warten ..
Mitglied: Globetrotter
19.01.2020 um 18:27 Uhr
Hi..
Ich hatte mal so einen Fall und da interessiert es nicht wirklich wie schnell das Ding ist. Bis die User Ihren Kaffee ausgetrunken haben und sich unterhalten haben ob dies oder das bei den anderen noch geht, ist das Ding durch.. Viele User merken auch erst Tage später, daß etwas nicht stimmt...
Da die Platten mittlerweile nicht wirklich teuer sind, hilft hier auch einen Storage mit Filesystem-Versioning zu hinterlegen (wie Synology o.ä.)
Zielsystem hat hier keine normale Freigabe für Admin oder normalen User... via Script nen Robocopy mit speziellem User laufen lassen und das halt für etliche Tage vorhalten... bisher ToiToiToi..
Man muss aber auch sagen, daß die Endpointsecurity von etlichen AV-Herstellern auch gut geworden ist - leider auf kosten der Performance...

Gruss Globe!
Bitte warten ..
Ähnliche Inhalte
Backup
Geschwindigkeit Datenwiederherstellung
Frage von HenereBackup10 Kommentare

Servus zusammen, nach einem Festplattencrash bin ich nun dabei 6TB an Daten wieder herzustellen. Server hat ein Raid0 aus ...

LAN, WAN, Wireless
WLAN Geschwindigkeit
gelöst Frage von keine-ahnungLAN, WAN, Wireless28 Kommentare

Hallo all, ich habe mir zuhause einen ftth-Zugang der Telekomiker aufschwatzen lassen. Zugang ins heimische WLAN erfolgt via pppoe ...

Batch & Shell
Powershell - Geschwindigkeit Dateisuche
gelöst Frage von internet2107Batch & Shell16 Kommentare

Ich habe das Problem, dass eine Suche nach einer Datei extrem lange dauert, obwohl ich dem Befehl schon Grundsätze ...

Windows XP

Virtualbox eingeschränkte Geschwindigkeit

Frage von 100100010011101Windows XP12 Kommentare

Einen wunderschönen Tag, wir haben einen WinXp Rechner durch eine Virtualbox ersetzt. Das System hat nun mehr Leistung als ...

Neue Wissensbeiträge
Datenschutz
Datenschutzproblem?
Information von Penny.Cilin vor 1 TagDatenschutz5 Kommentare

Hallo, gerade im Heise Newsticker gefunden: Frage: Warum wurden die Akten nicht ordnungsgemäß gesichert bzw. aufbewahrt? Patientenakten sind 30 ...

Windows Netzwerk

SCOM ( System Center Operations Manager ) um eine E-Mailschnittstelle erweitern

Anleitung von Juanito vor 2 TagenWindows Netzwerk

Einleitung System Center Operations Manager (SCOM) ist Microsoft's Lösung zum Überwachen von Servern. Dazu zählt die generelle Erreichbarkeit, Festplattenspeicher, ...

Humor (lol)
BioShield gegen 5G
Information von magicteddy vor 3 TagenHumor (lol)3 Kommentare

Moin wer sich gegen die hochgefährlichen 5G schützen möchte wird hier fündig: 5GBioShield "gegen 5G-Strahlung" Ich glaube, ich sollte ...

Windows Server

ScheduledTasks mit einem Group-Managed-Service-Account (GMSA) ausführen

Anleitung von ToniHo vor 3 TagenWindows Server

Hallo zusammen, wer schonmal versucht hat ein Group-Managed-Service-Account (GMSA) auf einem bestehenden ScheduledTask einzutragen, ist an der GUI vermutlich ...

Heiß diskutierte Inhalte
Microsoft
Zugriffsprobleme Festplatte
Frage von MiMa89Microsoft40 Kommentare

Hallo Zusammen, ich hoffe Ihr könnt mir bei folgendem Problem helfen. Ich habe eine externe Festplatte die nicht mehr ...

Microsoft
100 Prozent CPU Last gleich Volllast, Pustekuchen, nicht bei Microsoft!!! VOL 2
Frage von MysticFoxDEMicrosoft19 Kommentare

Liebe Freunde der Präzision und der Norm, ich möchte in diesem Beitrag konstruktiv an den folgenden Vorgängerbeitrag anschliessen, der ...

SAN, NAS, DAS
Entscheidungshilfe Storage für Netzwerkupgrade
Frage von m-jelinskiSAN, NAS, DAS14 Kommentare

Hallo zusammen, unsere Server und Storage-Systeme sind nun 6 Jahre alt und überfällig ausgetauscht zu werden. Daher haben wir ...

Microsoft
USB-Ports sperren mit Software
Frage von trabajadorMicrosoft10 Kommentare

Hallo, gesucht wird eine Software, welche alle USB-Ports sperrt bis auf für Maus, Tastatur und einem Admin-USB-Stick. Verwendet wird ...