Geschwindigkeit Verschlüsselungstrojaner
Hallo zusammen,
hat jemand eine Erfahrungswert (mein Beileid wenn aus erster Hand) wie schnell Verschlüsselungstrojaner álá Wannacry etc. Dateien verschlüsseln? Also eine pro Minute / 10 pro Sekunde. ich nehme jetzt mal die üblichen Office Dateigrößen an.
EDIT: Es geht um Serverfreigaben. Gehobene Office PCs mit i3/i5 Prozessor und Gigabit Anbindung.
lg
Theo
hat jemand eine Erfahrungswert (mein Beileid wenn aus erster Hand) wie schnell Verschlüsselungstrojaner álá Wannacry etc. Dateien verschlüsseln? Also eine pro Minute / 10 pro Sekunde. ich nehme jetzt mal die üblichen Office Dateigrößen an.
EDIT: Es geht um Serverfreigaben. Gehobene Office PCs mit i3/i5 Prozessor und Gigabit Anbindung.
lg
Theo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 458515
Url: https://administrator.de/forum/geschwindigkeit-verschluesselungstrojaner-458515.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
17 Kommentare
Neuester Kommentar
Moin,
und was nimmst du nun als Hardware an? Nen üblichen grauen PC?
Gruß
und was nimmst du nun als Hardware an? Nen üblichen grauen PC?
Gruß
Kommt drauf an wie effizient die cryptotrojaner eben geschrieben sind, mein bauchgefühl sagt das das bottleneck die SMB Performance des Servers ist, die sich aus Platte und Netzwerk zusammensetzt.
Da die meisten Datei für Datei mit asynchronen Schlüsseln verschlüsseln, kann man das verhalten mit z.b. GnuPG simulieren, indem du eine Dateiliste an gpg pipest und einen öffentlichen schlüssel zur crypten verwendest
Da die meisten Datei für Datei mit asynchronen Schlüsseln verschlüsseln, kann man das verhalten mit z.b. GnuPG simulieren, indem du eine Dateiliste an gpg pipest und einen öffentlichen schlüssel zur crypten verwendest
Moin,
das hängt davon ab
Im Normalfall in der gleichen Geschwindigkeit wie Du Dateien auf den Server schreiben kannsts.
Aber gehen wir mal von 40 MB/Sekunde.
Es soll auch Trojaner geben die nur die ersten und letzten 2 MB verschlüsseln.
Dann schaffen die deutlich mehr Dateien in Abhängigkeit von den Dateigrößen.
Stefan
das hängt davon ab
Im Normalfall in der gleichen Geschwindigkeit wie Du Dateien auf den Server schreiben kannsts.
Aber gehen wir mal von 40 MB/Sekunde.
Es soll auch Trojaner geben die nur die ersten und letzten 2 MB verschlüsseln.
Dann schaffen die deutlich mehr Dateien in Abhängigkeit von den Dateigrößen.
Stefan
Bei einer zugekauften Firma hat sich eine Mitarbeiterin letztes Jahr mal den Grandcrab V4 eingefangen.
Dort konnte man tatsächlich zuschauen, wie die Dateien irgendwo im Sekundentakt verschlüsselt wurden. Ja, da hab ich mt Teamviewer draufschauen können.
Vorgegangen wurde ordnerweise, aber die Reihenfolge war nachträglich nicht wirklich ersichtlich. Der mischte auch lokale und gemappte Ordner auf dem Server.
Insgesamt ging da nicht viel verloren innerhalb von ca. 30 Minuten. Es kam auf, weil ziemlich schnell der Programmordner eines Bankingprogramms verschlüsselt wurde und das nicht mehr funktionierte.
Es war natürlich ein Bewerbungsschreiben. Gezippt.
h.
Dort konnte man tatsächlich zuschauen, wie die Dateien irgendwo im Sekundentakt verschlüsselt wurden. Ja, da hab ich mt Teamviewer draufschauen können.
Vorgegangen wurde ordnerweise, aber die Reihenfolge war nachträglich nicht wirklich ersichtlich. Der mischte auch lokale und gemappte Ordner auf dem Server.
Insgesamt ging da nicht viel verloren innerhalb von ca. 30 Minuten. Es kam auf, weil ziemlich schnell der Programmordner eines Bankingprogramms verschlüsselt wurde und das nicht mehr funktionierte.
Es war natürlich ein Bewerbungsschreiben. Gezippt.
h.
Vergleiche diese Trojaner mit 7zip.
Verzeichnis komprimierung, dabei mit Kennwort verschlüsseln und Dateien danach löschen.
Bei einem Kunden hat so ein Ding innerhalb von 12 Minuten ca. 60 GB Daten verschlüsselt (SSD).
Stefan
Verzeichnis komprimierung, dabei mit Kennwort verschlüsseln und Dateien danach löschen.
Bei einem Kunden hat so ein Ding innerhalb von 12 Minuten ca. 60 GB Daten verschlüsselt (SSD).
Stefan
Zitat von @theoberlin:
Ein Server wertet die Dateiänderungen der einzelnen shares aus. Diese werden nach Clients geordnet. Ab einer gewissen Änderung pro Zeiteinheit trenne ich den Client vom Netz zusammen mit reporting der veränderten files usw.
Ein Server wertet die Dateiänderungen der einzelnen shares aus. Diese werden nach Clients geordnet. Ab einer gewissen Änderung pro Zeiteinheit trenne ich den Client vom Netz zusammen mit reporting der veränderten files usw.
Dann denke doch mal anders herum:
Wie viele Dateien / Änderungen an Dateien würde ein normaler User schreiben, wenn er bzw. seine Software intensiv arbeitet?
- bei Word und Excel 5 bis 10x Speichern pro Minute incl. Temp-Datei und Sicherungsdatei
- bei BranchenSoftware 3 bis 4x Speichern pro Minute x 10 Dateien
- CAD/CAM mit diversen Verknüpfungen und Anbindung an Datenbanken ... ??
Danach setzt Du das Limit für Änderungen und neue Dateien +10% und probierst es aus. Kommen Beschwerden von Nutzern, musst Du schauen, welche Software da so sehr aktiv ist.
Dann musst Du ggf. noch Sonderfälle beachten, z.B. wenn ein Ordner mit vielen Daten verschoben oder kopiert wird oder wenn ein Mitarbeiter von einem Ortstermin 100 Fotos mitbringt und diese kopiert oder bei vorhandenen Fotos alle Fotos im Verzeichnis in einem Rutsch verkleinert oder wenn Dateien von Projektpartnern importiert werden oder wenn eine altes Projekt in einem ZIP-Archiv ausgepackt wird... usw.
Gruß
Hi..
Ich hatte mal so einen Fall und da interessiert es nicht wirklich wie schnell das Ding ist. Bis die User Ihren Kaffee ausgetrunken haben und sich unterhalten haben ob dies oder das bei den anderen noch geht, ist das Ding durch.. Viele User merken auch erst Tage später, daß etwas nicht stimmt...
Da die Platten mittlerweile nicht wirklich teuer sind, hilft hier auch einen Storage mit Filesystem-Versioning zu hinterlegen (wie Synology o.ä.)
Zielsystem hat hier keine normale Freigabe für Admin oder normalen User... via Script nen Robocopy mit speziellem User laufen lassen und das halt für etliche Tage vorhalten... bisher ToiToiToi..
Man muss aber auch sagen, daß die Endpointsecurity von etlichen AV-Herstellern auch gut geworden ist - leider auf kosten der Performance...
Gruss Globe!
Ich hatte mal so einen Fall und da interessiert es nicht wirklich wie schnell das Ding ist. Bis die User Ihren Kaffee ausgetrunken haben und sich unterhalten haben ob dies oder das bei den anderen noch geht, ist das Ding durch.. Viele User merken auch erst Tage später, daß etwas nicht stimmt...
Da die Platten mittlerweile nicht wirklich teuer sind, hilft hier auch einen Storage mit Filesystem-Versioning zu hinterlegen (wie Synology o.ä.)
Zielsystem hat hier keine normale Freigabe für Admin oder normalen User... via Script nen Robocopy mit speziellem User laufen lassen und das halt für etliche Tage vorhalten... bisher ToiToiToi..
Man muss aber auch sagen, daß die Endpointsecurity von etlichen AV-Herstellern auch gut geworden ist - leider auf kosten der Performance...
Gruss Globe!