Proactively Reacting to Ransomware // Gegen CryptoRansomWare

Hallo zusammen,

anbei eine interessante Vorgehensweise gegen Locky und Co.
Hat bei mir in der VM gerade "gewirkt".

Pps. bin kein Powershell Profi : folgendes musste ich bei mir ändern...

ForEach($ext in $exts){....

Diese Zeile: $textout| Out-File -FilePath $RandomFile -Force -ErrorAction SilentlyContinue
Ändern in: $textout| Out-File -FilePath $RandomFilePath -Force -ErrorAction SilentlyContinue

Gruß

http://www.freeforensics.org/2016/03/proactively-reacting-to-ransomware ...

Please also mark the comments that contributed to the solution of the article

Content-Key: 300311

Url: https://administrator.de/contentid/300311

Printed on: April 27, 2024 at 06:04 o'clock

3 Comments

Latest comment

Hi.

Es ist nun bekannt, dass die Verschlüsseler mittlerweile eine Ebene tiefer gegangen sind und nun auch das ganze System verschlüsseln. Da wirken die genannten Techniken nicht. Da wir uns nicht aussuchen können, was unsere DAUs nun starten, sollte man auf diese Schutzmechanismen keine Zeit verschwenden, sondern lieber allgemein Wirksames einbauen: software restriction policies und Applocker, Application whitelisting.

Hallo DerWoWusste,

jupp - das ist schon klar - auch die FSRM Methoden helfen nicht mehr...
Aber - es werden auch u.a. noch alte Varianten verteilt, bei denen das noch hilft.

Mit den SRP und Whitelist Themen hast du natürlich recht.
Applocker geht aber erst ab Enterprise

und nach SRP schauen wir gerade...

pps. hilfreiche Links zur SRP gerne an mich

- Danke

Gruß

Ein Link:
NSA IAD Guides: Application Whitelisting

German General Viruses, Trojans Security