pilot
29.03.2016, aktualisiert um 13:05:43 Uhr
view1617
view3
0
Goto Top

Proactively Reacting to Ransomware // Gegen CryptoRansomWare

AllgemeinSicherheitViren, Trojaner
Hallo zusammen,

anbei eine interessante Vorgehensweise gegen Locky und Co.
Hat bei mir in der VM gerade "gewirkt".

Pps. bin kein Powershell Profi : folgendes musste ich bei mir ändern...

ForEach($ext in $exts){....

Diese Zeile: $textout| Out-File -FilePath $RandomFile -Force -ErrorAction SilentlyContinue
Ändern in: $textout| Out-File -FilePath $RandomFilePath -Force -ErrorAction SilentlyContinue

Gruß

http://www.freeforensics.org/2016/03/proactively-reacting-to-ransomware ...
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 300311

Url: https://administrator.de/contentid/300311

Ausgedruckt am: 09.11.2024 um 01:11 Uhr

3 Kommentare
Neuester Kommentar
Goto Top
DerWoWusste
DerWoWusste 29.03.2016 um 13:14:45 Uhr
Goto Top
Hi.

Es ist nun bekannt, dass die Verschlüsseler mittlerweile eine Ebene tiefer gegangen sind und nun auch das ganze System verschlüsseln. Da wirken die genannten Techniken nicht. Da wir uns nicht aussuchen können, was unsere DAUs nun starten, sollte man auf diese Schutzmechanismen keine Zeit verschwenden, sondern lieber allgemein Wirksames einbauen: software restriction policies und Applocker, Application whitelisting.
PiLoT
PiLoT 29.03.2016 aktualisiert um 13:29:27 Uhr
Goto Top
Hallo DerWoWusste,

jupp - das ist schon klar - auch die FSRM Methoden helfen nicht mehr...
Aber - es werden auch u.a. noch alte Varianten verteilt, bei denen das noch hilft.

Mit den SRP und Whitelist Themen hast du natürlich recht.
Applocker geht aber erst ab Enterprise face-confused und nach SRP schauen wir gerade...

pps. hilfreiche Links zur SRP gerne an mich face-smile - Danke

Gruß
DerWoWusste
DerWoWusste 31.03.2016 um 11:26:08 Uhr
Goto Top
Ein Link:
NSA IAD Guides: Application Whitelisting
AllgemeinSicherheitViren, Trojaner
Mehr von PiLoTPiLoTSiemens - Hipath 3300 - Passwort resetten - LoginPiLoT - 2 KommentarePiLoTExchange 2010 - Anzahl eingehender Mails pro Tag mit Anhang?PiLoT - 1 KommentarPiLoTWhatsapp auf Firmensmartphone - inkl. Firmenkontakte?!PiLoT - 17 KommentarePiLoTExch 2007 - alle Mailadressen aus "Gesende Elemente" exportieren?PiLoT - 7 Kommentare
Heiß diskutiert
ds6.euAktuelle Probleme mit der XG(s) Serie von Sophosds6.eu - 89 Kommentareopc123Excel Kundendatenbankopc123 - 46 KommentareMysticFoxDESERVER 2025 - HARDWAREANFORDERUNGEN - Ich habe da einige FragenMysticFoxDE - 43 KommentareDumpfbackeFirewall ersetzenDumpfbacke - 39 KommentareUeba3baI7 12700K vs Xeon Gold 6246Ueba3ba - 26 KommentareElmerAcmeeeSQL Restore ohne jeglichen Verlust möglich?ElmerAcmeee - 20 KommentareOliverXGäste IP-Bereich mit Internet aber kein Zugriff auf Büro IP-BereichOliverX - 20 Kommentareonel01Frage: managed Switch und Inbetriebnahmeonel01 - 19 KommentarejsysdeServer 2025 Update blockierenjsysde - 19 KommentareDarkened1645Welchen Hypervisor für Zuhause?Darkened1645 - 16 Kommentarebulldozer90Win11 Master Image mit OEM Lizenzen möglich?bulldozer90 - 15 KommentareFISI-LehrlingIPv6 only in Unifi UDM Pro oder Cloud Gateway UltraFISI-Lehrling - 15 Kommentare