pilot
29.03.2016, aktualisiert um 13:05:43 Uhr
view1627
view3
0
Goto Top

Proactively Reacting to Ransomware // Gegen CryptoRansomWare

AllgemeinSicherheitViren, Trojaner
Hallo zusammen,

anbei eine interessante Vorgehensweise gegen Locky und Co.
Hat bei mir in der VM gerade "gewirkt".

Pps. bin kein Powershell Profi : folgendes musste ich bei mir ändern...

ForEach($ext in $exts){....

Diese Zeile: $textout| Out-File -FilePath $RandomFile -Force -ErrorAction SilentlyContinue
Ändern in: $textout| Out-File -FilePath $RandomFilePath -Force -ErrorAction SilentlyContinue

Gruß

http://www.freeforensics.org/2016/03/proactively-reacting-to-ransomware ...
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 300311

Url: https://administrator.de/contentid/300311

Ausgedruckt am: 25.11.2024 um 09:11 Uhr

3 Kommentare
Neuester Kommentar
Goto Top
DerWoWusste
DerWoWusste 29.03.2016 um 13:14:45 Uhr
Goto Top
Hi.

Es ist nun bekannt, dass die Verschlüsseler mittlerweile eine Ebene tiefer gegangen sind und nun auch das ganze System verschlüsseln. Da wirken die genannten Techniken nicht. Da wir uns nicht aussuchen können, was unsere DAUs nun starten, sollte man auf diese Schutzmechanismen keine Zeit verschwenden, sondern lieber allgemein Wirksames einbauen: software restriction policies und Applocker, Application whitelisting.
PiLoT
PiLoT 29.03.2016 aktualisiert um 13:29:27 Uhr
Goto Top
Hallo DerWoWusste,

jupp - das ist schon klar - auch die FSRM Methoden helfen nicht mehr...
Aber - es werden auch u.a. noch alte Varianten verteilt, bei denen das noch hilft.

Mit den SRP und Whitelist Themen hast du natürlich recht.
Applocker geht aber erst ab Enterprise face-confused und nach SRP schauen wir gerade...

pps. hilfreiche Links zur SRP gerne an mich face-smile - Danke

Gruß
DerWoWusste
DerWoWusste 31.03.2016 um 11:26:08 Uhr
Goto Top
Ein Link:
NSA IAD Guides: Application Whitelisting
AllgemeinSicherheitViren, Trojaner
Mehr von PiLoTPiLoTSiemens - Hipath 3300 - Passwort resetten - LoginPiLoT - 2 KommentarePiLoTExchange 2010 - Anzahl eingehender Mails pro Tag mit Anhang?PiLoT - 1 KommentarPiLoTWhatsapp auf Firmensmartphone - inkl. Firmenkontakte?!PiLoT - 17 KommentarePiLoTExch 2007 - alle Mailadressen aus "Gesende Elemente" exportieren?PiLoT - 7 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareLangaberWindows Server Sicherung Restore - MöglichkeitenLangaber - 17 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 16 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareZZaaiiggaaDigitales Archiv - wie?ZZaaiiggaa - 11 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 11 Kommentare