pilot
Goto Top

Proactively Reacting to Ransomware // Gegen CryptoRansomWare

Hallo zusammen,

anbei eine interessante Vorgehensweise gegen Locky und Co.
Hat bei mir in der VM gerade "gewirkt".

Pps. bin kein Powershell Profi : folgendes musste ich bei mir ändern...

ForEach($ext in $exts){....

Diese Zeile: $textout| Out-File -FilePath $RandomFile -Force -ErrorAction SilentlyContinue
Ändern in: $textout| Out-File -FilePath $RandomFilePath -Force -ErrorAction SilentlyContinue

Gruß

http://www.freeforensics.org/2016/03/proactively-reacting-to-ransomware ...

Content-ID: 300311

Url: https://administrator.de/contentid/300311

Ausgedruckt am: 25.11.2024 um 09:11 Uhr

DerWoWusste
DerWoWusste 29.03.2016 um 13:14:45 Uhr
Goto Top
Hi.

Es ist nun bekannt, dass die Verschlüsseler mittlerweile eine Ebene tiefer gegangen sind und nun auch das ganze System verschlüsseln. Da wirken die genannten Techniken nicht. Da wir uns nicht aussuchen können, was unsere DAUs nun starten, sollte man auf diese Schutzmechanismen keine Zeit verschwenden, sondern lieber allgemein Wirksames einbauen: software restriction policies und Applocker, Application whitelisting.
PiLoT
PiLoT 29.03.2016 aktualisiert um 13:29:27 Uhr
Goto Top
Hallo DerWoWusste,

jupp - das ist schon klar - auch die FSRM Methoden helfen nicht mehr...
Aber - es werden auch u.a. noch alte Varianten verteilt, bei denen das noch hilft.

Mit den SRP und Whitelist Themen hast du natürlich recht.
Applocker geht aber erst ab Enterprise face-confused und nach SRP schauen wir gerade...

pps. hilfreiche Links zur SRP gerne an mich face-smile - Danke

Gruß
DerWoWusste
DerWoWusste 31.03.2016 um 11:26:08 Uhr
Goto Top