schicksal
Goto Top

Ransomware abfangen . Diskusion

Hallo miteinander.

Ich grüble gerade mit dem Erpressertrojaner Problem.
Ich bin zwar Programmiermäßig ein DAU aber trotzdem.

Deshalb: Ist eine Verschlüsselung eine bestimmte Dateioperation die man programmatikalisch oder rechtlich abfangen könnte?
Also eine Datei soll verschlüsselt werden und das OS fragt ob dies ein User überhaupt darf.

Wenn dies möglich sein sollte, wieso gibt es in der AD noch keine Gruppe Datei-Verschlüsseln JA/Nein.
Ist dies bei anderen Dateisystemen abseits von MS schon möglich?

Vielen Dank für eure Infos.

Mike

Content-ID: 297810

Url: https://administrator.de/forum/ransomware-abfangen-diskusion-297810.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

119944
119944 01.03.2016 aktualisiert um 16:13:15 Uhr
Goto Top
Moin,

meinst du nicht es wären schon andere darauf gekommen wenn es so einfach wäre?

Die Software wird aus dem Internet geladen und führt danach den Code zur Verschlüsselung aus dem nachgeladenen Programm aus und nicht direkt vom OS wie z.B. Bitlocker.

Du kannst jedoch versuchen mit "Software Restriction Policys" die Bereiche in denen Schadsoftware ausgeführt wird (%APPDATA%, %TEMP%) für das Ausführen von Programmen per GPO zu sperren.

Bisher hatten wir mit dieser Methode und deaktivierten Macros noch keinen Locky Befall.

VG
Val
echo11
echo11 01.03.2016 um 16:16:22 Uhr
Goto Top
Hi,

neben den grundsätzlichen Sicherheitsgedanken, die man bei dem Thema hat, ist so etwas z.B. hier für Windows Fileserver beschrieben, also die Möglichkeit, solche Verschlüsselungen anhand von Dateiendungen zu unterbinden:

https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
https://www.frankysweb.de/windows-fileserver-vor-ransomware-schuetzen-up ...

Gruß
schicksal
schicksal 01.03.2016 um 16:38:31 Uhr
Goto Top
@119944, @echo11, auch alle Anderen.

Das habe ich mir schon gedacht und die meisten Tipps schon konfiguriert.

Gibt es diese Möglichkeiten eigentlich bei anderen Betriebssystemen?
Also im Zusammenhang mit dem SMB Server oder ähnlich, kann ich z.B.: auf eine selbst konfigurierte Nas sichern.
Dort können aber keine verschlüsselten Dateien abgelegt werden.
So würden "nur" die gerade zu bearbeiteten Files auf den Clients befallen werden. (Dies war die Anfrage eines befreundeten Fotograf)
echo11
echo11 01.03.2016 um 16:42:36 Uhr
Goto Top
Ich glaube, dass das stark vom eigentlichen System abhängig ist. Gibt bei NetApp als Beispiel eine ähnliche Lösung, wie sie im genannten Link enthalten ist.
DerWoWusste
DerWoWusste 01.03.2016 aktualisiert um 19:57:17 Uhr
Goto Top
Hi.

Verschlüsseln ist schlicht eine Umstellung der Datenstruktur mittels einer mathematischen Vorgehensweise. Und da die Ransomwares nur das verschlüsseln, was der Nutzer erreichen kann (seine Datenbereiche, nicht die komplette Platte/den kompletten Fileserver), kann da keine Sperre aufgebaut werden, denn der Nutzer darf diese Daten ja lesen und ändern.

Ich werde mich gleich mal hinsetzen und mögliche Gegenmaßnahmen übersichtlich zusammenfassen in einem Tipp, den ich hier verlinken werde.
DerWoWusste
DerWoWusste 01.03.2016 um 21:49:44 Uhr
Goto Top
schicksal
schicksal 03.03.2016 um 11:35:11 Uhr
Goto Top
Ich bin es nochmal, danke für euren Input.

Mal anderen Ansatz, könnte die Ransomware Dollar (D$) Freigaben verschlüsseln?
Bzw.: Wenn ich bei einem Windows Server ein zweites Plattensystem erstelle es von dort keine Freigaben gibt außer die die standardmäßige Dollar Freigabe.
Und auf diese Platten ein "Pull-Backup" mache...

Weiters, wenn auf diesem Server auf einem anderen Plattensystem Freigaben sind, wie sieht es da mit Gefahren aus.

Danke für eure weiteren Tipps.
DerWoWusste
Lösung DerWoWusste 03.03.2016 aktualisiert um 13:30:09 Uhr
Goto Top
Alles, was Du als Nutzer kannst, kann auch die Ransomware. Was Du nicht (ohne Eingabe von Credentials) kannst, kann sie auch nicht.