8
Ransomware abfangen . Diskusion
Hallo miteinander.
Ich grüble gerade mit dem Erpressertrojaner Problem.
Ich bin zwar Programmiermäßig ein DAU aber trotzdem.
Deshalb: Ist eine Verschlüsselung eine bestimmte Dateioperation die man programmatikalisch oder rechtlich abfangen könnte?
Also eine Datei soll verschlüsselt werden und das OS fragt ob dies ein User überhaupt darf.
Wenn dies möglich sein sollte, wieso gibt es in der AD noch keine Gruppe Datei-Verschlüsseln JA/Nein.
Ist dies bei anderen Dateisystemen abseits von MS schon möglich?
Vielen Dank für eure Infos.
Mike
Ich grüble gerade mit dem Erpressertrojaner Problem.
Ich bin zwar Programmiermäßig ein DAU aber trotzdem.
Deshalb: Ist eine Verschlüsselung eine bestimmte Dateioperation die man programmatikalisch oder rechtlich abfangen könnte?
Also eine Datei soll verschlüsselt werden und das OS fragt ob dies ein User überhaupt darf.
Wenn dies möglich sein sollte, wieso gibt es in der AD noch keine Gruppe Datei-Verschlüsseln JA/Nein.
Ist dies bei anderen Dateisystemen abseits von MS schon möglich?
Vielen Dank für eure Infos.
Mike
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 297810
Url: https://administrator.de/contentid/297810
Printed on: April 19, 2024 at 23:04 o'clock
8 Comments
Latest comment
Moin,
meinst du nicht es wären schon andere darauf gekommen wenn es so einfach wäre?
Die Software wird aus dem Internet geladen und führt danach den Code zur Verschlüsselung aus dem nachgeladenen Programm aus und nicht direkt vom OS wie z.B. Bitlocker.
Du kannst jedoch versuchen mit "Software Restriction Policys" die Bereiche in denen Schadsoftware ausgeführt wird (%APPDATA%, %TEMP%) für das Ausführen von Programmen per GPO zu sperren.
Bisher hatten wir mit dieser Methode und deaktivierten Macros noch keinen Locky Befall.
VG
Val
meinst du nicht es wären schon andere darauf gekommen wenn es so einfach wäre?
Die Software wird aus dem Internet geladen und führt danach den Code zur Verschlüsselung aus dem nachgeladenen Programm aus und nicht direkt vom OS wie z.B. Bitlocker.
Du kannst jedoch versuchen mit "Software Restriction Policys" die Bereiche in denen Schadsoftware ausgeführt wird (%APPDATA%, %TEMP%) für das Ausführen von Programmen per GPO zu sperren.
Bisher hatten wir mit dieser Methode und deaktivierten Macros noch keinen Locky Befall.
VG
Val
Hi,
neben den grundsätzlichen Sicherheitsgedanken, die man bei dem Thema hat, ist so etwas z.B. hier für Windows Fileserver beschrieben, also die Möglichkeit, solche Verschlüsselungen anhand von Dateiendungen zu unterbinden:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
https://www.frankysweb.de/windows-fileserver-vor-ransomware-schuetzen-up ...
Gruß
neben den grundsätzlichen Sicherheitsgedanken, die man bei dem Thema hat, ist so etwas z.B. hier für Windows Fileserver beschrieben, also die Möglichkeit, solche Verschlüsselungen anhand von Dateiendungen zu unterbinden:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
https://www.frankysweb.de/windows-fileserver-vor-ransomware-schuetzen-up ...
Gruß
@119944, @echo11, auch alle Anderen.
Das habe ich mir schon gedacht und die meisten Tipps schon konfiguriert.
Gibt es diese Möglichkeiten eigentlich bei anderen Betriebssystemen?
Also im Zusammenhang mit dem SMB Server oder ähnlich, kann ich z.B.: auf eine selbst konfigurierte Nas sichern.
Dort können aber keine verschlüsselten Dateien abgelegt werden.
So würden "nur" die gerade zu bearbeiteten Files auf den Clients befallen werden. (Dies war die Anfrage eines befreundeten Fotograf)
Das habe ich mir schon gedacht und die meisten Tipps schon konfiguriert.
Gibt es diese Möglichkeiten eigentlich bei anderen Betriebssystemen?
Also im Zusammenhang mit dem SMB Server oder ähnlich, kann ich z.B.: auf eine selbst konfigurierte Nas sichern.
Dort können aber keine verschlüsselten Dateien abgelegt werden.
So würden "nur" die gerade zu bearbeiteten Files auf den Clients befallen werden. (Dies war die Anfrage eines befreundeten Fotograf)
Ich glaube, dass das stark vom eigentlichen System abhängig ist. Gibt bei NetApp als Beispiel eine ähnliche Lösung, wie sie im genannten Link enthalten ist.
Hi.
Verschlüsseln ist schlicht eine Umstellung der Datenstruktur mittels einer mathematischen Vorgehensweise. Und da die Ransomwares nur das verschlüsseln, was der Nutzer erreichen kann (seine Datenbereiche, nicht die komplette Platte/den kompletten Fileserver), kann da keine Sperre aufgebaut werden, denn der Nutzer darf diese Daten ja lesen und ändern.
Ich werde mich gleich mal hinsetzen und mögliche Gegenmaßnahmen übersichtlich zusammenfassen in einem Tipp, den ich hier verlinken werde.
Verschlüsseln ist schlicht eine Umstellung der Datenstruktur mittels einer mathematischen Vorgehensweise. Und da die Ransomwares nur das verschlüsseln, was der Nutzer erreichen kann (seine Datenbereiche, nicht die komplette Platte/den kompletten Fileserver), kann da keine Sperre aufgebaut werden, denn der Nutzer darf diese Daten ja lesen und ändern.
Ich werde mich gleich mal hinsetzen und mögliche Gegenmaßnahmen übersichtlich zusammenfassen in einem Tipp, den ich hier verlinken werde.
Ich bin es nochmal, danke für euren Input.
Mal anderen Ansatz, könnte die Ransomware Dollar (D$) Freigaben verschlüsseln?
Bzw.: Wenn ich bei einem Windows Server ein zweites Plattensystem erstelle es von dort keine Freigaben gibt außer die die standardmäßige Dollar Freigabe.
Und auf diese Platten ein "Pull-Backup" mache...
Weiters, wenn auf diesem Server auf einem anderen Plattensystem Freigaben sind, wie sieht es da mit Gefahren aus.
Danke für eure weiteren Tipps.
Mal anderen Ansatz, könnte die Ransomware Dollar (D$) Freigaben verschlüsseln?
Bzw.: Wenn ich bei einem Windows Server ein zweites Plattensystem erstelle es von dort keine Freigaben gibt außer die die standardmäßige Dollar Freigabe.
Und auf diese Platten ein "Pull-Backup" mache...
Weiters, wenn auf diesem Server auf einem anderen Plattensystem Freigaben sind, wie sieht es da mit Gefahren aus.
Danke für eure weiteren Tipps.
Alles, was Du als Nutzer kannst, kann auch die Ransomware. Was Du nicht (ohne Eingabe von Credentials) kannst, kann sie auch nicht.
1
