hansdampf
Goto Top

Ransomware-Krypto Trojaner, welcher Virenscanner erkennt am besten ?

Hallo Leute,
hatte seit Anfang diesen Jahres insgesamt 8 Fälle von Ransomware ( Krypto Verschlüsselung ) bei meinen Kunden.
Ich setze bis jetzt immer Avira Professional ein, dieses hat jedoch noch kein einziges mal Alarm geschlagen.

Jetzt wollte ich einfach mal in die Runde fragen was ihr denn so einsetzt und wie eure Erfahrungen mit diesen Verschlüsselungs Trojanern sind.

Habe gehört das Eset sowie Sophos ziemlich gut in sein sollen, aber wirkliche Fälle bei denen eine Infektion verhindert wurde sind mir nicht bekannt.

Content-ID: 319419

Url: https://administrator.de/forum/ransomware-krypto-trojaner-welcher-virenscanner-erkennt-am-besten-319419.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

Juckie
Juckie 28.10.2016 um 14:32:33 Uhr
Goto Top
Hallo Hansdampf,

wir setzten von Panda Security die Endpoint Lösung PCOP Advanced ein.

Aber im Hinblick auf Ramsomware ist meiner Meinung nach der beste Virenscanner immer noch der gesunde Menschenverstand einzuschalten und Mitarbeitersensibilisierung.

Bis jetzt hat es bei mir soweit funktioniert und hab damit noch keine Probleme gehabt...bis jetzt zumindest.

Gruß

Juckie
netscrat
netscrat 28.10.2016 um 14:32:38 Uhr
Goto Top
Moin,

hatte letzte Woche den Fall mal wieder.
ESET beim anderen Kunden erkannte die Bewerbungsmail einer bekannten Adresse mit dem Anhang der Javascripting startet und dann verschlüsselt.
Trendmicro dagegen sprang nicht drauf an und hat die Mail nicht als "böse" eingestuft und dementsprechend war auf 1-2 PC's das Chaos groß, nach Dateiöffnung im Anhang.

Malwarebytes, ADWcleaner und Desinfect 16 mit aktuellen Signaturen findet schon ziemlich viel.
KVRT* ( Virenscanner von Kaspersky) bin ich grade am Testen ob der auch noch was findet, was die anderen nicht gefunden haben.

Also wir setzen momentan viel auf ESET, aber 100% findet der bestimmt auch nicht.

Gruß
hagerino
Alchimedes
Alchimedes 28.10.2016 um 15:01:57 Uhr
Goto Top
Hallo,

reine Endpointsecurity reicht nicht aus, egal welchen Anbieter man nimmt.
Hier muss auf dem Mailserver eine Antivirensoftware drauf die eben Anhaenge e.t.c vorab scannt, sowie Mails nur von bekannten Absendern durchlaesst.
Der Webzugriff sollte ebenfalss eingeschraenkt werden und auch ueber die Firewall abgesichert sein. damit sich die User keine Viren via Drive by Download einfangen.

Auch wie schon beschrieben, Mitarbeiter Sensibilisierung macht auf jeden Fall sinn.
Wir hatten frueher Sophos jetzt Kaspersky und sind bisher gut damit gefahren.

Gruss
119944
119944 28.10.2016 um 15:16:22 Uhr
Goto Top
Moin,

wir verwenden Eset aber 100% findest du damit sicherlich nicht.

Von Sophos gibt es jetzt "Intercept-X" um genau gegen solche Randsom-Trojaner und Zero-Day Exploids vorzugehen.
https://www.sophos.com/en-us/products/intercept-x.aspx

VG
Val
honeybee
honeybee 28.10.2016 um 16:09:59 Uhr
Goto Top
Hallo,

wir verwenden Kaspersky, aber auch er hatte einen Verschlüsselungstrojaner nicht entdeckt. Es gibt Verschlüsselungstrojaner, die sich einfach unbemerkt einschleusen können. Da hilft nur gesunder Menschenverstand, wie z. B. dass man keine Anhänge ungeprüft öffnen soll.
hansdampf
hansdampf 28.10.2016 um 16:15:17 Uhr
Goto Top
Sensibilisierung ist meiner Meinung nach mit das wichtigste, hilft aber leider nicht immer...

Von dem Intercept-X habe ich auch schon gehört hat das bereits wer getestet ?

Noch etwas, ist bei jemandem auch schon mal die versteckte USB Festplatte die zur Datensicherung via Windows Server Backup genutzt wird verschlüsselt worden, ich denke das die heutigen Crypto Trojaner die noch nicht angehen .
keine-ahnung
keine-ahnung 28.10.2016 um 16:21:25 Uhr
Goto Top
Moin,
scharf gestellter content-Filter und ausfiltern aller email-Anhänge, die Schadsoftware transportieren können, in Quarantäne. Dazu ein Verschlüsselungsprotector.
Bei mir hat Locky noch nicht geklingelt ... aber wer weiss face-wink?
Mittlerweile überlege ich, die Büchsen ganz vom Internet zu trennen und fürs notwendige surfen tablets an einige Arbeitsplätze zu stellen - schöne neue Welt!

LG, Thomas
Alchimedes
Alchimedes 28.10.2016 um 16:34:30 Uhr
Goto Top
Hallo,

tatsaechlich scannen die Trojaner saemtliche Netzlaufwerke.
Wir hatten den Fall mal vor ca 3 Jahren,hatten aber glueck da sich der Trojaner an ca. 1 Mio kleinster Daten festgefressen hatte.
So war kein wirklicher Schaden entstanden. Der Mitarbeiter hatte sich auf ner Dreckswebseite rumgetrieben und sich dann den Mist runtergezogen, das ist heute nicht mehr moeglich.

Gruss
hansdampf
hansdampf 28.10.2016 um 16:38:16 Uhr
Goto Top
Wirklich Super neue Welt....
solche Fälle nehmen mir leider immer mehr den Spass an der IT....Maurer wär doch eine gute Alternative, ein Kasten Bier pro Tag als Ziel und gut is.

Was meinst du mit Verschlüsselungsprotector ?
keine-ahnung
keine-ahnung 28.10.2016 um 17:36:31 Uhr
Goto Top
Was meinst du mit Verschlüsselungsprotector ?
Eine Software, die unautorisiertes Verschlüsseln von Ordnern/Dateien verhindert.

LG, Thomas
Lochkartenstanzer
Lochkartenstanzer 28.10.2016 um 19:59:32 Uhr
Goto Top
Zitat von @hansdampf:

Jetzt wollte ich einfach mal in die Runde fragen was ihr denn so einsetzt und wie eure Erfahrungen mit diesen Verschlüsselungs Trojanern sind.

Habe gehört das Eset sowie Sophos ziemlich gut in sein sollen, aber wirkliche Fälle bei denen eine Infektion verhindert wurde sind mir nicht bekannt.

Egal welche AV-Software man verwendet, keine schützt vor aktueller ransomware, weil sie "imemr zu spät" kommt. Der schutz muß schon viel Früher beider organisation udn bein User stattfinden. Also Schulung des bentzers und Benutzen von Applocker & Co. um "fremde" Programme generell zu evrbieten.

lks
honeybee
honeybee 28.10.2016 um 20:25:41 Uhr
Goto Top
Hallo.

Eine Software, die unautorisiertes Verschlüsseln von Ordnern/Dateien verhindert.

Und das wäre zum Beispiel?
jenni
jenni 28.10.2016 um 20:56:30 Uhr
Goto Top
Servus,

Ich setze TrendMicro(mit Virenscanner auf dem Exchange) ein, aber ich verlasse mich nicht darauf!
Bestimmte Anhänge werden blockiert und landen in Quarantäne.

Weiter habe ich auf unseren Fileserver die Dateiprüfung aktiviert. GPOs, die das direktausführen von docx usw. verhindern....
Und regelmäßige Mitarbeiterschulungen...
Backup, die auch nicht in der Firma schlafen face-wink

Es gibt keine 100% Sicherheit...

Grüße
der jenni
keine-ahnung
keine-ahnung 28.10.2016 um 21:04:35 Uhr
Goto Top
Moin nochmal,
Ich sätze
?????
Ich setze auch TM worryfree advanced ein. Ob deren decription protect funktioniert ... @keine-ahnung face-smile! Aber ich schlafe deutlich besser ....

LG, Thomas
Lochkartenstanzer
Lochkartenstanzer 28.10.2016 aktualisiert um 21:08:26 Uhr
Goto Top
Zitat von @keine-ahnung:

Was meinst du mit Verschlüsselungsprotector ?
Eine Software, die unautorisiertes Verschlüsseln von Ordnern/Dateien verhindert.

Du meinst, da hat jemand das Halteproblem gelöst?

lks

PS: Die Entscheidung, etwas das gerade passiert eine Verschlüsselung ist oder nicht, läuft auf die Lösung des Halteproblems hinaus.

PPS: Natürlich läßt sich das Halteproblem für eine Teilmenge lösen. face-smile
keine-ahnung
keine-ahnung 28.10.2016 um 21:14:32 Uhr
Goto Top
Moin LKS,
Du meinst, da hat jemand das Halteproblem gelöst?
@keine-ahnung face-smile. Die ransomware-protection von TM ist sicher nicht der Weisheit letzter Schluss, letztlich wird sie nur ransomware-verdächtiges Benehmen blockieren können. Ich habe das Teil ja nicht geschrieben, alter IT-Barde ... face-smile. Aber im Zusammenspiel mit den von mir o.g. Präventionen kann man IMHO das Infektionsrisiko und die Auswirkungen einer evtl. Infektion schon reduzieren.

LG, Thomas
jenni
jenni 28.10.2016 um 21:18:10 Uhr
Goto Top
Ich Sätze

Danke
keine-ahnung
keine-ahnung 28.10.2016 um 21:42:17 Uhr
Goto Top
Danke
Kein Thema! Gerne wieder ... face-smile

LG, Thomas
exellent
exellent 28.10.2016 um 22:02:14 Uhr
Goto Top
Hi,

mit einem klassischen Signaturbasierten Virenscanner wirst du nicht weit kommen. Dafür ist die aktuelle Ransomware einfach viel zu vielfältig.

Wirklich Abhilfe schaffen da nur sandboxing Mechanismen oder eine Advanced endpoint Protection wie Palo Alto Traps.

Grüße
exellent
Dani
Dani 29.10.2016 um 09:42:38 Uhr
Goto Top
Moin,
ein Virenscanner darf nicht fehlen, aber aus meiner Sicht nicht die Eierlegende Wollmilchsau für die Problematik. Viel mehr geht es um Aspekte wie lokale Administratorrechte, granulare Berechtigungen auf der Verzeichnisse, ordentliche Spamfilter, ausgeklügelte Datensicherungen, auf Firewalls (egal ob Clients, Server oder Gateways) auch ausgehende Regeln pflegen und nicht grundsätzlich alles zulassen.

solche Fälle nehmen mir leider immer mehr den Spass an der IT....
Naja, das gehört eben auch dazu. Das ist wie Dokus schreiben, macht auch keiner gerne musss aber sein. face-wink


Gruß,
Dani
itisnapanto
itisnapanto 31.10.2016 um 08:33:33 Uhr
Goto Top
Wir nutzen aktuell noch Kaspersky Endpoint Security . Zusätzlich wird der ganze Mailverkehr noch einmal durch eine Sophos UTM gejagt und auf dem Exchangen läuft noch GFI .


Kommende Woche, wollen wir uns mal mit Intercpt-X als Ergänzung beschäftigen . Die Webinare waren da schon sehr interessant .
Dort hat das Programm die Ransomware automatisch erkannt, gestoppt und die dateien wiederhergestellt ohne das man extra eingreifen musste.
hansdampf
hansdampf 31.10.2016 um 09:56:12 Uhr
Goto Top
Ja das mit dem Intercept hört sich wirklich interessant an.
Könntest ja mal deine Erfahrungen posten wenn ihrs getestet habt face-smile