netscrat
Goto Top

Ransomware Overview

Für den ein oder anderen Fall der dank DAU's ja doch eintritt, vllt ne hilfreiche Sammlung

Gruß hagerino

https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsG ...

Content-ID: 307094

Url: https://administrator.de/forum/ransomware-overview-307094.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

SarekHL
SarekHL 15.06.2016 um 12:44:31 Uhr
Goto Top
Zitat von @netscrat:

Für den ein oder anderen Fall der dank DAU's ja doch eintritt,

Ich hatte gestern gerade einen Anruf face-smile

Was mich allerdings immer noch wundert ist, dass die gängigen Anti-Malware-Programme immer noch solche Schwierigkeiten haben, die Dinge zu erkennen. Spätestens bei der verhaltensbasierten Analyse sollte doch was auffallen. Oder denke ich da zu simpel?
netscrat
netscrat 15.06.2016 um 12:51:35 Uhr
Goto Top
Naja...
Abhängig von den Betreibern der Anti-Malware-Programme, werden die Dinger halt schneller oder eben langsamer aktualisiert. (Erfahrungswert durch Kooperation und Kenntnisgabe über neue Bösewichte zu den Anti-Malware-Programm Betreibern)

Wie war das doch gleich?... " Das Böse ist immer ein Schritt schneller?" :P
SarekHL
SarekHL 15.06.2016 aktualisiert um 13:00:03 Uhr
Goto Top
Zitat von @netscrat:

Abhängig von den Betreibern der Anti-Malware-Programme, werden die Dinger halt schneller oder eben langsamer aktualisiert.

Darum mein Hinweis auf die verhaltensbasierte Analyse, die ja inzwischen fast jedes Programm macht. Die ist ja nicht von Signaturen abhängig, die ständig aktualisiert werden müssten. Und die Crypto-Programme verhalten sich doch alle ähnlich ... sie verschlüsseln Dateien und benennen sie meistens auch noch um.
netscrat
netscrat 15.06.2016 um 13:00:04 Uhr
Goto Top

Darum mein Hinweis uaf die verhaltensbasierte Analyse, die ja inzwischen fast jedes Programm macht. Die Crypto-Programme verhalten sich doch alle ähnlich ... sie verschlüsseln Dateien und benennen sie meistens auch noch um.


Müssen verhaltensbasierte Analysen nicht auch ausgewertet werden und folgend dann angepasst? :D
Aber ja... verstehe dein Gedankengang und teile ihn auch..
BernhardMeierrose
BernhardMeierrose 15.06.2016 um 14:15:03 Uhr
Goto Top
Moin

das Problem bei Ransomware ist, dass die Verhaltensanalyse am Endpoint kaum greift, weil es ja auch sein kann, dass der User sich gerade entschlossen hat, seine Daten zu verschlüsseln.
Bei Serverbasierten Security-Systemen funktioniert das besser, weil man da nicht davon ausgeht, dass ein normaler User die Shares verschlüsselt. Kaspersky z.B. hat eine Schwellenwert an Dateien, die ein User verschlüsseln kann, ohne dass das System dicht macht.

Gruß
Bernhard
PS: Danke für die nette Übersicht !
Digi-Quick
Digi-Quick 20.06.2016 um 13:58:03 Uhr
Goto Top
Zitat von @BernhardMeierrose:
das Problem bei Ransomware ist, dass die Verhaltensanalyse am Endpoint kaum greift, weil es ja auch sein kann, dass der User sich gerade entschlossen hat, seine Daten zu verschlüsseln.

Ich sehe das nicht als Problem an!
"Der Prozess XYZ möchte ihre Dateien verschlüsseln, Sind sie Sicher, daß sie diesen Vorgang zulassen möchten?"