Welche Schlüsse nach "Locky" ziehen?

Mitglied: intermarty

intermarty (Level 1) - Jetzt verbinden

22.03.2016 um 23:08 Uhr, 2985 Aufrufe, 20 Kommentare

Hallo!

Hatte heute die Ehre das ich beim Kunden das erste mal "Locky" miterleben durfte.

Kurz zum Setup:
1 SBS2011 (Eierlegende Wollmilchsau) mit dem Trend Micro Worry Free 9.0
1 Server 2008 für das ERP-System
4 Clients mit Win 7 und Win 10 ebenfalls mit dem Trend Micro Worry Free 9.0
Gesichert wird mit der Windows Server Sicherung auf 2 HDDs (werden täglich umgesteckt).

Nun zum Problem:
Die Sekretärin öffnete eine zip mit dem Locky darin, Gott sei Dank reagierte diese geistesgegenwärtig und zog den Netzstecker.
Ihre Daten auf dem Client waren Schrott, aber bis zur Netzfreigabe kam er nicht, nur ein paar Files von der ERP-Freigabe waren verschlüsselt (nur Logs).

Nach dem neuinstallieren des Clients stell ich mir natürlich die Frage was man außer Schulung der Mitarbeiter noch machen kann.
Der Exchange 2010 auf dem SBS hat keinen expliziten Virenschutz, hab mich nach dem Trend Micro Hosted Mail Security erkundigt, was haltet ihr von dem?
Preislich ist für 4 Benutzer auch Exchange Online interessant, hier wäre der Spam- und Virenschutz auch schon dabei.

Wegen der Datensicherungsgeschichte; Würdet ihr hier was anders machen?

Danke!

LG

intermarty
Mitglied: jsysde
LÖSUNG 22.03.2016 um 23:15 Uhr
N'Abend.
Zitat von @intermarty:
Nach dem neuinstallieren des Clients stell ich mir natürlich die Frage was man außer Schulung der Mitarbeiter noch machen kann.
Beten und hoffen wäre ein Anfang - du wirst niemals sicherstellen können, dass Scanner XYV und/oder Security Suite ABC die nächste Version zuverlässig erkennt, bevor ein User draufgeklickt hat.

Wegen der Datensicherungsgeschichte; Würdet ihr hier was anders machen?
Jein - prinzipiell machst du es schon richtig und trennst du die Backup-Medien vom Live-System, somit kann dort wüten, was will, du hast immer ein unverschlüsseltes und sauberes Backup. "Luft nach oben" besteht noch beim Komfort, das Wechseln von Platten kann doch lästig und unbequem sein. Aber wie gesagt, vom Konstrukt her, alles prima (immer vorausgesetzt, du hast das Backup korrekt konfiguriert. Und du testest natürlich auch regelmässig, dass die Daten wiederherstellbar sind).

Cheers,
jsysde
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 22.03.2016, aktualisiert um 23:24 Uhr
Hi.

Welche Schlüsse: Virenscanner sind nicht das geeignete Mittel.
Admins erfreuen sich zwar an ihren Verwaltungskonsolen mit lauter ansehnlichen grünen Lampen, dennoch bleibt nur, davon Abschied zu nehmen.

Stell Dir vor, du hättest eine Liste mit allen Anwendungen eurer Firma und ebenso ein Verzeichnis von vertrauten Herausgebern von weiteren Anwendungen, die ihr evtl. demnächst einsetzen könntet, aber derzeit noch nicht tut. Nur diese Anwendungen würden laufen können, alles andere, ausnahmslos, würde, egal wie blöd sich die Sekretärin auch anstellen mag, nicht einmal ausführbar sein... wäre das nicht schön?
Diese Technik ist der richtige Ansatz und es gibt sie für Windows seit 15 Jahren. Nur wenige nutzen sie, denn wenn nichts Böses mehr laufen kann und auch keine grünen Lampen mehr angestarrt werden können, hey, wo ist noch der Spaß an der Sache?

Lass gut sein mit weiteren Virenscannern, schau Dir Applocker und Softwareeinschränkungsrichtlinien an.
Bitte warten ..
Mitglied: agowa338
22.03.2016 um 23:27 Uhr
Die Schattenkopien am Server zu aktivieren wäre auch eine Möglichkeit, das würde die Wiederherstellung erleichtern kostet aber Speicherplatz.
Bitte warten ..
Mitglied: intermarty
22.03.2016 um 23:34 Uhr
Hallo jsysde!

Vielen Dank für Deinen Input!
Wie würdest Du das am besten regeln damit man nicht mehr jeden Tag die Platte umstecken muss, aber man trotzdem ein sicheres Backup der Daten hat?

Danke!

LG

Intermarty
Bitte warten ..
Mitglied: departure69
23.03.2016 um 07:20 Uhr
Zitat von @intermarty:

Hallo!

Hallo.


Hatte heute die Ehre das ich beim Kunden das erste mal "Locky" miterleben durfte.


Nach dem neuinstallieren des Clients stell ich mir natürlich die Frage was man außer Schulung der Mitarbeiter noch machen kann.
Der Exchange 2010 auf dem SBS hat keinen expliziten Virenschutz, hab mich nach dem Trend Micro Hosted Mail Security erkundigt, was haltet ihr von dem?
Preislich ist für 4 Benutzer auch Exchange Online interessant, hier wäre der Spam- und Virenschutz auch schon dabei.

Wer kauft denn Trend-Micro-Worry-Free-Business-Security ohne den Trend Micro Messaging Security Agent für den Exchange? Falls der am SBS für den Exch. 2010 wirklich fehlt, ist das leicht nachzuholen, Lizenz nachkaufen, über die Trend-Micro-Konsole dem Exch. draufpumpen, fertig. Denn fernab von akteller Ransomware sind Viren im klassischen Sinne in E-Mail-Anlagen natürlich noch nicht ausgestorben - unbedingt ergänzen, dann brauchst Du kein anderes Mailsystem, schon gar nicht outgesourct.

Desweiteren zu TrendMicro-Worry-Free-Business-Security: Die wohl auch bei Deinem Kunden aktuelle Version 9.0 hat schon mehrere Service-Packs und danach auch noch mehrere Critical Updates erhalten, unter anderem eines von Januar 2016, welches überhaupt erst ermöglicht, verbesserten Schutz vor Ransomware zu bekommen und die verhaltensbasierte Überwachung zu verbessern, ist das alles wirklich aktuell und eingespielt und eingestellt worden?
Hier nachzuschauen:

Downloads:

http://downloadcenter.trendmicro.com/index.php?regs=de&clk=latest&a ...

Ganz wichtig, Best-Practise für WFBS wg. Ramsomware:

http://esupport.trendmicro.com/solution/en-us/1039099.aspx

Abarbeiten!

Im Übrigen hat @DerWoWusste natürlich recht, Malwarescanner jeglicher Couleur sind und bleiben Schlangenöl, das Katz- und Mausspiel zwischen den Herstellern und den bösen Buben wird auf kurze Distanz immer der böse Bube gewinnen, weil der Antimalwarehersteller stets erst dann reagieren kann, wenn schon bei irgendwem was passiert ist. Erst langfristig werden sich bessere und wirklich sichere Schutzmethoden durchsetzen, von denen @DerWoWusste auch schon die derzeit wirksamste aufgezeigt hat: Applocker und SRP.



LG

intermarty


Viele Grüße

von

deaprture69
Bitte warten ..
Mitglied: departure69
23.03.2016 um 07:29 Uhr
Zitat von @agowa338:

Die Schattenkopien am Server zu aktivieren wäre auch eine Möglichkeit, das würde die Wiederherstellung erleichtern kostet aber Speicherplatz.


Es ist nicht sicher, ob Locky die nicht auch löscht, wenn er das verbundene Netzlaufwerk einmal erreicht hat. TeslaCrypt 3 und TeslaCrypt 4 löschen auf jeden Fall auch vorgefundene Schattenkopien (zumindest diejenigen, auf die der angemeldete User, von dessen laufendem Account aus die Ransomware TC3 od. TC4 läuft, Schreibrechte hat).

Der aktuelle TeslaCrypt 4 ist besonders perfide, TC3 hat noch alles, was er verschlüsselt hat, mit der Endung *.mp3 versehen, es war also bei Befall recht schnell zu bemerken, das was nicht stimmt ("Hey Admin, ich hab' nur noch MP3s in meinem Home-Laufwerk") - TeslaCrypt 4 verschlüsselt nur noch, benennt aber nicht mehr um, das heißt, man sieht beim Blick ins Netzlaufwerk nicht unbedingt sofort, daß der da schon gewütet hat.


Viele Grüße

von

departure69
Bitte warten ..
Mitglied: freenode
23.03.2016 um 08:01 Uhr
Hey DerWoWusste, mich wunderts, dass Du nicht noch Deinen Beitrag gepostet hast.
Ich fand ihn damals sehr aufschlussreich und er passt ja auch hier ganz gut. :) face-smile

Gruß, freenode.
Bitte warten ..
Mitglied: aqui
23.03.2016, aktualisiert um 08:46 Uhr
Der einfachste Schluss daraus ist: Einen Mac Rechner mit OS-X kaufen ;-) face-wink
Bitte warten ..
Mitglied: DerWoWusste
23.03.2016, aktualisiert um 09:41 Uhr
mich wunderts, dass Du nicht noch Deinen Beitrag gepostet hast.
Hi.

Ich habe meinen Tipp auf das Wichtigste reduziert. Und das war anzuprangern, dass Admins gerne Virenscanner nutzen, anstatt Methoden, die tatsächlich auch funktionieren. Wenn man schon diesen Bauernfang-Mumpitz hört "Trend Micro worry free", kann man doch nur lachen.
Bitte warten ..
Mitglied: Der-Phil
23.03.2016 um 09:47 Uhr
Hallo!

Erstmal würde ich der Sekretärin eine Prämie geben.... Ich hätte niemanden im Unternehmen, der so spontan reagiert hätte!

Meine Schlüsse sind:
- ALLE unnötigen Zugriffe unterbinden.
- Stärker segmentieren.

--> Die Auswirkungen klein halten.

Phil
Bitte warten ..
Mitglied: Looser27
23.03.2016 um 10:28 Uhr
Zitat von @aqui:

Der einfachste Schluss daraus ist: Einen Mac Rechner mit OS-X kaufen ;-) face-wink

ihhh Mac....aber bei Linux allgemein wäre ich bei Dir.... ;-) face-wink
Bitte warten ..
Mitglied: VGem-e
23.03.2016 um 10:38 Uhr
Servus,

hatte mal vor sehr kurzer Zeit den TrendMicro AV getestet, da gibt es schon vom März 2016 offenbar ein weiteres kritisches Updates, siehe

http://downloadcenter.trendmicro.com/index.php?regs=NABU&clk=latest ...

Gruß
VGem-e
Bitte warten ..
Mitglied: altmetaller
23.03.2016 um 22:46 Uhr
Ich persönlich neige bei einem SBS immer dazu, ihn auf die von Gott gegebenen Dinge zu reduzieren.

Dann kannst Du dir da schon mal eine Antivirenlizenz sparen :-) face-smile
Bitte warten ..
Mitglied: departure69
24.03.2016, aktualisiert um 07:21 Uhr
Zitat von @altmetaller:

Ich persönlich neige bei einem SBS immer dazu, ihn auf die von Gott gegebenen Dinge zu reduzieren.

Dann kannst Du dir da schon mal eine Antivirenlizenz sparen :-) face-smile


Kommt darauf an, was Du mit "von Gott gegeben" meinst ;-) face-wink

Wenn ich hier "Gott" mit "Microsoft" austausche, dann ist der SBS als Tausendsassa designt, der ganz viele Serveraufgaben auf einmal hat: DC, DNS, DHCP, Exchange, WSUS, SharePoint und Fileserver.

Ich habe meinen SBS 2008 auch entrümpelt und z. B. Fileserver und WSUS auf andere Maschinen gelagert, meiner ist also "nur noch" DC, DNS, DHCP u. Exchange.

Doch wer ihn so nutzt, wie er für kleinere bis mittlere KMU designt wurde (also alles in einer Maschine), braucht auf jeden Fall ein professionelles AV-Produkt. Wie ich weiter oben schon schrieb, ist fernab von Locky, TC3 und TC4 die "klassische" Malware, gleich welcher Art, noch nicht ausgestorben.

Wer den SBS also so nutzt, wie er eigentlich gedacht ist, sollte auf keinen Fall auf ein AV-Produkt verzichten, zumindest meiner unmaßgeblichen Meinung nach.


Viele Grüße

von

departure69
Bitte warten ..
Mitglied: altmetaller
24.03.2016 um 07:48 Uhr
Auf einem korrekt betriebenen Fileserver brauchst Du keinen Virenscanner.

Zum Einen hast Du den Virenschutz auf den Clients.

Zum Anderen gibt es dort nichts, was den Algorithmus des Schädlings startet. Der liegt maximal ungenutzt auf der Festplatte rum.

Erfahrungen mit diversen Vireninfektionen bestätigen das. Der SBS war immer sauber.

Ich bleibe dabei - ein SBS mit einem Virenscanner betrachte ich persönlich erst einmal als "zerstört". Alles, was dann noch funktioniert ist pures Glück.
Bitte warten ..
Mitglied: DerWoWusste
24.03.2016 um 09:57 Uhr
Hi.

Zum Anderen gibt es dort nichts, was den Algorithmus des Schädlings startet.
Nicht korrekt. Wenn ein Dienst angreifbar ist (der smb-Dienst, der die Freigaben bereitstellt - wird bald wieder aktuell werden, siehe http://badlock.org/ ), dann kannst Du den Zielrechner dazu bringen, Code auszuführen. Und da fangen Angreifer nicht an, an der Konsole rumzutippen, sondern feuern auch vorgefertigte Skripte und Schädlinge ab.
Ergo: Virenscanner nicht nötig, aber Applocker anschalten, auf jeden Fall!
Bitte warten ..
Mitglied: altmetaller
24.03.2016 um 10:25 Uhr
Zitat von @DerWoWusste:

Wenn ein Dienst angreifbar ist (der smb-Dienst, der die Freigaben bereitstellt - wird bald wieder aktuell werden, siehe http://badlock.org/ ), dann kannst Du den Zielrechner dazu bringen, Code auszuführen.

Da hast Du Recht. Aber in dem Punkt gehe ich mal davon aus, dass ein Angriffsszenario dermaßen speziell auf den Host zugeschnitten ist, dass es ein generischer Trojaner / Virus / Wurm nicht enthält.

Cool wäre natürlich ein Schädling, der das System und dessen Patchstand erkennt und ein speziell für diesen Fall programmiertes Add-On aus einem Torrent-Botnetz nachlädt... *hrhrhr* :-) face-smile

Und ich bin mir ehrlich gesagt auch nicht sicher, ob ich Datei- und Druckerfreigaben jetzt unbedingt zu den Kernaufgaben eines SBS zählen würde. Ich sehe den Schwerpunkt des Systems in erster Linie im AD, im Exchange und im WSUS. Das Sharepoint, das SQL usw. ist in meinen Augen eher "Beiwerk zur internen Verwaltung bzw. zur Handhabung des Servers".

Hinzu kommt, dass SBS-Server für viele KMU nahezu unersetzlich sind. Zumindest so lange, wie man Office noch auf 2016 downgraden kann / darf :-) face-smile Insofern würde ich die Strategie immer darauf auslegen, das Teil auf das Notwendige zu reduzieren und dementsprechend zu isolieren (reverse Proxy vors OWA, E-Mail-Eingang über separaten postfix / fetchmail o.Ä.).

Aber ich befürchte, auch hier weichen wir gerade wieder etwas vom Thema ab. Aber, um es noch einmal zu sagen: Was ich niemals tun würde ist, einen Virenscanner auf einem SBS zu installieren. Schon gar keinen Antiviren-Managementserver, der noch fleißig in eigenen SQL-Datenbanken herumkrakelt... :-) face-smile
Bitte warten ..
Mitglied: DerWoWusste
24.03.2016, aktualisiert um 10:41 Uhr
Aber in dem Punkt gehe ich mal davon aus, dass ein Angriffsszenario dermaßen speziell auf den Host zugeschnitten ist, dass es ein generischer Trojaner / Virus / Wurm nicht enthält
Es werden fast immer Baukästen benutzt, die unter anderem bekannte Sachen wie mimikatz starten. Auch wenn es ein handverlesenes Skript ist - der Angreifer führt es oft auf dem Server selbst aus und das würde applocker ja blocken können. Applocker frisst keine Ressource, ist bei Standardservern schon onboard und macht auf Servern nun wirklich keine Scherereien.
Ist beim SBS applocker dabei? Wenn nicht, werden zumindest SRP dabei sein.
Bitte warten ..
Mitglied: exellent
24.03.2016 um 11:19 Uhr
Hi Intermarty,

am besten setzt du am Perimeter eine Next Generation Firewall ein (Fortinet, Palo Alto, ...). Dort kann ein Locky oder andere Ramsomware direkt am Internet und noch vor dem Client abgeblockt werden. Da aber auch jede Firewall, wie ein Virenscanner, signaturbasiert arbeitet müssen diese Signaturen natürlich erst einmal vorhanden sein bzw. der Virus muss erkannt werden. Kann ein Virus aufgrund fehlender Signaturen nicht erkannt werden dann schafft eine Sandbox Lösung Abhilfe. In einer Sandbox werden die Anhänge, .exe Files, doc Files etc. in einer isolierten VM Umgebung ausgeführt und überprüft ob es sich um Malware handelt. Im Falle von Fortinet oder Palo Alto sind diese Sandbox Systeme direkt an der Firewall integrierbar. Zusätzlich kann man ein Antispam Gateway nutzen, welches die Mail-Anhänge so lange zurückhält und dann erst an den User freigibt wenn diese durch eine Sandbox überprüft worden sind. Damit hat man sich bereits eine sehr hohe Security Ebene aufgebaut. 100% kann man leider nie abdecken.

Falls du mehr Infos haben willst, schreib mich an.

Grüße,
-exellent
Bitte warten ..
Mitglied: 16568
16568 (Level 4)
28.03.2016 um 11:31 Uhr
Zitat von @DerWoWusste:
Nicht korrekt. Wenn ein Dienst angreifbar ist (der smb-Dienst, der die Freigaben bereitstellt - wird bald wieder aktuell werden, siehe http://badlock.org/ )

I have some bad news for you...
Es gibt schon ein Exploit.


Lonesome Walker
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Starlink im Unternehmen?
0xFFFFVor 1 TagFrageLAN, WAN, Wireless42 Kommentare

Guten Morgen Admins, leider leiden wir darunter, dass wir uns hier in DE noch in einem Entwicklungsland was die Internetanbindung angeht, sehr. Nun kam ...

Off Topic
Klimaanlage im Serverraum
gelöst imebroVor 1 TagFrageOff Topic20 Kommentare

Hallo, wir haben einen kleinen Serverraum (viell. 5 - 6 m²), in dem ein Serverschrank steht. Der Raum hat kein Fenster!!! Darin befinden sich ...

Windows 10
Windows 10 hängt bei Neustart immer bei "Bitte warten" über Stunden
gelöst Odde23Vor 1 TagFrageWindows 1023 Kommentare

Ich habe seit längerem, um genau zu sein seit gut einem Jahr, da wurde der Rechner gekauft, das Problem, dass der Rechner bei einem ...

Microsoft
Meine Gruppenrichtlinie wird nicht angewendet oder ich bin zu dumm
gelöst RandonDudeVor 1 TagFrageMicrosoft16 Kommentare

Hallo zusammen, ich bin Hobby-Admin für einen Versicherungsmakler. Wir haben ein Active Directory im Einsatz. Ich möchte verhindern, dass sich Benutzer an PCs anmelden, ...

Weiterbildung
Das Impostersyndrom oder: "Was kann ich eigentlich?"
AnduinVor 1 TagFrageWeiterbildung7 Kommentare

Werte Mitadmins, ich würde mich heute gerne mit einem mir wichtigen Thema an euch wenden. Ich bin 40 Jahre alt und seit 21 Jahren ...

Windows 10
Dokumentenanzeige auf 2.Bildschirm
gelöst Rico.lehmann93Vor 1 TagFrageWindows 107 Kommentare

Hey Leute, ein Kunde von uns sucht eine Möglichkeit Mietverträge dem Kunden auf einem Bildschirm anzeigen zu lassen. Auf dem Bildschirm soll aber wirklich ...

Windows Server
Igel + Terminalserver + VoIP + Softphone
Asgard-LokiVor 1 TagFrageWindows Server13 Kommentare

Gude Kolleginnen und Kollegen, ich habe da mal eine Frage zu einem Thema was für mich relativ neu ist. Wir wollen unsere Telefonie gerne ...

Windows Server
Zwei Netzwerkkarten im Server
gelöst Big.TurboladerVor 1 TagFrageWindows Server4 Kommentare

Hallo allerseits, ich habe ein Windows Server 2016 in einer VM erstellt um mein Wissen zu erweitern. Doch jetzt hänge ich an einem Problem ...