tharen
Goto Top

CryptoLocker und seine wechselnden Datei-Endungen

Hallo,
aus aktuellem Anlass hier ein Screenshot eines vor kurzem bemerkten Falls der LOCKY-Familie (siehe Bilder)
interessant ist, dass die Endungen der verschlüsselten Dateien willkürlich wechselt - kein Muster zu erkennen. (aber 6-Stellig.-Datei)
Der Virus kam über eine täuschend echte Mail mit .DOC-Datei im Anhang. (130 kb)

Gibt es hier eine Diskussionsrunde zum Thema Verschlüsselungstrojaner, die man verfolgen und Beiträge posten kann ?

Gruß

Tharen
endungen
wiederherstellen

Content-ID: 331028

Url: https://administrator.de/knowledge/cryptolocker-und-seine-wechselnden-datei-endungen-331028.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

AnkhMorpork
AnkhMorpork 03.03.2017 um 12:39:22 Uhr
Goto Top
Keine Ahnung ob es von Interesse ist:
https://fsrm.experiant.ca/

Da sind haufenweise Extensions von Ransomware gelistet - wird zurzeit noch aktualisiert.

Schönen Freitag noch face-devilish

Ankh
Tharen
Tharen 03.03.2017 um 12:57:45 Uhr
Goto Top
hallo nochmal,

anbei auch der Screenshot der Mail mit der DOC-Datei.
Durch die Rücksicherung konnte der Umfang der Zerstörung gering gehalten werden.
Der Virus konnte in ca. 10 Minuten 8-10 GB verschlüsseln.
mail-screenshot
sabines
sabines 03.03.2017 um 14:51:08 Uhr
Goto Top
Moin,

die Dateiendungen kannst Du mit dieser Liste und dem FSRM "abfangen", es sind über 750 Endungen.
Ich verstehe den Poster aber so, dass der Trojaner die Endungen willkürlich erstellt und damit das "Abfangen" erschwert.

Gruss
sabines
sabines 03.03.2017 um 14:53:30 Uhr
Goto Top
Moin,

ehrlich, wer mach denn eine Rechnung, die als Word Datei kommt, auf und aktiviert das enthaltene Makro.
Noch dazu von einer AON Adresse, die so super echt nach Firma aussieht?

Ein bißerl Hirn muss schon sein, find ich, obwohl das meinen Usern auch passieren könnte (wenn die Mail durch alle Sperren durch ist), weil sind ja alles nur Anwender und geben das Hirn morgens am Tor ab. face-wink

Gruss
Tharen
Tharen 03.03.2017 um 15:17:15 Uhr
Goto Top
naja, also das mit dem Hirn lass ich mal so stehen... Irgendwann sind die Dinger nahezu Perfekt und dann macht es klick...

Vielmehr steht für uns im Vordergrund, wie man weiteren Angriffen zuvorkommt, - und nein wir haben keine Budget ein Fort Knox zu errichten.
Fakt ist, die UTM-Firewall hat die DOK-Datei durchgelassen und das darf nicht wieder passieren - aber die UTM und Antivirus am Arbeitspc reicht wohl nicht.

Wenn aber keine virengleiche Signatur von der Datei ausgeht, so kann auch der Virenscanner am PC nichts tun.

Der Virus hat die "eigenen Dateien" lokal und parallel die erreichbaren Netzlaufwerke aufgesucht und Datei verschlüsselt.
Aber noch etwas hat das Ding gemacht:
Es hat die Netzwerk-PCs/-Server auf Freigaben gescannt und konnte an einem PC mit Freigabe "Jeder" auch seiner Arbeit nachgehen.

Ja, Ja ich weiß... Freigabe Jeder geht gar nicht...Danke.

@sabines: Magst Du was vielleicht was zu den "Sperren" beitragen ? was habt Ihr installiert ?

noch was zu den Endungen... wir hatten keine Möglichkeit nach Endungen zu scannen da wirklich jeder Buchstabe und Sonderzeichen verwendet wurde... aber in jedem Order wurden 2 Dateien abgelegt, eine TXT und eine HTML: "wie Dateien wieder herstellen." mit obiger Info.
Danach konnten wir dann die Laufwerke durchsuchen... und dann halt alle Dateien * mit Änderungsdatum 02.03.17
Tharen
Tharen 03.03.2017 um 15:18:16 Uhr
Goto Top
Ist hier überhaupt der richtige Platz, oder sollte ich einen Fragen-Threat starten ?
mathu
mathu 03.03.2017 um 15:24:55 Uhr
Goto Top
Zitat von @sabines:

Moin,

ehrlich, wer mach denn eine Rechnung, die als Word Datei kommt, auf und aktiviert das enthaltene Makro.
Noch dazu von einer AON Adresse, die so super echt nach Firma aussieht?

Ein bißerl Hirn muss schon sein, find ich, obwohl das meinen Usern auch passieren könnte (wenn die Mail durch alle Sperren durch ist), weil sind ja alles nur Anwender und geben das Hirn morgens am Tor ab. face-wink

Gruss

Also von Rechnung sehe ich da nix beim TO.?
Mittlerweile kommen die Dokumente auch als Bewerbung getarnt usw., also finde ich den bekehrenden Finger da jetzt nicht so angebracht.
Man kann nur versuchen, sein System so gut es geht abzusichern und die User entsprechend zu schulen, damit Diese in Fällen, falls doch mal was durchgehen sollte, misstrauisch bleiben.
Alles was man selbst nicht anfordert hat, ist erst mal unter Verdacht zu stellen.
sabines
sabines 03.03.2017 um 15:35:58 Uhr
Goto Top
Zitat von @mathu:

Also von Rechnung sehe ich da nix beim TO.?

Zweiter Screenshot

Mittlerweile kommen die Dokumente auch als Bewerbung getarnt usw., also finde ich den bekehrenden Finger da jetzt nicht so angebracht.

Doch, gerade weil die Dinger immer besser werden, ist eine entsprechende Mitarbeiterschulung und -sensibilisierung erfolgen.
Nur so kannst Du das abwehren.

Man kann nur versuchen, sein System so gut es geht abzusichern und die User entsprechend zu schulen, damit Diese in Fällen, falls doch mal was durchgehen sollte, misstrauisch bleiben.
Alles was man selbst nicht anfordert hat, ist erst mal unter Verdacht zu stellen.
sabines
sabines 03.03.2017 um 15:42:37 Uhr
Goto Top
Zitat von @Tharen:

Vielmehr steht für uns im Vordergrund, wie man weiteren Angriffen zuvorkommt, - und nein wir haben keine Budget ein Fort Knox zu errichten.
Fakt ist, die UTM-Firewall hat die DOK-Datei durchgelassen und das darf nicht wieder passieren - aber die UTM und Antivirus am Arbeitspc reicht wohl nicht.

Reicht wirklich nicht, jede Firewall, sofern mit Malware Schutz etc gepimpt kann durchlässig sein, insbesondere wenn der Angriff auf einem neuen Weg kommt, Du musst nachgelagert Systeme zum Schutz installieren, ein Stichwort ist der FSRM, damit kann schon mal viel geregelt werden, bei bekannten Angriff. Es gehören Sicherheitseinstellungen beim Office auch zum Konzept. Such mal unter Wissen nach weiteren Tips, ich glaube https://administrator.de/user/derwowusste/ hat mal mehr dazu geschrieben.

Wichtig ist auch, für den Fall eines Befalls gewapnet zu sein, das scheint ja bei euch geklappt zu haben, also funktionierendes Backup zum Beispiel. Du wirst nicht glauben, was hier alles schon schief gegangen ist.

Gruss
kaiand1
kaiand1 03.03.2017 um 17:25:17 Uhr
Goto Top
Nun die werden auch immer Besser und Tarnen sich immer wieder neu um nicht erkannt zu werden.
Dank der AES Unterstützung in der CPU sowie diese ja eh schon Leistungsstark sind können die auch Fix etliche Daten Effektiv Verschlüsseln.
Was jedoch Wirksam ist wenn einige Dummydateien auf dem Client/File Station/Server liegt die zb jede Minute geprüft werden ob diese noch da sind und dann falls nicht mehr per Log auf der Datei schauen wer diese Verändert hat und diesen PC Isolieren/Runter fahren/Sperren und den Admins Bescheid gibt.
Es keine 100% Sicherheit aber den Schaden kann man eindämmen sowie auch immer Aktuelle Backups machen und diese so verwahren das ein Crypto diese nicht ändern kann.
wiesi200
wiesi200 04.03.2017 um 21:25:43 Uhr
Goto Top
Hallo,

Sinvoll finde ich schon mal Marcos in Office zu deaktivieren.
sabines
sabines 05.03.2017 um 12:33:51 Uhr
Goto Top
Zitat von @kaiand1:
Was jedoch Wirksam ist wenn einige Dummydateien auf dem Client/File Station/Server liegt die zb jede Minute geprüft werden ob diese noch da sind und dann falls nicht mehr per Log auf der Datei schauen wer diese Verändert hat und diesen PC Isolieren/Runter fahren/Sperren und den Admins Bescheid gibt.

Wie genau prüfst Du das?
kaiand1
kaiand1 05.03.2017 um 18:51:35 Uhr
Goto Top
server-dateiueberwachung-ueberwachungsrichtlinie-objektzugriffsversuche-konfigurieren

Hast du zb ein Beispiel dazu.
Dummydatei/en erstellen in paar Ordner und per Cronjob/Aufgabenplanung diese jede Minute auf vorhanden sein Prüfen.
Zb per Batch,Powershell wie es jeder mag und bei Fehlen der Datei halt eine Mail oder andere Art der Alamierung auslösen sowie Netzwerkadapter vom Client Deaktivieren das es sich nciht Ausbreitet, wenn vorhanden Lokale User Deaktiveren und einen Shutdown machen.
Da jeder eine ganz andere Umgebung hat muss dies halt angepasst werden auf die Örtlichkeiten.
Die Dateiendungen ändern sich eh immer je nach Cryptolocker und die neueren nehmen auch Wahllos eine Endung wodurch eine Endungliste nicht so Effektiv ist.
Jedoch Verschlüsseln die ja alle Dateien/Dokumente und wenn da ein Köder bei ist wirst du dies damit schon merken.
Die User sollten aber auch eine Info diesbezüglich bekommen das die Datei nicht gelöscht/geändert von denen soll da die sich sonst über die neue Datei Wundern und ggfs Löschen.
Verhindern weitere Verschlüsselungen kannste damit nicht verhindern aber den Schaden eingrenzen und den PC Isolieren wodurch es leichter ist das Backup einzuspielen.
AnkhMorpork
AnkhMorpork 06.03.2017 um 07:48:38 Uhr
Goto Top
Zitat von @kaiand1:
Was jedoch Wirksam ist wenn einige Dummydateien auf dem Client/File Station/Server liegt die zb jede Minute geprüft werden ob diese noch da sind und dann falls nicht mehr per Log auf der Datei schauen wer diese Verändert hat und diesen PC Isolieren/Runter fahren/Sperren und den Admins Bescheid gibt.

Was du dann noch brauchst: Jemand, der dem Locker sagt, dass diese Dateien zuerst vernascht werden sollen...
kaiand1
kaiand1 06.03.2017 um 07:53:25 Uhr
Goto Top
Zitat von @AnkhMorpork:

Was du dann noch brauchst: Jemand, der dem Locker sagt, dass diese Dateien zuerst vernascht werden sollen...

Nun du kannst ja die Üblichen Testen welche Verzeichnisse diese zuerst vornehmen zum Crypten und dort die Dummys setzten.
Aber auf dem File/Server kannst du ja auch eine Überwachung machen und wenn in x Minuten y Daten verändert/Gelöscht/Umbenannt werden das dort wohl ein Crypto im Einsatz ist.
Zudem gibt es ja eh keine 100% Sicherheit aber du kannst es ggfs erschwerten bzw die Verbreitung eindämmen und so Schaden minimieren.
Tharen
Tharen 06.03.2017 um 09:04:56 Uhr
Goto Top
Hallo und guten Morgen,

erstmal Danke an Euch für die Tipps und Hinweise.

Auf dem PC der befallen wurde, hat der CrytoLocker nur die Eigenen Dateien verschlüsselt.
Parallel hat er sich den höchsten Buchstaben der Verbundenen Netzlaufwerke genommen.

Da ein PC recht schnell aufgesetzt ist und in Falle eines Falles hier keine Unternehmensdaten gespeichert sein "sollten",
hatte ich überlegt, das Windows-Verzeichnis oder System32 als Nezlzaufwerk zu verbinden und mit einem Buchstaben Z oder Y zu versehen.
Dann würde der Virus mit diesem Laufwerk starten und sich selbst verenden lassen... (so die blauäuige Theorie)

Aber das Backup hat uns natürlich gerettet.

Eine Dateiprüfung wäre auch ein Weg, aber kann man das Erstellen von Dateien mit mehr als 4 Zeichen in der Dateierweiterung verbieten ?
, auch wenn man damit nur zum Teil der Verschlüsselung vorbeugen könnte - man bräuchte dann auch wieder eine Whitelist.
Tharen
Tharen 06.03.2017 um 09:20:49 Uhr
Goto Top
Eine Dateiprüfung wäre auch ein Weg, aber kann man das Erstellen von Dateien mit mehr als 4 Zeichen in der Dateierweiterung verbieten ?
, auch wenn man damit nur zum Teil der Verschlüsselung vorbeugen könnte - man bräuchte dann auch wieder eine Whitelist.

das ist dann wohl was für den FSRM
face-smile
Ausserwoeger
Ausserwoeger 06.03.2017 aktualisiert um 09:44:12 Uhr
Goto Top
Zitat von @Tharen:

Wenn aber keine virengleiche Signatur von der Datei ausgeht, so kann auch der Virenscanner am PC nichts tun.

Hi

Das ist zwar grundsätzlich richtig da sich Ransomware immer wieder verändert. Ich muss leider gestehen das ich sehr Spezielle Kunden habe und es bei mir auch schon vorgekommen ist das eine Firma 7 mal unterschiedliche Mails mit Ransomeware geöffnet haben.

Mir ist das allerdings egal da ich Gott sei dank einen TrendMicro Virenschutz im Einsatz habe. Der verhindert das Verschlüsselten der Dateien selbst. Und Blockiert somit Ransomware.

Ich sehe zwar wie offt und wie Intelligent meine Kunden sind ein Schaden ist jedoch nocht nie entstanden.
Und bezahlt wurde natürlich auch noch nie.

LG Andy
adminst
adminst 06.03.2017 um 10:47:41 Uhr
Goto Top
Hallo
Ratsam ist folgendes
- Grundsätzlich Mails mit .doc Anhang zu blockieren
- Mailreputation ist auch ein weiterer Teil, kann jedoch die erste Welle meistens nicht abfangen
- Makros deaktivieren (wie schon angesprochen)
- Eine Möglichkeit ist auch Makros zu zertifizieren und nur solche ausführen zu lassen
etc.

Gruss
adminst
Tharen
Tharen 06.03.2017 um 15:16:14 Uhr
Goto Top
Zitat von @Ausserwoeger:
...
Mir ist das allerdings egal da ich Gott sei dank einen TrendMicro Virenschutz im Einsatz habe. Der verhindert das Verschlüsselten der Dateien selbst. Und Blockiert somit Ransomware.
...

@andi

Welchen TM-Scanner setzt Ihr ein ? Kann der das Verschlüsseln von Dateien verhindern ?
chgorges
chgorges 06.03.2017 aktualisiert um 15:45:22 Uhr
Goto Top
Den Layer-8-Scanner.

Dass die E-Mails immer professioneller aussehen, ist korrekt, allerdings wird der Absender, bzw. die Absender-Adresse auf ewige Zeit das entlarvende Puzzleteil bleiben. Deshalb schließe ich mich auch Sabine an.

Der (oder das) Layer-8 wird immer das schwächste Glied bleiben, ob man will, oder nicht und da gilt es für Jederfrau und Jedermann anzusetzen.
Und wenn man diesen Punkt der Sensibilisierung erreicht hat, ist es völlig wurscht, welchen virtuellen Scanner man einsetzt.
Ausserwoeger
Ausserwoeger 06.03.2017 aktualisiert um 16:02:15 Uhr
Goto Top
Zitat von @Tharen:
@andi

Welchen TM-Scanner setzt Ihr ein ? Kann der das Verschlüsseln von Dateien verhindern ?

Hi

Ja alle Worry-Free Business Security™ Lösungen oder OfficeScan Lösungen können das.

http://docs.trendmicro.com/de-de/enterprise/officescan-110-sp1-server/u ...

Die 3 Dateien die verschlüsselt werden sieht man im Managment und man kann diese mittels Schattenkopien oder anderer backup Software wiederherstellen.


Zitat von @chgorges:

Den Layer-8-Scanner.

Dass die E-Mails immer professioneller aussehen, ist korrekt, allerdings wird der Absender, bzw. die Absender-Adresse auf ewige Zeit das entlarvende Puzzleteil bleiben. Deshalb schließe ich mich auch Sabine an.

Der (oder das) Layer-8 wird immer das schwächste Glied bleiben, ob man will, oder nicht und da gilt es für Jederfrau und Jedermann anzusetzen.
Und wenn man diesen Punkt der Sensibilisierung erreicht hat, ist es völlig wurscht, welchen virtuellen Scanner man einsetzt.

Hi

Da gebe ich dir recht nur auch die Absenderadresse kann man fälschen.

Beispiel: Ein kunde bekommt offt Mails vom Arbeitsmarktservice mit Bewerbungen für verschiedenste stellen.
Diese Domain ist seit Jahren in der Whitelist da es irgendwann Probleme beim übermitteln von Bewerbungen gegeben hat.
Der Hacker verwendet nun eine Gefälschte Arbeitsmarktservice Mailadresse dadurch hat er dann die einzige Sicherheitsmassnahme umgangen.

Was passiert wenn ein Mitarbeiter eine Infizierte Datei auf einem USB Sick oder einem anderen medium mitbringen ?

Ich würde hier nicht nur auf Spamschutz und Email schutz setzen sondern Mehrstufig schützen.

PS: ich will Hier keine Werbung machen das können sicher auch andere Virenschutzhersteller. Ich kenne nur keinen da wir nur TM einsetzen.

LG Andy
Tharen
Tharen 08.03.2017 um 17:31:06 Uhr
Goto Top
Hallo,

wir haben PANDA, und haben seit dem Vorfall den Filter auch auf *.doc und *.xls erweitert.
zwar nutzen noch einige Geschäftspartner das alte Format aber das ist überschaubar.

Den WorryFree von TM kennen wir nicht... hatten vor X Jahren mal den OSCE

Interessant war den Tipp mit dem FSRM - da habe ich mittlerweile einige Infos im Web gefunden und kann damit probieren.

Wir finden nur keinen Beitrag oder Info, wie wir bei vergleichbarer Attacke, wo der Verschlüsselungstrojaner immer neue Dateiendungen kreiert sinnvoll agieren können. In Verbindung mit dem FSRM finde ich nur Blacklists... kann man das auch über Whitelist steueren ?

Beispiel: auf einer Freigabe darf der User nur bekannte Daten speichern (xlsx,docx,pdf,pptx,etc..)
das ist zwar evlt. umständlich und auch nicht für alle User machbar, aber einen Teil der Freigaben könnte man damit abhandeln.
Chris1994
Chris1994 11.04.2017 um 13:53:02 Uhr
Goto Top
Hallo Zusammen!
Bin neu hier und kommentiere den Beitrag einfach mal - auch wenn das letzte Posting schon eine Weile her ist.
Ich beschäftige mich seit etwa einem Jahr sehr intensiv mit der Ransomware.
Ich habe auch einen Zeitungsartikel für eine Fachzeitschrift zu Locky & Co. geschrieben.
Bin der Thematik also "bestens vertraut".
Schreibt mir einfach kurz per PN, kann euch den Artikel bei Interesse gerne senden und Fragen beantworten.

Meiner Meinung nach ist der beste Lösungsansatz folgender:
Es gibt Systeme, welche ein normales Nutzerverhalten simulieren. Das geht teilweise so in die Tiefe, dass selbst Mausbewegungen emuliert werden. Das passiert in einer eigens für diese E-Mail hochgefahrenen VM. Das Dateiformat spielt hier weniger eine Rolle, da jeder Anhang "entpackt" wird. Egal ob PDF, Word, Excel, Java, Flash... .
Wir haben so ein Gerät bei uns in der Firma und bei vielen Kunden im Einsatz (den Hersteller nenne ich jetzt nicht, möchte keine Werbung machen).
Seit dem kein Ärger mehr mit Verschlüsselungstrojanern und keine Sorge mehr beim öffnen von E-Mail Anhängen.
Fragt doch mal bei den Systemhäusern eures Vertrauens nach dieser oder ähnlicher Technologie.

Grüße
Chris
it-fraggle
it-fraggle 11.03.2018 um 12:11:54 Uhr
Goto Top
Gleich vorweg: ja, das Thema ist alt. Ich weiß es.
Aktuell beschäftige ich mich mit dem Thema und bin auf einen etwas älteren Artikel von Heise Online gestoßen. Sicherlich hat der ein oder andere einen Samba-Server als Fileserver in Betrieb. Habe bei mir daheim und in der Firma mittels Fail2Ban unsere Fileserver etwas schützen können. Vielleicht kann jemand das für sich gut brauchen und kannte es noch nicht.

https://www.heise.de/security/artikel/Erpressungs-Trojaner-wie-Locky-aus ...