Ransomware - alles, was ich für wissenswert halte
Sie sind in aller Munde... und wie es aussieht, wird das vorerst auch so bleiben: die lieben Erpressungssoftwares.
Ich versuche hiermit eine weitere Hilfestellung dagegen zu geben, indem ich klipp und klar einige Wege aufzeige.
Es begab sich vor kurzem, dass ein hier nicht unbekannter Webmaster einen Link von Heise ausbreitete, der tatsächlich die Modeerscheinung Ransomwares (“RSW”) gar zum Anlass nahm, um Windows für mehr und mehr untragbar zu erklären. Nun, das ist definitiv eine dürftige Darstellung, damit fange ich an.
Alle Betriebssysteme, die dem Nutzer erlauben, Daten zu verändern, können ihn dies auch automatisiert tun lassen. Startet der Nutzer also einziges, winziges Skript, kann es um seine kompletten Daten schon geschehen sein - die Frage ist nur, wie einfach man den Nutzer dazu bewegen kann. Das ist nun mit Ransomwares nicht leichter geworden. Sie sind keine "besonders ausgefeilten Schädlinge".
Die allgegenwärtige Aufregung entsteht durch das zwangsläufige Auffallen der Infektion. Millionen von anderen PCs vegetieren in Botnetzen daher, sind seit Jahren infiziert, aber der Nutzer arbeitet neben den Viren her. Solange seine Daten zugänglich bleiben, wird es ihm oft gar nicht auffallen.
Da nun leider mit den Verschlüsselungstrojanern so prima Geld verdient werden kann, ist die Schwemme der ankommenden Mailanhänge, der infizierten „Freewares“, der verseuchten Treiber und was man sonst noch so „trojanisieren“ kann, in der Tat außerordentlich hoch.
Die Menge macht es trotzdem keinen Deut einfacher, sich zu infizieren und ich behaupte, jeder Computernormalo, der bis 3 zählen kann, sollte in der Lage sein, den Ransomwares zu entgehen.
Aber das wird hier nicht zum Thema werden. Ich bete in diesem Forum bestimmt kein „Leute, klickt nicht alles an, was nicht bei 3 auf den Bäumen ist“ zum 100sten Mal runter, ebenso befürworte ich kein Awarenesstraining für User, da dies in Punkto Sicherheit ein Fass ohne Boden ist.
Nehmen wir mal an, wir sind Admins eines Windows-Netzwerkes voller Vollidioten. Sie machen alles falsch und nehmen jede Gelegenheit wahr, sich solche Ransomwares mal aus der Nähe anzusehen.
Wir wollen mit diesen Heinis auch eher nichts zu tun haben und unser letzter Gedanke wäre nun, diese Leute zu schulen – wie können wir trotzdem den drohenden Schaden von ihnen ganz sicher abwenden?
Ich liste mal die technischen Möglichkeiten dazu auf. Ich werde nicht ins Detail gehen, sondern darauf vertrauen, dass Leute, die sich damit befassen müssen, fähig sind, sich die Details zu erarbeiten oder sich in eigenen Fragen auf diesen Artikel zu beziehen.
Zwischenfragen:
Wie sollte nun ein Nutzer, der es auf Teufel komm raus darauf anlegt, so ein Ding loszulassen, alle 5 Punkte überwinden? Bereits an Punkt 1 muss zwangsläufig alles scheitern, was unbekannt ist. 2-5 werden erst dann überhaupt notwendig, wenn man 1 nur lückenhaft umgesetzt bekommt.
Und welcher dieser Schritte ist schwierig? Ich denke alle sind machbar und sollten nicht nur wegen der RSW in jedem Netzwerk seit jeher angestrebt werden.
Also müsste man sich auf No. 1 konzentrieren. Dies ist vielen bewusst – aber warum nun macht das de facto fast niemand? Schaut Euch hier mal um in den Fragen, in wievielen Fragen scheint es denn um die Benutzung von Applocker/SRP zu gehen? Vielleicht in einer pro Monat, ach was, noch seltener. Der Grund ist, dass jeder fürchtet, sich zu verheben und bei mangelhafter Umsetzung als derjenige dar zu stehen, der Sand ins Getriebe streut. Hier muss man gut planen, nur dann flutscht das und dann zahlt es sich auch aus. Und man muss Unterstützung von ganz oben haben, wenn man diesen Schritte gehen will, sonst könnte die Akzeptanz der Maßnahme schnell untergraben werden, sobald es zu ersten Problemen kommt. Aber wann, wenn nicht jetzt, könnte man die Chefs für diesen Gedanken gewinnen?
Jeder, der mal versucht hat 1 umzusetzen, wird schnell gemerkt haben, dass man täglich doch sehr, sehr viele Executables startet, und viele Skripte irgendwo werkeln wollen. Wie soll nun Kleinadmin diese fette, fiese Whitelist erstellen, ohne völlig wuschig zu werden?
Könnte man nicht einfach ab jetzt vielleicht zwei Wochen lang aufzeichnen, was die User starten und das dann als vertraute Basis automatisch für die Zukunft bewilligen (whitelisten)? Ja, das geht, heiß Auditing mode für Applocker – leider nicht für SRP verfügbar.
Könnte man nicht einfach diversen Firmen generell vertrauen, also den Anwendungen, die von diesen stammen? Geht auch, über die Anwendungszertifikate, ist denkbar einfach und geht auch mit SRP.
Könnte man nicht, sobald bei User X etwas geblockt wird, automatisiert einen Antrag zum Admin schicken, diese Executable umgehend zu prüfen und dann per Klick freizuschalten? Klar, das geht, jeder Admin sollte das skripten können, die Hauptarbeit würden hier mal wieder eventgetriggerte Tasks auf den Endpunkten übernehmen, denn es wird nicht nur geblockt, sondern natürlich auch geloggt.
Also ran an den Speck, macht sie platt!
Ich versuche hiermit eine weitere Hilfestellung dagegen zu geben, indem ich klipp und klar einige Wege aufzeige.
Es begab sich vor kurzem, dass ein hier nicht unbekannter Webmaster einen Link von Heise ausbreitete, der tatsächlich die Modeerscheinung Ransomwares (“RSW”) gar zum Anlass nahm, um Windows für mehr und mehr untragbar zu erklären. Nun, das ist definitiv eine dürftige Darstellung, damit fange ich an.
Alle Betriebssysteme, die dem Nutzer erlauben, Daten zu verändern, können ihn dies auch automatisiert tun lassen. Startet der Nutzer also einziges, winziges Skript, kann es um seine kompletten Daten schon geschehen sein - die Frage ist nur, wie einfach man den Nutzer dazu bewegen kann. Das ist nun mit Ransomwares nicht leichter geworden. Sie sind keine "besonders ausgefeilten Schädlinge".
Die allgegenwärtige Aufregung entsteht durch das zwangsläufige Auffallen der Infektion. Millionen von anderen PCs vegetieren in Botnetzen daher, sind seit Jahren infiziert, aber der Nutzer arbeitet neben den Viren her. Solange seine Daten zugänglich bleiben, wird es ihm oft gar nicht auffallen.
Da nun leider mit den Verschlüsselungstrojanern so prima Geld verdient werden kann, ist die Schwemme der ankommenden Mailanhänge, der infizierten „Freewares“, der verseuchten Treiber und was man sonst noch so „trojanisieren“ kann, in der Tat außerordentlich hoch.
Die Menge macht es trotzdem keinen Deut einfacher, sich zu infizieren und ich behaupte, jeder Computernormalo, der bis 3 zählen kann, sollte in der Lage sein, den Ransomwares zu entgehen.
Aber das wird hier nicht zum Thema werden. Ich bete in diesem Forum bestimmt kein „Leute, klickt nicht alles an, was nicht bei 3 auf den Bäumen ist“ zum 100sten Mal runter, ebenso befürworte ich kein Awarenesstraining für User, da dies in Punkto Sicherheit ein Fass ohne Boden ist.
Nehmen wir mal an, wir sind Admins eines Windows-Netzwerkes voller Vollidioten. Sie machen alles falsch und nehmen jede Gelegenheit wahr, sich solche Ransomwares mal aus der Nähe anzusehen.
Wir wollen mit diesen Heinis auch eher nichts zu tun haben und unser letzter Gedanke wäre nun, diese Leute zu schulen – wie können wir trotzdem den drohenden Schaden von ihnen ganz sicher abwenden?
Ich liste mal die technischen Möglichkeiten dazu auf. Ich werde nicht ins Detail gehen, sondern darauf vertrauen, dass Leute, die sich damit befassen müssen, fähig sind, sich die Details zu erarbeiten oder sich in eigenen Fragen auf diesen Artikel zu beziehen.
- Unbekannte Anwendungen unstartbar machen (Applocker-GPOs/Softwareeinschränkungs-GPOs ("SRP"))
- Kapselung des Browsings auf vom Datennetz getrennte Systeme, Browsing nur via RemoteApp
- Jodels Werk) Evtl. ist es sogar sinnvoll, die erlaubte Speicherung per Whitelisting zu regeln ("nur.pdf/.jpg/.html/.docx/...")
- Usergebundene Autostartbereiche überwachen/verschließen (Heises kafu)
- Backups aller Nutzerdaten automatisieren und diese natürlich nicht dem Nutzer zugänglich machen
Zwischenfragen:
Wie sollte nun ein Nutzer, der es auf Teufel komm raus darauf anlegt, so ein Ding loszulassen, alle 5 Punkte überwinden? Bereits an Punkt 1 muss zwangsläufig alles scheitern, was unbekannt ist. 2-5 werden erst dann überhaupt notwendig, wenn man 1 nur lückenhaft umgesetzt bekommt.
Und welcher dieser Schritte ist schwierig? Ich denke alle sind machbar und sollten nicht nur wegen der RSW in jedem Netzwerk seit jeher angestrebt werden.
Also müsste man sich auf No. 1 konzentrieren. Dies ist vielen bewusst – aber warum nun macht das de facto fast niemand? Schaut Euch hier mal um in den Fragen, in wievielen Fragen scheint es denn um die Benutzung von Applocker/SRP zu gehen? Vielleicht in einer pro Monat, ach was, noch seltener. Der Grund ist, dass jeder fürchtet, sich zu verheben und bei mangelhafter Umsetzung als derjenige dar zu stehen, der Sand ins Getriebe streut. Hier muss man gut planen, nur dann flutscht das und dann zahlt es sich auch aus. Und man muss Unterstützung von ganz oben haben, wenn man diesen Schritte gehen will, sonst könnte die Akzeptanz der Maßnahme schnell untergraben werden, sobald es zu ersten Problemen kommt. Aber wann, wenn nicht jetzt, könnte man die Chefs für diesen Gedanken gewinnen?
Jeder, der mal versucht hat 1 umzusetzen, wird schnell gemerkt haben, dass man täglich doch sehr, sehr viele Executables startet, und viele Skripte irgendwo werkeln wollen. Wie soll nun Kleinadmin diese fette, fiese Whitelist erstellen, ohne völlig wuschig zu werden?
Könnte man nicht einfach ab jetzt vielleicht zwei Wochen lang aufzeichnen, was die User starten und das dann als vertraute Basis automatisch für die Zukunft bewilligen (whitelisten)? Ja, das geht, heiß Auditing mode für Applocker – leider nicht für SRP verfügbar.
Könnte man nicht einfach diversen Firmen generell vertrauen, also den Anwendungen, die von diesen stammen? Geht auch, über die Anwendungszertifikate, ist denkbar einfach und geht auch mit SRP.
Könnte man nicht, sobald bei User X etwas geblockt wird, automatisiert einen Antrag zum Admin schicken, diese Executable umgehend zu prüfen und dann per Klick freizuschalten? Klar, das geht, jeder Admin sollte das skripten können, die Hauptarbeit würden hier mal wieder eventgetriggerte Tasks auf den Endpunkten übernehmen, denn es wird nicht nur geblockt, sondern natürlich auch geloggt.
Also ran an den Speck, macht sie platt!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 297825
Url: https://administrator.de/knowledge/ransomware-alles-was-ich-fuer-wissenswert-halte-297825.html
Ausgedruckt am: 22.12.2024 um 14:12 Uhr
38 Kommentare
Neuester Kommentar
Zitat von @DerWoWusste:
Also müsste man sich auf No. 1 konzentrieren. Dies ist vielen bewusst – aber warum nun macht das de facto fast niemand?
Also müsste man sich auf No. 1 konzentrieren. Dies ist vielen bewusst – aber warum nun macht das de facto fast niemand?
Das kostet Geld (und/oder Zeit). Das spürt man als Firma "sofort": Das Geld oder der Mitarbeiter fehlt irgendwoanders. Dagegen ist der potentielle Verlust in der Zukunft so abstrakt, daß das verdrängt wird.
Wenn man länger im Bereich IT-Sicherheit tätig ist, ist es immer dasselbe Problem, auf das man bei Kunden trifft. Der Spatz in der Hand ist wichtiger als die Taube auf dem Dach, auch wenn es die Taube und nicht der Spatz ist, der einem auf den Kopf kackt.
lks
PS: Bei mir rennst Du offene Türen damit ein.
danke für die Zusammenfassung
Bezüglich Applocker noch ein Hinweis:
In der Ereignisanzeige finden sich entsprechende Log-Einträge wenn
eine App blockiert wurde. Wichtig dabei ist ist: Im Ereignislog des jeweiligen PCs / Servers ;)
Wir haben festgestellt dass es doch einige Programme gibt die temeporär
Anwendungen in AppData ablegen, hier mussten wir in einigen Fällen zusätzliche
Regeln hinzufügen.
Bezüglich Applocker noch ein Hinweis:
In der Ereignisanzeige finden sich entsprechende Log-Einträge wenn
eine App blockiert wurde. Wichtig dabei ist ist: Im Ereignislog des jeweiligen PCs / Servers ;)
Wir haben festgestellt dass es doch einige Programme gibt die temeporär
Anwendungen in AppData ablegen, hier mussten wir in einigen Fällen zusätzliche
Regeln hinzufügen.
Hallo.
Es ist köstlich, an einem Mittwoch morgen dies hier zu lesen:
Das trifft den Nagel sowas von auf den Kopf, dürfte Grundzustand in vielen Windows-Netzwerken sein.
Trotzdem:
Ich bin hier Mitglied im Administrator.de-Forum, habe mir über die Jahre hier das Admin-Level "2" erarbeitet - ob nun zurecht oder nicht, mögen andere beurteilen, jedenfalls habe ich mich stets sehr bemüht, nicht nur Blödsinn zu schreiben und nicht nur unsinnige Fragen zu stellen, bloß um Punkte zu sammeln.
Dennoch bringe ich Deinen Punkt 1 schon nicht fertig. Mir fehlt schlichtweg das Know-How und die Zeit dazu. Fehlendes Know-How könnte ich durch den Faktor Zeit ersetzen, wenn ich entsprechend viel Zeit dazu nutzen würde, mir beispielsweise das, was in Deinem Punkt 1 steht, zu erarbeiten, wozu ich mich grundsätzlich schon in der Lage sehe. Doch genau dies, also die Zeit dazu, habe ich nicht. Wenn, dann müßte ich das (wieder mal) für teuer Geld (120,- EUR netto / Std.) an ein Systemhaus vergeben. Und ich denke, das geht vielen, ich nenne sie mal "Klein-Admins", die mehr im unteren KMU-Segment zu Hause sind, ähnlich wie mir, obwohl sie, so wie ich, hauptamtlich IT machen.
Natürlich braucht es für das aktuelle Ransomware-Problem trotzdem Lösungen bzw. zumindest Verbesserungen.
Ich hab' tatsächlich die Leute "By Walking Around" einzeln geschult, pro Mitarbeiter ca. 15 Minuten, Ihnen gezeigt, wo die Géfahren liegen, wie mit E-Mail-Anlagen umgegangen werden muß (die bekannten Hinweise, muß ich hier nicht alle aufzählen, das weiß wirklich jeder Admin) undsoweiter undsofort.
Technisch habe ich nach diesen Hinweisen http://esupport.trendmicro.com/solution/en-US/1039099.aspx#collapseOne unser TrendMicro WFBS deutlich schärfer gestellt.
Zu mehr sehe ich mich derzeit nicht in der Lage und hoffe, daß meine Leute weiterhin "spuren", bisher gab's nämlich noch keine Probleme.
Trotzdem natürlich vielen, vielen Dank für die Darstellung Deiner Vorgehensweise, die für viele sicherlich sehr hilfreich ist.
Viele Grüße
von
departure69
Es ist köstlich, an einem Mittwoch morgen dies hier zu lesen:
Nehmen wir mal an, wir sind Admins eines Windows-Netzwerkes voller Vollidioten. Sie machen alles falsch und nehmen jede Gelegenheit wahr, sich solche Ransomwares mal aus der Nähe anzusehen.
Das trifft den Nagel sowas von auf den Kopf, dürfte Grundzustand in vielen Windows-Netzwerken sein.
Trotzdem:
Ich bin hier Mitglied im Administrator.de-Forum, habe mir über die Jahre hier das Admin-Level "2" erarbeitet - ob nun zurecht oder nicht, mögen andere beurteilen, jedenfalls habe ich mich stets sehr bemüht, nicht nur Blödsinn zu schreiben und nicht nur unsinnige Fragen zu stellen, bloß um Punkte zu sammeln.
Dennoch bringe ich Deinen Punkt 1 schon nicht fertig. Mir fehlt schlichtweg das Know-How und die Zeit dazu. Fehlendes Know-How könnte ich durch den Faktor Zeit ersetzen, wenn ich entsprechend viel Zeit dazu nutzen würde, mir beispielsweise das, was in Deinem Punkt 1 steht, zu erarbeiten, wozu ich mich grundsätzlich schon in der Lage sehe. Doch genau dies, also die Zeit dazu, habe ich nicht. Wenn, dann müßte ich das (wieder mal) für teuer Geld (120,- EUR netto / Std.) an ein Systemhaus vergeben. Und ich denke, das geht vielen, ich nenne sie mal "Klein-Admins", die mehr im unteren KMU-Segment zu Hause sind, ähnlich wie mir, obwohl sie, so wie ich, hauptamtlich IT machen.
Natürlich braucht es für das aktuelle Ransomware-Problem trotzdem Lösungen bzw. zumindest Verbesserungen.
Ich hab' tatsächlich die Leute "By Walking Around" einzeln geschult, pro Mitarbeiter ca. 15 Minuten, Ihnen gezeigt, wo die Géfahren liegen, wie mit E-Mail-Anlagen umgegangen werden muß (die bekannten Hinweise, muß ich hier nicht alle aufzählen, das weiß wirklich jeder Admin) undsoweiter undsofort.
Technisch habe ich nach diesen Hinweisen http://esupport.trendmicro.com/solution/en-US/1039099.aspx#collapseOne unser TrendMicro WFBS deutlich schärfer gestellt.
Zu mehr sehe ich mich derzeit nicht in der Lage und hoffe, daß meine Leute weiterhin "spuren", bisher gab's nämlich noch keine Probleme.
Trotzdem natürlich vielen, vielen Dank für die Darstellung Deiner Vorgehensweise, die für viele sicherlich sehr hilfreich ist.
Viele Grüße
von
departure69
Sehr schön geschrieben!
Deine Informationen sind äußerst gehaltvoll, Browsing über Remote-App haben wir bisher noch gar nicht in Erwägung gezogen, haben aber dafür halt alles an Sicherung neu konzeptioniert und sind nun soweit, dass wir binnen weniger Stunden den Großteil wieder herstellen können.
Nun beginnen wir damit nach und nach die alten Strukturen (Netzlaufwerke, Schreibzugriffe und Scanner-Ordner) zu eliminieren und da komplett anders ran zu gehen.
Dateiüberwachung ist auch eingerichtet, mit Bing auf unseren IPhones (Mail).
Das einzige, was wir uns noch nicht trauen ist, der automatische Shutdown, des Wirtsystems.....
Hat jemand damit und mit alternativen Ordnerstrukturen Erfahrungen oder auch Hinweise und Tips?
*pro Mitarbeiter ca. 15 Minuten*
Dann müsste ich knapp 70 Stunden ohne Laufwege einplanen :D
Deine Informationen sind äußerst gehaltvoll, Browsing über Remote-App haben wir bisher noch gar nicht in Erwägung gezogen, haben aber dafür halt alles an Sicherung neu konzeptioniert und sind nun soweit, dass wir binnen weniger Stunden den Großteil wieder herstellen können.
Nun beginnen wir damit nach und nach die alten Strukturen (Netzlaufwerke, Schreibzugriffe und Scanner-Ordner) zu eliminieren und da komplett anders ran zu gehen.
Dateiüberwachung ist auch eingerichtet, mit Bing auf unseren IPhones (Mail).
Das einzige, was wir uns noch nicht trauen ist, der automatische Shutdown, des Wirtsystems.....
Hat jemand damit und mit alternativen Ordnerstrukturen Erfahrungen oder auch Hinweise und Tips?
*pro Mitarbeiter ca. 15 Minuten*
Dann müsste ich knapp 70 Stunden ohne Laufwege einplanen :D
Zitat von @Robbn-MB:
Das einzige, was wir uns noch nicht trauen ist, der automatische Shutdown, des Wirtsystems.....
Das einzige, was wir uns noch nicht trauen ist, der automatische Shutdown, des Wirtsystems.....
Eine idee wäre es ein autoit-script anzustossen, was a) ne mail rausschickt b) nur den Auslöser via Firewall aussperrt
Dadurch wären dann die anderen User nicht betrofffen.
Mit dem Browsing hört sich prinzipiell auch sehr gut an,
allerdings wird bei uns auch vieles für die Arbeit heruntergeladen,
hat da jmd eine gute Idee wie man es dem User möglichst einfach macht?
Zitat von @departure69:
Dennoch bringe ich Deinen Punkt 1 schon nicht fertig. Mir fehlt schlichtweg das Know-How und die Zeit dazu. Fehlendes Know-How könnte ich durch den Faktor Zeit ersetzen, wenn ich entsprechend viel Zeit dazu nutzen würde, mir beispielsweise das, was in Deinem Punkt 1 steht, zu erarbeiten, wozu ich mich grundsätzlich schon in der Lage sehe. Doch genau dies, also die Zeit dazu, habe ich nicht. Wenn, dann müßte ich das (wieder mal) für teuer Geld (120,- EUR netto / Std.) an ein Systemhaus vergeben. Und ich denke, das geht vielen, ich nenne sie mal "Klein-Admins", die mehr im unteren KMU-Segment zu Hause sind, ähnlich wie mir, obwohl sie, so wie ich, hauptamtlich IT machen.
Dennoch bringe ich Deinen Punkt 1 schon nicht fertig. Mir fehlt schlichtweg das Know-How und die Zeit dazu. Fehlendes Know-How könnte ich durch den Faktor Zeit ersetzen, wenn ich entsprechend viel Zeit dazu nutzen würde, mir beispielsweise das, was in Deinem Punkt 1 steht, zu erarbeiten, wozu ich mich grundsätzlich schon in der Lage sehe. Doch genau dies, also die Zeit dazu, habe ich nicht. Wenn, dann müßte ich das (wieder mal) für teuer Geld (120,- EUR netto / Std.) an ein Systemhaus vergeben. Und ich denke, das geht vielen, ich nenne sie mal "Klein-Admins", die mehr im unteren KMU-Segment zu Hause sind, ähnlich wie mir, obwohl sie, so wie ich, hauptamtlich IT machen.
Spiegelt genau meien Erfahrung bei den KMUs wieder, die entweder schon meine Kunden sind oder meine Kunden werden wollen.
Weder ist die manpower da, sich dahinterzuklemmen, noch das Geld, das machen zu lassen, wobei letzteres eher meist ein Sparen am falschen Ende ist. Da ich meine Arbeitszeit auchnicht herschenken kann (Frau, Kinder und Hund wollen auch etwas zu futtern) wird der Zustand beibehalten, bis ich meist gerufen werde, um die Trümmer nach dem einschlag wegzuräumen.
lks
Moin DerWussteWo,
ich finde deine Umschreibung für mich sehr wahrscheinlich sehr lustig:
Also, wenn ich es bin, da bin ja richtig geschmeichelt.
Aber mal kurz zur Sache.
Also eine Virensoftware die jede Sicherheitsmaßnahme umgehen kann, findet kein Administrator lustig.
Mir ist lieber ein Programm einzusetzen, was zwar nicht ausgereift ist, aber wesentlich schlimmeres verhindert.
Deshalb habe ich mit Malwarebyte Antiramsomware gute Erfahrung gemacht.
Gut ich habe studiert, aber ich würde nicht von mir behaupten, das ich ein Vollidiot wäre.
Das sollen andere entscheiden !
Gruss
Werner
ich finde deine Umschreibung für mich sehr wahrscheinlich sehr lustig:
Es begab sich vor kurzem, dass ein hier nicht unbekannter Webmaster einen Link von Heise ausbreitete, der tatsächlich die Modeerscheinung Ransomwares (“RSW”) gar zum Anlass nahm, um Windows für mehr und mehr untragbar zu erklären. Nun, das ist definitiv eine dürftige Darstellung, damit fange ich an. Alle Betriebssysteme, die dem Nutzer erlauben, Daten zu verändern, können ihn dies auch automatisiert tun lassen. Startet der Nutzer also einziges, winziges Skript, kann es um seine kompletten Daten schon geschehen sein - die Frage ist nur, wie einfach man den Nutzer dazu bewegen kann. Das ist nun mit Ransomwares nicht leichter geworden. Sie sind keine "besonders ausgefeilten Schädlinge".
Also, wenn ich es bin, da bin ja richtig geschmeichelt.
Aber mal kurz zur Sache.
Also eine Virensoftware die jede Sicherheitsmaßnahme umgehen kann, findet kein Administrator lustig.
Mir ist lieber ein Programm einzusetzen, was zwar nicht ausgereift ist, aber wesentlich schlimmeres verhindert.
Deshalb habe ich mit Malwarebyte Antiramsomware gute Erfahrung gemacht.
Gut ich habe studiert, aber ich würde nicht von mir behaupten, das ich ein Vollidiot wäre.
Das sollen andere entscheiden !
Gruss
Werner
Moin DerWoWusste,
danke erstmal.
ja ich habe das Tool auf alle PC im Einsatz, und das hat mich vor wesentlich Schlimmeren bewahrt.
3 PC sind vom Virus betroffen worden ( ca. 5%) und bislang waren nur 3-4 Dateien auf den PC s zerstört.
So konnte ich Daten von den PC retten und eine Neuinstallation von Windows 10 für diese durchführen.
Gruss
Werner
danke erstmal.
ja ich habe das Tool auf alle PC im Einsatz, und das hat mich vor wesentlich Schlimmeren bewahrt.
3 PC sind vom Virus betroffen worden ( ca. 5%) und bislang waren nur 3-4 Dateien auf den PC s zerstört.
So konnte ich Daten von den PC retten und eine Neuinstallation von Windows 10 für diese durchführen.
Gruss
Werner
Sehr gute Zusammenfassung.
Ich habe auch die Erstellung von Dateien mit den Endungen der bisher (mir) bekannten Varianten geblockt.
Ich frage mich aber, ob das sinnvoll ist.
Wenn der Virus zuerst verschlüsselt und dann umbenennt, kann ich nicht rausfinden welche Dateien betroffen sind, da sie ja nicht anders heißen. Die Dateien sind aber trotzdem verschlüsselt. Das wäre ja schlechter als anders Rum, oder?
Ich habe mir mittels vb-script und nagios ein Benachrichtigungssystem gebastelt, bei dem der infizierte Rechner automatisch heruntergefahren wird und ich per SMS verständigt werde. Ist zwar keine Lösung, so bekommen wir es aber rechtzeitig mit und wissen gleich welcher PC infiziert ist.
Zum RemoteApp: Ist hier normales Surfen mögluch oder gibt es Einschränkungen? Können trotzdem z.b. lokal Dateien heruntergeladen werden?
Danke!
Ich habe auch die Erstellung von Dateien mit den Endungen der bisher (mir) bekannten Varianten geblockt.
Ich frage mich aber, ob das sinnvoll ist.
Wenn der Virus zuerst verschlüsselt und dann umbenennt, kann ich nicht rausfinden welche Dateien betroffen sind, da sie ja nicht anders heißen. Die Dateien sind aber trotzdem verschlüsselt. Das wäre ja schlechter als anders Rum, oder?
Ich habe mir mittels vb-script und nagios ein Benachrichtigungssystem gebastelt, bei dem der infizierte Rechner automatisch heruntergefahren wird und ich per SMS verständigt werde. Ist zwar keine Lösung, so bekommen wir es aber rechtzeitig mit und wissen gleich welcher PC infiziert ist.
Zum RemoteApp: Ist hier normales Surfen mögluch oder gibt es Einschränkungen? Können trotzdem z.b. lokal Dateien heruntergeladen werden?
Danke!
Zitat von @Wern2000:
Eine dieser Mails hatte einen erfundenen Namen den ich als zweit acc auf EBay hatte und zwar NUR dort.
Eine dieser Mails hatte einen erfundenen Namen den ich als zweit acc auf EBay hatte und zwar NUR dort.
Auch ebay-Mitarbeiter können nachlässig oder bestechlich sein.
lks
Zitat von @Lochkartenstanzer:
Auch ebay-Mitarbeiter können nachlässig oder bestechlich sein.
lks
Zitat von @Wern2000:
Eine dieser Mails hatte einen erfundenen Namen den ich als zweit acc auf EBay hatte und zwar NUR dort.
Eine dieser Mails hatte einen erfundenen Namen den ich als zweit acc auf EBay hatte und zwar NUR dort.
Auch ebay-Mitarbeiter können nachlässig oder bestechlich sein.
lks
die mail kam angeblich von ebay und ein anderes mit gleichen namen von amazon obwohl ich den bei amazon gar nicht verwende.
Mir gehts da ähnlich wie @departure69
Ich bin im der Firma zum einen neu und zum anderen nur der IT-Betreuer, also kein richtiger Admin. Ich bin das Bindeglied zwischen ERP-Anbieter und Mitarbieter, sowie zwischen Systemhaus und Geschäftsleitung.
Das Systemhaus selber ist da schon sehr gut. Man spricht die selbe Sprache und die sind auch nicht zu weit entfernt. Preislich geht das auch alles in Ordnung.
Es ist wirklich so, dass in Sachen IT die GL wenig Augen dafür hat, weil eben keine greifbaren Zahlen da sind.
Okay, jetzt wurde es etwas leichter, nachdem am Montag ein Nebenbetrieb wegen Locky dicht gemacht hat. Ich hab zumindest bei uns bereits letztes Jahr als ich hier angefangen hab, ein paar GPOs gesetzt um Makros und Scripts zu deaktivieren.
Die Geschichte von wegen RemoteApp-Browsing und das Absichern der Fileserver gefallen mir schon sehr gut. Ich bin mir sicher, dass wir da vieles Umsetzen. da haperts eben nur an der sofortigen Umsetzung.
Das mit Applocker bzw. Softwareeinschränkung per GPO hab ich jetzt testweise auch schon an. das wird aber pfriemelig, weil hier so stark heterogen und alles wild gewachsen, dass es viele, viele Ausnahmen gibt.
Trotzdem find ich's schon mal gut, wenn's hier so ein gesammeltes Wissen gibt.
Ich bin im der Firma zum einen neu und zum anderen nur der IT-Betreuer, also kein richtiger Admin. Ich bin das Bindeglied zwischen ERP-Anbieter und Mitarbieter, sowie zwischen Systemhaus und Geschäftsleitung.
Das Systemhaus selber ist da schon sehr gut. Man spricht die selbe Sprache und die sind auch nicht zu weit entfernt. Preislich geht das auch alles in Ordnung.
Es ist wirklich so, dass in Sachen IT die GL wenig Augen dafür hat, weil eben keine greifbaren Zahlen da sind.
Okay, jetzt wurde es etwas leichter, nachdem am Montag ein Nebenbetrieb wegen Locky dicht gemacht hat. Ich hab zumindest bei uns bereits letztes Jahr als ich hier angefangen hab, ein paar GPOs gesetzt um Makros und Scripts zu deaktivieren.
Die Geschichte von wegen RemoteApp-Browsing und das Absichern der Fileserver gefallen mir schon sehr gut. Ich bin mir sicher, dass wir da vieles Umsetzen. da haperts eben nur an der sofortigen Umsetzung.
Das mit Applocker bzw. Softwareeinschränkung per GPO hab ich jetzt testweise auch schon an. das wird aber pfriemelig, weil hier so stark heterogen und alles wild gewachsen, dass es viele, viele Ausnahmen gibt.
Trotzdem find ich's schon mal gut, wenn's hier so ein gesammeltes Wissen gibt.
Hi,
wir hatten vor Monaten Kontakt mit der Firma seculution, die bieten genau das an (1).
Ein Programme guckt sich erstmal alles an und nur das wird dann erlaubt. Konnte man alles gut einstellen, hörte sich nicht schlecht an.
Wurde trotzdem von Oberen verworfen weil die Teststellung Geld kostete ..... , nun testen wir andere AV-Lösungen
Wollte ich nur mal einwerfen, ich arbeite da nicht und bekomme nichts dafür
http://www.echte-sicherheit.de/
Klar geht es wie oben beschrieben, nur fand ich das von seculution auch nett
VG,
Deepsys
PS: Noch Lockyfrei, wir blocken alle E-Mails mit Anhang erstmal (kann der User dann freigeben lassen). Hat ein paar Trojaner verhindert.
wir hatten vor Monaten Kontakt mit der Firma seculution, die bieten genau das an (1).
Ein Programme guckt sich erstmal alles an und nur das wird dann erlaubt. Konnte man alles gut einstellen, hörte sich nicht schlecht an.
Wurde trotzdem von Oberen verworfen weil die Teststellung Geld kostete ..... , nun testen wir andere AV-Lösungen
Wollte ich nur mal einwerfen, ich arbeite da nicht und bekomme nichts dafür
http://www.echte-sicherheit.de/
Klar geht es wie oben beschrieben, nur fand ich das von seculution auch nett
VG,
Deepsys
PS: Noch Lockyfrei, wir blocken alle E-Mails mit Anhang erstmal (kann der User dann freigeben lassen). Hat ein paar Trojaner verhindert.
Zitat von @Deepsys:
Wurde trotzdem von Oberen verworfen weil die Teststellung Geld kostete ..... , nun testen wir andere AV-Lösungen
Wurde trotzdem von Oberen verworfen weil die Teststellung Geld kostete ..... , nun testen wir andere AV-Lösungen
Ja, wie ich oben schon sagte: Es kost' was (Zeit und Geld), also machen wir das nciht.
lks
Irgendwie stehen wir alle vor dem gleichen Problem: Wir Admins wollen, dass nichts unser Netz stört, die Mitarbeiter wollen ungestört arbeiten.
Das Admin "stören" und das Mitarbeiter "ungestört" sind leider nicht deckungsgleich, trotz gleichem Wortstamm
Doch nun zu uns: Industrieller Mittelstand, ca 800 Mitarbeiter weltweit mit ca. 300 Computerarbeitsplätzen, 5 Sprachen im Unternehmen.
Der erste Kontakt mit TeslaCrypt im Dezember 2015 war zum Glück ohne Folgen, da der betroffene Anwender nach der Erstinstallation von Office auf dem Rechner das Ausführen der Makros im Standard belassen hatte (nicht ausführen). Die Mail kam von einer Kundenadresse und sah - augenscheinlich - "gut" aus.
Nach Analyse der Worddatei wurde sofort eine GPO für die gesamte Domäne gesetzt, die das Ausführen von Office Makros auf allen Rechnern unterbindet.
Im Anschluß wurde der Virenscanner auf dem Mailserver so eingerichtet, dass er alle aus dem Internet eingehenden Officedokumente in den Formaten der letzten 20 Jahren in die Quarantäne verschiebt, sowie alle Mails mit ausführbaren Dateien blockt (Erweiterungen EXE, COM, BAT, CMD, VB, VBS, PS1, SCR, ...).
Mails aus der Quarantäne werden manuell überprüft und zugestellt oder gelöscht (falls gefährlich).
Samples werden regelmäßig an den Antivirenhersteller verschickt, inzwischen über 30 Stück.
Zusätzlich wird durch die Antivirensoftware ein permanenter Exchangestore Scan vorgenommen, um historische "Treffer" zu eliminieren und Mails im "Honeypot" zu löschen (quasi als Kontrolle).
Was nicht ins Netz kommt, kann auch nicht für "Durcheinander" sorgen.
Trotzdem mache ich mir Gedanken darüber, wie man die Sicherheit weiter erhöhen könnte (blocken von ausführbaren Programmen in User- und Programmdata Verzeichnissen. Allerdings scheitert das zum Teil daran, dass wir nur Windows Professional einsetzen und nicht Enterprise (AppLocker GPO).
Darüber hinaus werden die Mitarbeiter regelmäßig über die Maßnahmen informiert und auch darüber, was sie zu Hause (auch privat) tun können. Dazu gibt es dann ab und zu einen verlinkten Artikel auf bekanntgewordene Infektionsfälle.
Für weitere Ideen bin ich offen.
Das Admin "stören" und das Mitarbeiter "ungestört" sind leider nicht deckungsgleich, trotz gleichem Wortstamm
Doch nun zu uns: Industrieller Mittelstand, ca 800 Mitarbeiter weltweit mit ca. 300 Computerarbeitsplätzen, 5 Sprachen im Unternehmen.
Der erste Kontakt mit TeslaCrypt im Dezember 2015 war zum Glück ohne Folgen, da der betroffene Anwender nach der Erstinstallation von Office auf dem Rechner das Ausführen der Makros im Standard belassen hatte (nicht ausführen). Die Mail kam von einer Kundenadresse und sah - augenscheinlich - "gut" aus.
Nach Analyse der Worddatei wurde sofort eine GPO für die gesamte Domäne gesetzt, die das Ausführen von Office Makros auf allen Rechnern unterbindet.
Im Anschluß wurde der Virenscanner auf dem Mailserver so eingerichtet, dass er alle aus dem Internet eingehenden Officedokumente in den Formaten der letzten 20 Jahren in die Quarantäne verschiebt, sowie alle Mails mit ausführbaren Dateien blockt (Erweiterungen EXE, COM, BAT, CMD, VB, VBS, PS1, SCR, ...).
Mails aus der Quarantäne werden manuell überprüft und zugestellt oder gelöscht (falls gefährlich).
Samples werden regelmäßig an den Antivirenhersteller verschickt, inzwischen über 30 Stück.
Zusätzlich wird durch die Antivirensoftware ein permanenter Exchangestore Scan vorgenommen, um historische "Treffer" zu eliminieren und Mails im "Honeypot" zu löschen (quasi als Kontrolle).
Was nicht ins Netz kommt, kann auch nicht für "Durcheinander" sorgen.
Trotzdem mache ich mir Gedanken darüber, wie man die Sicherheit weiter erhöhen könnte (blocken von ausführbaren Programmen in User- und Programmdata Verzeichnissen. Allerdings scheitert das zum Teil daran, dass wir nur Windows Professional einsetzen und nicht Enterprise (AppLocker GPO).
Darüber hinaus werden die Mitarbeiter regelmäßig über die Maßnahmen informiert und auch darüber, was sie zu Hause (auch privat) tun können. Dazu gibt es dann ab und zu einen verlinkten Artikel auf bekanntgewordene Infektionsfälle.
Für weitere Ideen bin ich offen.
Als nächsten Schritt habe ich nun den Ressourcen-Manager für Dateiserver (ist ab Server 2008 dabei) auf den beiden Fileservern aktiviert und ihm einen großen Schwung von typischen Encryptor File Extensions zur aktiven Überwachung mitgegeben.
Die Installation und erste Konfiguration hat ca. 10 Minuten pro Fileserver gedauert.
Wenn jetzt irgendjemand versucht, eine Datei mit dem Namen "irgendwas.locky" anzulegen, erhalte ich eine Mail, in der die Informationen enthalten sind, wer wann versucht hat Dateien auf dem Fileserver zu verschlüsseln. Man könnte hier auch noch ein automatisches Shutdown Script für den jeweiligen PC unterbringen.
Kostet nahezu keine zusätzlichen Ressourcen und läuft als Zusatzabsicherung im Hintergrund.
Die Installation und erste Konfiguration hat ca. 10 Minuten pro Fileserver gedauert.
- Dateigruppe "Ransomware" anlegen, da dann alle Dateiname und Extensions aus dem nachfolgenden Artikel angelegt "https://www.reddit.com/r/sysadmin/comments/46361k/list_of_ransomware_extensions_and_known_ransom/"
- Dateiprüfungsvorlage "Ransomware blockieren" abgelegt
- Aktives Prüfen
- Dateigruppe "Ransomware"
- E-Mailnachricht an Admin, ansonsten alles im Standard stehen lassen
- Pro Laufwerk eine Dateiprüfung eingerichtet
Wenn jetzt irgendjemand versucht, eine Datei mit dem Namen "irgendwas.locky" anzulegen, erhalte ich eine Mail, in der die Informationen enthalten sind, wer wann versucht hat Dateien auf dem Fileserver zu verschlüsseln. Man könnte hier auch noch ein automatisches Shutdown Script für den jeweiligen PC unterbringen.
Kostet nahezu keine zusätzlichen Ressourcen und läuft als Zusatzabsicherung im Hintergrund.
Zitat von @1Werner1:
Also eine Virensoftware die jede Sicherheitsmaßnahme umgehen kann, findet kein Administrator lustig.
Mir ist lieber ein Programm einzusetzen, was zwar nicht ausgereift ist, aber wesentlich schlimmeres verhindert.
Deshalb habe ich mit Malwarebyte Antiramsomware gute Erfahrung gemacht.
Also eine Virensoftware die jede Sicherheitsmaßnahme umgehen kann, findet kein Administrator lustig.
Mir ist lieber ein Programm einzusetzen, was zwar nicht ausgereift ist, aber wesentlich schlimmeres verhindert.
Deshalb habe ich mit Malwarebyte Antiramsomware gute Erfahrung gemacht.
Hallo,
ich habe das Tool auch auf einigen Rechnern installiert, musste es aber teilweise wieder deinstallieren, da die Rechner teilweise total ausgebremst wurden. Weder der Aufbau von Webseiten, als auch lokale Anwendungen waren noch verwendbar.
Konnte leider nicht herausbekommen, was da eigentlich passierte.
Nach einem Neustart des Rechners hat es wieder eine undefinierbare Zeit funktioniert.
Gruß GWachsmuth
Hallo zusammen,
in unserer Firma gab es seit Anfang Februar bereits 6 Infektionen mit TeslaCrypt 3.
Wir konnten den Schaden durch folgende Maßnahmen sehr gering halten (leider nicht beim ersten Befall):
- Auf allen Windows-Servern Monitoring auf die bekannten Endungen eingestellt.
- Aufbau eines Honeypot. Eigener Server mit ca. 2 Mio Dateien und als erstes Netzlaufwerk beim User gemappt. Monitoring auf ALLE Änderungen.
- Surfen nur noch über einen Terminalserver.
Damit haben wir aktuell Ruhe.
Gruß
in unserer Firma gab es seit Anfang Februar bereits 6 Infektionen mit TeslaCrypt 3.
Wir konnten den Schaden durch folgende Maßnahmen sehr gering halten (leider nicht beim ersten Befall):
- Auf allen Windows-Servern Monitoring auf die bekannten Endungen eingestellt.
- Aufbau eines Honeypot. Eigener Server mit ca. 2 Mio Dateien und als erstes Netzlaufwerk beim User gemappt. Monitoring auf ALLE Änderungen.
- Surfen nur noch über einen Terminalserver.
Damit haben wir aktuell Ruhe.
Gruß
Danke für die Info!
Letzte Frage: Habt ihr im Honeypot Dateien mit Inhalt oder nur leere Dokumente erstellt? Das wird dem crypter aber wahrscheinlich ohnehin egal sein...
Möchte auch das Browsen über Terminalserver implementieren. Bei ca. 100 User werden aber die RDP-CALs etwas teuer.
Bin deshalb noch auf der Suche nach einer Alternative mit Linux. Bin aber leider noch nicht fündig geworden. Hat jemand vielleicht eine Idee?
Wobei ich mir auch gerade die Anwendungsvirtualisierung mit der Software bufferzone anschaue...
Letzte Frage: Habt ihr im Honeypot Dateien mit Inhalt oder nur leere Dokumente erstellt? Das wird dem crypter aber wahrscheinlich ohnehin egal sein...
Möchte auch das Browsen über Terminalserver implementieren. Bei ca. 100 User werden aber die RDP-CALs etwas teuer.
Bin deshalb noch auf der Suche nach einer Alternative mit Linux. Bin aber leider noch nicht fündig geworden. Hat jemand vielleicht eine Idee?
Wobei ich mir auch gerade die Anwendungsvirtualisierung mit der Software bufferzone anschaue...
https://bitbucket.org/subheadx/cryptolockerfileextensions gibt nen buckket wie sehr das gepflegt wird weiß iich natürlich nicht :D
Das hier (https://www.reddit.com/r/sysadmin/comments/46361k/list_of_ransomware_ext ..) ist schon mal ein guter Einstieg, auch die weiteren Tips in der Diskussion sind gut brauchbar.
Ich bin gerade dabei einen Server 2012 R2 Terminalserver zu installieren und habe eine Frage zur Lizenzierung.
Brauche ich für jeden potentiellen verwender eine RDP-Lizenz oder reicht es für die max. gleichzeitigen Benutzer?
Beispiel: Wir haben 60 Internet-User wobei ich davon ausgehe, dass max. 20 gleichzeitig Surfen und der Rest tatsächlich arbeitet .
Brauch ich dann 60 RDP-CALs oder 20? Und was passiert wenn dann doch ein 21.er drauf möchte? Wird die Verbindung dann verweigert?
Danke vorab.
LG mäderl
Brauche ich für jeden potentiellen verwender eine RDP-Lizenz oder reicht es für die max. gleichzeitigen Benutzer?
Beispiel: Wir haben 60 Internet-User wobei ich davon ausgehe, dass max. 20 gleichzeitig Surfen und der Rest tatsächlich arbeitet .
Brauch ich dann 60 RDP-CALs oder 20? Und was passiert wenn dann doch ein 21.er drauf möchte? Wird die Verbindung dann verweigert?
Danke vorab.
LG mäderl
Hallo @DerWoWusste
Und auch an alle anderen
Danke für deine Zusammenfassung. Zu deinem 3. Punkt:
Ich habe inzwischen einige Dateiendungen gesammelt, die von Locky benutzt werden. Der Export stammt aus dem Ressourcnemanager 2012r2 und kann dort, als xml, wieder importiert werden.
Vielleicht hilft dies ja jemand.
Gerne könnt Ihr mir noch fehlende schicken. Ich füge sie dann ein.
PS: Dateien können nicht hochgeladen werden, oder?
EDIT: Aufpassen, es ist die Datei Profiles.enc ausgeschlossen worden, da diese von Intel für die WLAN Profile verwendet wird.
Grüsse
moses
Und auch an alle anderen
Danke für deine Zusammenfassung. Zu deinem 3. Punkt:
Ich habe inzwischen einige Dateiendungen gesammelt, die von Locky benutzt werden. Der Export stammt aus dem Ressourcnemanager 2012r2 und kann dort, als xml, wieder importiert werden.
<?xml version="1.0" ?>
- <Root>
<Header DatabaseVersion="2.0" />
<QuotaTemplates />
<DatascreenTemplates />
- <FileGroups>
- <FileGroup Name="Ransomware" Id="{D8A512E7-AFA4-452C-B194-3C7A88EFFB0B}" Description="">
- <Members>
<Pattern PatternValue="*.*obleep" />
<Pattern PatternValue="*.0x0" />
<Pattern PatternValue="*.0x0" />
<Pattern PatternValue="*.1999" />
<Pattern PatternValue="*.1999" />
<Pattern PatternValue="*.CTB2" />
<Pattern PatternValue="*.CTBL" />
<Pattern PatternValue="*.EnCiPhErEd" />
<Pattern PatternValue="*.EnCiPhErEd" />
<Pattern PatternValue="*.HA3" />
<Pattern PatternValue="*.LOL!" />
<Pattern PatternValue="*.LOL!" />
<Pattern PatternValue="*.LeChiffre" />
<Pattern PatternValue="*.OMG!" />
<Pattern PatternValue="*.R16M01D05" />
<Pattern PatternValue="*.R16M01D05" />
<Pattern PatternValue="*.RDM" />
<Pattern PatternValue="*.RRK" />
<Pattern PatternValue="*.SUPERCRYPT" />
<Pattern PatternValue="*.XRNT" />
<Pattern PatternValue="*.XTBL" />
<Pattern PatternValue="*.aaa" />
<Pattern PatternValue="*.aaa" />
<Pattern PatternValue="*.abc" />
<Pattern PatternValue="*.abc" />
<Pattern PatternValue="*.bleep" />
<Pattern PatternValue="*.bleep" />
<Pattern PatternValue="*.ccc" />
<Pattern PatternValue="*.ccc" />
<Pattern PatternValue="*.crinf" />
<Pattern PatternValue="*.crinf" />
<Pattern PatternValue="*.crjoker" />
<Pattern PatternValue="*.crjoker" />
<Pattern PatternValue="*.cry" />
<Pattern PatternValue="*.crypt" />
<Pattern PatternValue="*.crypt" />
<Pattern PatternValue="*.crypto" />
<Pattern PatternValue="*.crypto" />
<Pattern PatternValue="*.crypto*" />
<Pattern PatternValue="*.cryptotorlocker*" />
<Pattern PatternValue="*.ctb2" />
<Pattern PatternValue="*.ctbl" />
<Pattern PatternValue="*.darkness" />
<Pattern PatternValue="*.ecc" />
<Pattern PatternValue="*.ecc" />
<Pattern PatternValue="*.enc" />
<Pattern PatternValue="*.encoderpass" />
<Pattern PatternValue="*.encrypted" />
<Pattern PatternValue="*.encrypted" />
<Pattern PatternValue="*.encrypted*" />
<Pattern PatternValue="*.encryptedRSA" />
<Pattern PatternValue="*.encryptedRSA" />
<Pattern PatternValue="*.exx" />
<Pattern PatternValue="*.exx" />
<Pattern PatternValue="*.ezz" />
<Pattern PatternValue="*.ezz" />
<Pattern PatternValue="*.ezz*.exx" />
<Pattern PatternValue="*.frtrss" />
<Pattern PatternValue="*.good" />
<Pattern PatternValue="*.good" />
<Pattern PatternValue="*.ha3" />
<Pattern PatternValue="*.hydracrypt*" />
<Pattern PatternValue="*.k" />
<Pattern PatternValue="*.kb15" />
<Pattern PatternValue="*.key" />
<Pattern PatternValue="*.keybtc@inbox_com" />
<Pattern PatternValue="*.keybtc@inbox_com" />
<Pattern PatternValue="*.kraken" />
<Pattern PatternValue="*.lechiffre" />
<Pattern PatternValue="*.locked" />
<Pattern PatternValue="*.locked" />
<Pattern PatternValue="*.locky" />
<Pattern PatternValue="*.locky" />
<Pattern PatternValue="*.magic" />
<Pattern PatternValue="*.magic" />
<Pattern PatternValue="*.micro" />
<Pattern PatternValue="*.micro" />
<Pattern PatternValue="*.nochance" />
<Pattern PatternValue="*.omg!" />
<Pattern PatternValue="*.pzdc" />
<Pattern PatternValue="*.pzdc" />
<Pattern PatternValue="*.r16M*" />
<Pattern PatternValue="*.r5a" />
<Pattern PatternValue="*.r5a" />
<Pattern PatternValue="*.rdm" />
<Pattern PatternValue="*.rrk" />
<Pattern PatternValue="*.supercrypt" />
<Pattern PatternValue="*.toxcrypt" />
<Pattern PatternValue="*.toxcrypt" />
<Pattern PatternValue="*.trun" />
<Pattern PatternValue="*.ttt" />
<Pattern PatternValue="*.ttt" />
<Pattern PatternValue="*.vault" />
<Pattern PatternValue="*.vault" />
<Pattern PatternValue="*.vvv" />
<Pattern PatternValue="*.vvv" />
<Pattern PatternValue="*.xrnt" />
<Pattern PatternValue="*.xrtn" />
<Pattern PatternValue="*.xtbl" />
<Pattern PatternValue="*.xxx" />
<Pattern PatternValue="*.xxx" />
<Pattern PatternValue="*.xyz" />
<Pattern PatternValue="*.xyz" />
<Pattern PatternValue="*.zzz" />
<Pattern PatternValue="*.zzz" />
<Pattern PatternValue="*@gmail_com_*" />
<Pattern PatternValue="*@india.com*" />
<Pattern PatternValue="*gmail*.crypt" />
<Pattern PatternValue="*install_tor*.*" />
<Pattern PatternValue="*keemail.me*" />
<Pattern PatternValue="*qq_com*" />
<Pattern PatternValue="*recover_instructions.txt" />
<Pattern PatternValue="*restore_fi*.*" />
<Pattern PatternValue="*ukr.net*" />
<Pattern PatternValue="*want%%syour%%sfiles%%sback.*" />
<Pattern PatternValue=".0x0" />
<Pattern PatternValue=".CTB2" />
<Pattern PatternValue=".CTBL" />
<Pattern PatternValue=".EnCiPhErEd" />
<Pattern PatternValue=".HA3" />
<Pattern PatternValue=".LOL!" />
<Pattern PatternValue=".LeChiffre" />
<Pattern PatternValue=".OMG!" />
<Pattern PatternValue=".R16M01D05" />
<Pattern PatternValue=".RDM" />
<Pattern PatternValue=".RRK" />
<Pattern PatternValue=".SUPERCRYPT" />
<Pattern PatternValue=".XRNT" />
<Pattern PatternValue=".XTBL" />
<Pattern PatternValue=".aaa" />
<Pattern PatternValue=".abc" />
<Pattern PatternValue=".bleep" />
<Pattern PatternValue=".ccc" />
<Pattern PatternValue=".crinf" />
<Pattern PatternValue=".crjoker" />
<Pattern PatternValue=".crypt" />
<Pattern PatternValue=".crypto" />
<Pattern PatternValue=".ecc" />
<Pattern PatternValue=".encrypted" />
<Pattern PatternValue=".encryptedRSA" />
<Pattern PatternValue=".exx" />
<Pattern PatternValue=".ezz" />
<Pattern PatternValue=".good" />
<Pattern PatternValue=".keybtc@inbox_com" />
<Pattern PatternValue=".locked" />
<Pattern PatternValue=".locky" />
<Pattern PatternValue=".magic" />
<Pattern PatternValue=".micro" />
<Pattern PatternValue=".pzdc" />
<Pattern PatternValue=".r5a" />
<Pattern PatternValue=".toxcrypt" />
<Pattern PatternValue=".ttt" />
<Pattern PatternValue=".vault" />
<Pattern PatternValue=".vvv" />
<Pattern PatternValue=".xxx" />
<Pattern PatternValue=".xyz" />
<Pattern PatternValue=".zzz" />
<Pattern PatternValue="0.1999" />
<Pattern PatternValue="About_Files.txt" />
<Pattern PatternValue="About_Files.txt" />
<Pattern PatternValue="Coin.Locker.txt" />
<Pattern PatternValue="Coin.Locker.txt" />
<Pattern PatternValue="Coin.Locker.txt_secret_code.txt" />
<Pattern PatternValue="DECRYPT_HELP.*" />
<Pattern PatternValue="DECRYPT_INSTRUCTION.TXT" />
<Pattern PatternValue="DECRYPT_INSTRUCTION.TXT" />
<Pattern PatternValue="DECRYPT_INSTRUCTIONS.TXT" />
<Pattern PatternValue="DECRYPT_INSTRUCTIONS.TXT" />
<Pattern PatternValue="DECRYPT_ReadMe.TXT" />
<Pattern PatternValue="DECRYPT_ReadMe.TXT" />
<Pattern PatternValue="DecryptAllFiles.txt" />
<Pattern PatternValue="DecryptAllFiles.txt" />
<Pattern PatternValue="FILESAREGONE.TXT" />
<Pattern PatternValue="FILESAREGONE.TXT" />
<Pattern PatternValue="HELLOTHERE.TXT" />
<Pattern PatternValue="HELLOTHERE.TXT" />
<Pattern PatternValue="HELPDECRYPT.TXT" />
<Pattern PatternValue="HELPDECRYPT.TXT" />
<Pattern PatternValue="HELPDECYPRT_YOUR_FILES.HTML" />
<Pattern PatternValue="HELPDECYPRT_YOUR_FILES.HTML" />
<Pattern PatternValue="HELP_RECOVER_FILES.txt" />
<Pattern PatternValue="HELP_RECOVER_FILES.txt" />
<Pattern PatternValue="HELP_RESTORE_FILES.txt" />
<Pattern PatternValue="HELP_RESTORE_FILES.txt" />
<Pattern PatternValue="HELP_TO_DECRYPT_YOUR_FILES.txt" />
<Pattern PatternValue="HELP_TO_DECRYPT_YOUR_FILES.txt" />
<Pattern PatternValue="HELP_TO_SAVE_FILES.txt" />
<Pattern PatternValue="HELP_TO_SAVE_FILES.txt" />
<Pattern PatternValue="HELP_YOUR_FILES.*" />
<Pattern PatternValue="HELP_YOUR_FILES.TXT" />
<Pattern PatternValue="HELP_YOUR_FILES.TXT" />
<Pattern PatternValue="HOW_TO_DECRYPT_FILES.TXT" />
<Pattern PatternValue="HOW_TO_DECRYPT_FILES.TXT" />
<Pattern PatternValue="Help_Decrypt.txt" />
<Pattern PatternValue="Help_Decrypt.txt" />
<Pattern PatternValue="How_To_Recover_Files.txt" />
<Pattern PatternValue="How_To_Recover_Files.txt" />
<Pattern PatternValue="HowtoRESTORE*.txt" />
<Pattern PatternValue="HowtoRESTORE_FILES.txt" />
<Pattern PatternValue="HowtoRestore_FILES.txt" />
<Pattern PatternValue="Howto_Restore_FILES.TXT" />
<Pattern PatternValue="Howto_Restore_FILES.TXT" />
<Pattern PatternValue="IAMREADYTOPAY.TXT" />
<Pattern PatternValue="IAMREADYTOPAY.TXT" />
<Pattern PatternValue="IHAVEYOURSECRET.KEY" />
<Pattern PatternValue="IHAVEYOURSECRET.KEY" />
<Pattern PatternValue="INSTRUCCIONES_DESCIFRADO.TXT" />
<Pattern PatternValue="INSTRUCCIONES_DESCIFRADO.TXT" />
<Pattern PatternValue="READTHISNOW!!!.TXT" />
<Pattern PatternValue="READTHISNOW!!!.TXT" />
<Pattern PatternValue="RECOVERY_FILE*.txt" />
<Pattern PatternValue="RECOVERY_FILE*.txt" />
<Pattern PatternValue="RECOVERY_FILE.TXT" />
<Pattern PatternValue="RECOVERY_FILE.TXT" />
<Pattern PatternValue="RECOVERY_FILES.txt" />
<Pattern PatternValue="RECOVERY_FILES.txt" />
<Pattern PatternValue="RECOVERY_KEY.txt" />
<Pattern PatternValue="RECOVERY_KEY.txt" />
<Pattern PatternValue="RECOVERpcaf.html" />
<Pattern PatternValue="RECOVERpcaf.png" />
<Pattern PatternValue="RECOVERpcaf.txt" />
<Pattern PatternValue="Read.txt" />
<Pattern PatternValue="Read.txt" />
<Pattern PatternValue="ReadDecryptFilesHere.txt" />
<Pattern PatternValue="ReadDecryptFilesHere.txt" />
<Pattern PatternValue="ReadMe.txt" />
<Pattern PatternValue="ReadMe.txt" />
<Pattern PatternValue="Recovery+bwpnl.html" />
<Pattern PatternValue="Recovery+bwpnl.png" />
<Pattern PatternValue="Recovery+bwpnl.txt" />
<Pattern PatternValue="SECRET.KEY" />
<Pattern PatternValue="SECRET.KEY" />
<Pattern PatternValue="SECRETIDHERE.KEY" />
<Pattern PatternValue="SECRETIDHERE.KEY" />
<Pattern PatternValue="YOUR_FILES.HTML" />
<Pattern PatternValue="YOUR_FILES.HTML" />
<Pattern PatternValue="YOUR_FILES.url" />
<Pattern PatternValue="YOUR_FILES.url" />
<Pattern PatternValue="_H_e_l_p_RECOVER_INSTRUCTIONS+dcd.html" />
<Pattern PatternValue="_H_e_l_p_RECOVER_INSTRUCTIONS+dcd.png" />
<Pattern PatternValue="_H_e_l_p_RECOVER_INSTRUCTIONS+dcd.txt" />
<Pattern PatternValue="_Locky_recover_instructions.txt" />
<Pattern PatternValue="_crypt" />
<Pattern PatternValue="_crypt" />
<Pattern PatternValue="_how_recover.txt" />
<Pattern PatternValue="_how_recover.txt" />
<Pattern PatternValue="_secret_code.txt" />
<Pattern PatternValue="_secret_code.txt" />
<Pattern PatternValue="confirmation.key" />
<Pattern PatternValue="cryptolocker.*" />
<Pattern PatternValue="decrypt_instruct*.*" />
<Pattern PatternValue="djqfu*.*" />
<Pattern PatternValue="enc_files.txt" />
<Pattern PatternValue="encryptor_raas_readme_liesmich.txt" />
<Pattern PatternValue="encryptor_raas_readme_liesmich.txt" />
<Pattern PatternValue="help_decrypt*.*" />
<Pattern PatternValue="help_decrypt_your_files.html" />
<Pattern PatternValue="help_decrypt_your_files.html" />
<Pattern PatternValue="help_recover*.*" />
<Pattern PatternValue="help_recover_instructions+*.txt" />
<Pattern PatternValue="help_recover_instructions+*.txt" />
<Pattern PatternValue="help_restore*.*" />
<Pattern PatternValue="help_your_file*.*" />
<Pattern PatternValue="helpdecrypt*.*" />
<Pattern PatternValue="how%%sto%%sdecrypt*.*" />
<Pattern PatternValue="how_decrypt*.*" />
<Pattern PatternValue="how_recover*.*" />
<Pattern PatternValue="how_to_decrypt*.*" />
<Pattern PatternValue="how_to_recover*.*" />
<Pattern PatternValue="howrecover+*.txt" />
<Pattern PatternValue="howrecover+*.txt" />
<Pattern PatternValue="howto_recover_file.txt" />
<Pattern PatternValue="howto_recover_file.txt" />
<Pattern PatternValue="howto_restore*.*" />
<Pattern PatternValue="howto_restore_file*.*" />
<Pattern PatternValue="howtodecrypt*.*" />
<Pattern PatternValue="install_tor*.*" />
<Pattern PatternValue="instructions_xxxx.png" />
<Pattern PatternValue="last_chance.*" />
<Pattern PatternValue="message.txt" />
<Pattern PatternValue="readme_decrypt*.*" />
<Pattern PatternValue="readme_for_decrypt*.*" />
<Pattern PatternValue="recoverfile*.txt" />
<Pattern PatternValue="recoverfile*.txt" />
<Pattern PatternValue="recoveryfile*.txt" />
<Pattern PatternValue="recoveryfile*.txt" />
<Pattern PatternValue="restore_fi.*" />
<Pattern PatternValue="restorefiles.txt" />
<Pattern PatternValue="restorefiles.txt" />
<Pattern PatternValue="trun.KEY" />
<Pattern PatternValue="vault.hta" />
<Pattern PatternValue="vault.key" />
<Pattern PatternValue="vault.txt" />
</Members>
- <NonMembers>
<Pattern PatternValue="Profiles.enc" />
</NonMembers>
</FileGroup>
</FileGroups>
</Root>
Vielleicht hilft dies ja jemand.
Gerne könnt Ihr mir noch fehlende schicken. Ich füge sie dann ein.
PS: Dateien können nicht hochgeladen werden, oder?
EDIT: Aufpassen, es ist die Datei Profiles.enc ausgeschlossen worden, da diese von Intel für die WLAN Profile verwendet wird.
Grüsse
moses