Ransomware - alles, was ich für wissenswert halte

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

01.03.2016, aktualisiert 03.03.2016, 7742 Aufrufe, 38 Kommentare, 13 Danke

Sie sind in aller Munde... und wie es aussieht, wird das vorerst auch so bleiben: die lieben Erpressungssoftwares.
Ich versuche hiermit eine weitere Hilfestellung dagegen zu geben, indem ich klipp und klar einige Wege aufzeige.

Es begab sich vor kurzem, dass ein hier nicht unbekannter Webmaster einen Link von Heise ausbreitete, der tatsächlich die Modeerscheinung Ransomwares (“RSW”) gar zum Anlass nahm, um Windows für mehr und mehr untragbar zu erklären. Nun, das ist definitiv eine dürftige Darstellung, damit fange ich an.
Alle Betriebssysteme, die dem Nutzer erlauben, Daten zu verändern, können ihn dies auch automatisiert tun lassen. Startet der Nutzer also einziges, winziges Skript, kann es um seine kompletten Daten schon geschehen sein - die Frage ist nur, wie einfach man den Nutzer dazu bewegen kann. Das ist nun mit Ransomwares nicht leichter geworden. Sie sind keine "besonders ausgefeilten Schädlinge".

Die allgegenwärtige Aufregung entsteht durch das zwangsläufige Auffallen der Infektion. Millionen von anderen PCs vegetieren in Botnetzen daher, sind seit Jahren infiziert, aber der Nutzer arbeitet neben den Viren her. Solange seine Daten zugänglich bleiben, wird es ihm oft gar nicht auffallen.
Da nun leider mit den Verschlüsselungstrojanern so prima Geld verdient werden kann, ist die Schwemme der ankommenden Mailanhänge, der infizierten „Freewares“, der verseuchten Treiber und was man sonst noch so „trojanisieren“ kann, in der Tat außerordentlich hoch.
Die Menge macht es trotzdem keinen Deut einfacher, sich zu infizieren und ich behaupte, jeder Computernormalo, der bis 3 zählen kann, sollte in der Lage sein, den Ransomwares zu entgehen.

Aber das wird hier nicht zum Thema werden. Ich bete in diesem Forum bestimmt kein „Leute, klickt nicht alles an, was nicht bei 3 auf den Bäumen ist“ zum 100sten Mal runter, ebenso befürworte ich kein Awarenesstraining für User, da dies in Punkto Sicherheit ein Fass ohne Boden ist.

Nehmen wir mal an, wir sind Admins eines Windows-Netzwerkes voller Vollidioten. Sie machen alles falsch und nehmen jede Gelegenheit wahr, sich solche Ransomwares mal aus der Nähe anzusehen.

Wir wollen mit diesen Heinis auch eher nichts zu tun haben und unser letzter Gedanke wäre nun, diese Leute zu schulen – wie können wir trotzdem den drohenden Schaden von ihnen ganz sicher abwenden?

Ich liste mal die technischen Möglichkeiten dazu auf. Ich werde nicht ins Detail gehen, sondern darauf vertrauen, dass Leute, die sich damit befassen müssen, fähig sind, sich die Details zu erarbeiten oder sich in eigenen Fragen auf diesen Artikel zu beziehen.

  1. Unbekannte Anwendungen unstartbar machen (Applocker-GPOs/Softwareeinschränkungs-GPOs ("SRP"))
  2. Kapselung des Browsings auf vom Datennetz getrennte Systeme, Browsing nur via RemoteApp
  3. Windows-Fileserver vom Dateiressourcenmanager schützen lassen (von den RSW benutzte Dateiendungen via „Filescreening“ als unspeicherbar markieren und bei Versuch die Freigabe automatisch sperren, siehe Jodels Werk) Evtl. ist es sogar sinnvoll, die erlaubte Speicherung per Whitelisting zu regeln ("nur.pdf/.jpg/.html/.docx/...")
  4. Usergebundene Autostartbereiche überwachen/verschließen (Heises kafu)
  5. Backups aller Nutzerdaten automatisieren und diese natürlich nicht dem Nutzer zugänglich machen

Zwischenfragen:

Wie sollte nun ein Nutzer, der es auf Teufel komm raus darauf anlegt, so ein Ding loszulassen, alle 5 Punkte überwinden? Bereits an Punkt 1 muss zwangsläufig alles scheitern, was unbekannt ist. 2-5 werden erst dann überhaupt notwendig, wenn man 1 nur lückenhaft umgesetzt bekommt.
Und welcher dieser Schritte ist schwierig? Ich denke alle sind machbar und sollten nicht nur wegen der RSW in jedem Netzwerk seit jeher angestrebt werden.

Also müsste man sich auf No. 1 konzentrieren. Dies ist vielen bewusst – aber warum nun macht das de facto fast niemand? Schaut Euch hier mal um in den Fragen, in wievielen Fragen scheint es denn um die Benutzung von Applocker/SRP zu gehen? Vielleicht in einer pro Monat, ach was, noch seltener. Der Grund ist, dass jeder fürchtet, sich zu verheben und bei mangelhafter Umsetzung als derjenige dar zu stehen, der Sand ins Getriebe streut. Hier muss man gut planen, nur dann flutscht das und dann zahlt es sich auch aus. Und man muss Unterstützung von ganz oben haben, wenn man diesen Schritte gehen will, sonst könnte die Akzeptanz der Maßnahme schnell untergraben werden, sobald es zu ersten Problemen kommt. Aber wann, wenn nicht jetzt, könnte man die Chefs für diesen Gedanken gewinnen?

Jeder, der mal versucht hat 1 umzusetzen, wird schnell gemerkt haben, dass man täglich doch sehr, sehr viele Executables startet, und viele Skripte irgendwo werkeln wollen. Wie soll nun Kleinadmin diese fette, fiese Whitelist erstellen, ohne völlig wuschig zu werden?

Könnte man nicht einfach ab jetzt vielleicht zwei Wochen lang aufzeichnen, was die User starten und das dann als vertraute Basis automatisch für die Zukunft bewilligen (whitelisten)? Ja, das geht, heiß Auditing mode für Applocker – leider nicht für SRP verfügbar.

Könnte man nicht einfach diversen Firmen generell vertrauen, also den Anwendungen, die von diesen stammen? Geht auch, über die Anwendungszertifikate, ist denkbar einfach und geht auch mit SRP.

Könnte man nicht, sobald bei User X etwas geblockt wird, automatisiert einen Antrag zum Admin schicken, diese Executable umgehend zu prüfen und dann per Klick freizuschalten? Klar, das geht, jeder Admin sollte das skripten können, die Hauptarbeit würden hier mal wieder eventgetriggerte Tasks auf den Endpunkten übernehmen, denn es wird nicht nur geblockt, sondern natürlich auch geloggt.

Also ran an den Speck, macht sie platt!
38 Kommentare
Mitglied: Lochkartenstanzer
01.03.2016, aktualisiert um 22:52 Uhr
Zitat von @DerWoWusste:

Also müsste man sich auf No. 1 konzentrieren. Dies ist vielen bewusst – aber warum nun macht das de facto fast niemand?

Das kostet Geld (und/oder Zeit). Das spürt man als Firma "sofort": Das Geld oder der Mitarbeiter fehlt irgendwoanders. Dagegen ist der potentielle Verlust in der Zukunft so abstrakt, daß das verdrängt wird.

Wenn man länger im Bereich IT-Sicherheit tätig ist, ist es immer dasselbe Problem, auf das man bei Kunden trifft. Der Spatz in der Hand ist wichtiger als die Taube auf dem Dach, auch wenn es die Taube und nicht der Spatz ist, der einem auf den Kopf kackt.

lks

PS: Bei mir rennst Du offene Türen damit ein.
Bitte warten ..
Mitglied: 117643
117643 (Level 2)
02.03.2016 um 08:22 Uhr
danke für die Zusammenfassung :-) face-smile

Bezüglich Applocker noch ein Hinweis:
In der Ereignisanzeige finden sich entsprechende Log-Einträge wenn
eine App blockiert wurde. Wichtig dabei ist ist: Im Ereignislog des jeweiligen PCs / Servers ;)

Wir haben festgestellt dass es doch einige Programme gibt die temeporär
Anwendungen in AppData ablegen, hier mussten wir in einigen Fällen zusätzliche
Regeln hinzufügen.
Bitte warten ..
Mitglied: departure69
02.03.2016, aktualisiert um 08:45 Uhr
Hallo.

Es ist köstlich, an einem Mittwoch morgen dies hier zu lesen:

Nehmen wir mal an, wir sind Admins eines Windows-Netzwerkes voller Vollidioten. Sie machen alles falsch und nehmen jede Gelegenheit wahr, sich solche Ransomwares mal aus der Nähe anzusehen.

Das trifft den Nagel sowas von auf den Kopf, dürfte Grundzustand in vielen Windows-Netzwerken sein.

Trotzdem:

Ich bin hier Mitglied im Administrator.de-Forum, habe mir über die Jahre hier das Admin-Level "2" erarbeitet - ob nun zurecht oder nicht, mögen andere beurteilen, jedenfalls habe ich mich stets sehr bemüht, nicht nur Blödsinn zu schreiben und nicht nur unsinnige Fragen zu stellen, bloß um Punkte zu sammeln.

Dennoch bringe ich Deinen Punkt 1 schon nicht fertig. Mir fehlt schlichtweg das Know-How und die Zeit dazu. Fehlendes Know-How könnte ich durch den Faktor Zeit ersetzen, wenn ich entsprechend viel Zeit dazu nutzen würde, mir beispielsweise das, was in Deinem Punkt 1 steht, zu erarbeiten, wozu ich mich grundsätzlich schon in der Lage sehe. Doch genau dies, also die Zeit dazu, habe ich nicht. Wenn, dann müßte ich das (wieder mal) für teuer Geld (120,- EUR netto / Std.) an ein Systemhaus vergeben. Und ich denke, das geht vielen, ich nenne sie mal "Klein-Admins", die mehr im unteren KMU-Segment zu Hause sind, ähnlich wie mir, obwohl sie, so wie ich, hauptamtlich IT machen.

Natürlich braucht es für das aktuelle Ransomware-Problem trotzdem Lösungen bzw. zumindest Verbesserungen.

Ich hab' tatsächlich die Leute "By Walking Around" einzeln geschult, pro Mitarbeiter ca. 15 Minuten, Ihnen gezeigt, wo die Géfahren liegen, wie mit E-Mail-Anlagen umgegangen werden muß (die bekannten Hinweise, muß ich hier nicht alle aufzählen, das weiß wirklich jeder Admin) undsoweiter undsofort.

Technisch habe ich nach diesen Hinweisen http://esupport.trendmicro.com/solution/en-US/1039099.aspx#collapseOne unser TrendMicro WFBS deutlich schärfer gestellt.

Zu mehr sehe ich mich derzeit nicht in der Lage und hoffe, daß meine Leute weiterhin "spuren", bisher gab's nämlich noch keine Probleme.

Trotzdem natürlich vielen, vielen Dank für die Darstellung Deiner Vorgehensweise, die für viele sicherlich sehr hilfreich ist.


Viele Grüße

von

departure69
Bitte warten ..
Mitglied: Robbn-MB
02.03.2016, aktualisiert um 08:48 Uhr
Sehr schön geschrieben!
Deine Informationen sind äußerst gehaltvoll, Browsing über Remote-App haben wir bisher noch gar nicht in Erwägung gezogen, haben aber dafür halt alles an Sicherung neu konzeptioniert und sind nun soweit, dass wir binnen weniger Stunden den Großteil wieder herstellen können.

Nun beginnen wir damit nach und nach die alten Strukturen (Netzlaufwerke, Schreibzugriffe und Scanner-Ordner) zu eliminieren und da komplett anders ran zu gehen.

Dateiüberwachung ist auch eingerichtet, mit Bing auf unseren IPhones (Mail).

Das einzige, was wir uns noch nicht trauen ist, der automatische Shutdown, des Wirtsystems.....

Hat jemand damit und mit alternativen Ordnerstrukturen Erfahrungen oder auch Hinweise und Tips?

*pro Mitarbeiter ca. 15 Minuten*
Dann müsste ich knapp 70 Stunden ohne Laufwege einplanen :D
Bitte warten ..
Mitglied: 117643
117643 (Level 2)
02.03.2016 um 08:50 Uhr
Zitat von @Robbn-MB:
Das einzige, was wir uns noch nicht trauen ist, der automatische Shutdown, des Wirtsystems.....


Eine idee wäre es ein autoit-script anzustossen, was a) ne mail rausschickt b) nur den Auslöser via Firewall aussperrt :-) face-smile
Dadurch wären dann die anderen User nicht betrofffen.


Mit dem Browsing hört sich prinzipiell auch sehr gut an,
allerdings wird bei uns auch vieles für die Arbeit heruntergeladen,
hat da jmd eine gute Idee wie man es dem User möglichst einfach macht?
Bitte warten ..
Mitglied: Lochkartenstanzer
02.03.2016 um 09:14 Uhr
Zitat von @departure69:

Dennoch bringe ich Deinen Punkt 1 schon nicht fertig. Mir fehlt schlichtweg das Know-How und die Zeit dazu. Fehlendes Know-How könnte ich durch den Faktor Zeit ersetzen, wenn ich entsprechend viel Zeit dazu nutzen würde, mir beispielsweise das, was in Deinem Punkt 1 steht, zu erarbeiten, wozu ich mich grundsätzlich schon in der Lage sehe. Doch genau dies, also die Zeit dazu, habe ich nicht. Wenn, dann müßte ich das (wieder mal) für teuer Geld (120,- EUR netto / Std.) an ein Systemhaus vergeben. Und ich denke, das geht vielen, ich nenne sie mal "Klein-Admins", die mehr im unteren KMU-Segment zu Hause sind, ähnlich wie mir, obwohl sie, so wie ich, hauptamtlich IT machen.

Spiegelt genau meien Erfahrung bei den KMUs wieder, die entweder schon meine Kunden sind oder meine Kunden werden wollen. :-) face-smile

Weder ist die manpower da, sich dahinterzuklemmen, noch das Geld, das machen zu lassen, wobei letzteres eher meist ein Sparen am falschen Ende ist. Da ich meine Arbeitszeit auchnicht herschenken kann (Frau, Kinder und Hund wollen auch etwas zu futtern) wird der Zustand beibehalten, bis ich meist gerufen werde, um die Trümmer nach dem einschlag wegzuräumen.

lks
Bitte warten ..
Mitglied: 1Werner1
02.03.2016, aktualisiert um 12:03 Uhr
Moin DerWussteWo,

ich finde deine Umschreibung für mich sehr wahrscheinlich sehr lustig:

Es begab sich vor kurzem, dass ein hier nicht unbekannter Webmaster einen Link von Heise ausbreitete, der tatsächlich die Modeerscheinung Ransomwares (“RSW”) gar zum Anlass nahm, um Windows für mehr und mehr untragbar zu erklären. Nun, das ist definitiv eine dürftige Darstellung, damit fange ich an. Alle Betriebssysteme, die dem Nutzer erlauben, Daten zu verändern, können ihn dies auch automatisiert tun lassen. Startet der Nutzer also einziges, winziges Skript, kann es um seine kompletten Daten schon geschehen sein - die Frage ist nur, wie einfach man den Nutzer dazu bewegen kann. Das ist nun mit Ransomwares nicht leichter geworden. Sie sind keine "besonders ausgefeilten Schädlinge".

Also, wenn ich es bin, da bin ja richtig geschmeichelt.
Aber mal kurz zur Sache.

Also eine Virensoftware die jede Sicherheitsmaßnahme umgehen kann, findet kein Administrator lustig.
Mir ist lieber ein Programm einzusetzen, was zwar nicht ausgereift ist, aber wesentlich schlimmeres verhindert.
Deshalb habe ich mit Malwarebyte Antiramsomware gute Erfahrung gemacht.
Gut ich habe studiert, aber ich würde nicht von mir behaupten, das ich ein Vollidiot wäre.
Das sollen andere entscheiden !

Gruss

Werner
Bitte warten ..
Mitglied: DerWoWusste
02.03.2016 um 12:40 Uhr
Moin Werner.

Mit dem Webmaster habe ich Frank gemeint.
Deinen Tipp zur Antiransomeware habe ich gelesen und halte die Software ebenso für fähig, jedoch würde ich warten, bis sie Beta verlassen hat, aber das muss nichts heißen.
ich würde nicht von mir behaupten, das ich ein Vollidiot wäre.
Ich auch nicht, hast Du irgendetwas auf dich bezogen?
Bitte warten ..
Mitglied: 1Werner1
02.03.2016 um 14:11 Uhr
Moin DerWoWusste,

danke erstmal.

ja ich habe das Tool auf alle PC im Einsatz, und das hat mich vor wesentlich Schlimmeren bewahrt.

3 PC sind vom Virus betroffen worden ( ca. 5%) und bislang waren nur 3-4 Dateien auf den PC s zerstört.

So konnte ich Daten von den PC retten und eine Neuinstallation von Windows 10 für diese durchführen.

Gruss

Werner
Bitte warten ..
Mitglied: edvmaedchenfueralles
02.03.2016 um 22:06 Uhr
Sehr gute Zusammenfassung.
Ich habe auch die Erstellung von Dateien mit den Endungen der bisher (mir) bekannten Varianten geblockt.
Ich frage mich aber, ob das sinnvoll ist.
Wenn der Virus zuerst verschlüsselt und dann umbenennt, kann ich nicht rausfinden welche Dateien betroffen sind, da sie ja nicht anders heißen. Die Dateien sind aber trotzdem verschlüsselt. Das wäre ja schlechter als anders Rum, oder?

Ich habe mir mittels vb-script und nagios ein Benachrichtigungssystem gebastelt, bei dem der infizierte Rechner automatisch heruntergefahren wird und ich per SMS verständigt werde. Ist zwar keine Lösung, so bekommen wir es aber rechtzeitig mit und wissen gleich welcher PC infiziert ist.

Zum RemoteApp: Ist hier normales Surfen mögluch oder gibt es Einschränkungen? Können trotzdem z.b. lokal Dateien heruntergeladen werden?

Danke!
Bitte warten ..
Mitglied: DerWoWusste
02.03.2016, aktualisiert 03.03.2016
Hi.

Lies bitte alles Verlinkte. Beide Fragen sind beantwortet.
Kurzfassung:
-sobald die erste Umbenennung/Erstellung startet, kappt der Server die Verbindung, siehe Link "Jodels Werk"
-RemoteApp-Browser: ist in meinem Link dazu beschrieben. Man kann gut damit browsen, lediglich können keine lokalen Programme diesen Browser direkt starten, um Seiten aufzurufen, wie Webhilfe-Links zum Beispiel.
Bitte warten ..
Mitglied: Wern2000
03.03.2016, aktualisiert um 11:39 Uhr
also was ich an dem merkwürdig finde ist.
Das in den mails zum teil korekte Vor und Nachname drin stehn.
Eine dieser Mails hatte einen erfundenen Namen den ich als zweit acc auf EBay hatte und zwar NUR dort.
Bitte warten ..
Mitglied: Lochkartenstanzer
03.03.2016 um 11:44 Uhr
Zitat von @Wern2000:

Eine dieser Mails hatte einen erfundenen Namen den ich als zweit acc auf EBay hatte und zwar NUR dort.

Auch ebay-Mitarbeiter können nachlässig oder bestechlich sein. :-) face-smile

lks
Bitte warten ..
Mitglied: Wern2000
03.03.2016 um 11:54 Uhr
Zitat von @Lochkartenstanzer:

Zitat von @Wern2000:

Eine dieser Mails hatte einen erfundenen Namen den ich als zweit acc auf EBay hatte und zwar NUR dort.

Auch ebay-Mitarbeiter können nachlässig oder bestechlich sein. :-) face-smile

lks

die mail kam angeblich von ebay und ein anderes mit gleichen namen von amazon obwohl ich den bei amazon gar nicht verwende.
Bitte warten ..
Mitglied: 127132
127132 (Level 2)
03.03.2016 um 12:02 Uhr
Mir gehts da ähnlich wie @departure69
Ich bin im der Firma zum einen neu und zum anderen nur der IT-Betreuer, also kein richtiger Admin. Ich bin das Bindeglied zwischen ERP-Anbieter und Mitarbieter, sowie zwischen Systemhaus und Geschäftsleitung.
Das Systemhaus selber ist da schon sehr gut. Man spricht die selbe Sprache und die sind auch nicht zu weit entfernt. Preislich geht das auch alles in Ordnung.

Es ist wirklich so, dass in Sachen IT die GL wenig Augen dafür hat, weil eben keine greifbaren Zahlen da sind.
Okay, jetzt wurde es etwas leichter, nachdem am Montag ein Nebenbetrieb wegen Locky dicht gemacht hat. Ich hab zumindest bei uns bereits letztes Jahr als ich hier angefangen hab, ein paar GPOs gesetzt um Makros und Scripts zu deaktivieren.
Die Geschichte von wegen RemoteApp-Browsing und das Absichern der Fileserver gefallen mir schon sehr gut. Ich bin mir sicher, dass wir da vieles Umsetzen. da haperts eben nur an der sofortigen Umsetzung.
Das mit Applocker bzw. Softwareeinschränkung per GPO hab ich jetzt testweise auch schon an. das wird aber pfriemelig, weil hier so stark heterogen und alles wild gewachsen, dass es viele, viele Ausnahmen gibt.

Trotzdem find ich's schon mal gut, wenn's hier so ein gesammeltes Wissen gibt.
Bitte warten ..
Mitglied: Deepsys
03.03.2016, aktualisiert um 12:35 Uhr
Hi,

wir hatten vor Monaten Kontakt mit der Firma seculution, die bieten genau das an (1).
Ein Programme guckt sich erstmal alles an und nur das wird dann erlaubt. Konnte man alles gut einstellen, hörte sich nicht schlecht an.
Wurde trotzdem von Oberen verworfen weil die Teststellung Geld kostete ..... , nun testen wir andere AV-Lösungen :-( face-sad

Wollte ich nur mal einwerfen, ich arbeite da nicht und bekomme nichts dafür
http://www.echte-sicherheit.de/

Klar geht es wie oben beschrieben, nur fand ich das von seculution auch nett ;-) face-wink

VG,
Deepsys

PS: Noch Lockyfrei, wir blocken alle E-Mails mit Anhang erstmal (kann der User dann freigeben lassen). Hat ein paar Trojaner verhindert.
Bitte warten ..
Mitglied: Lochkartenstanzer
03.03.2016 um 13:19 Uhr
Zitat von @Deepsys:

Wurde trotzdem von Oberen verworfen weil die Teststellung Geld kostete ..... , nun testen wir andere AV-Lösungen :-( face-sad

Ja, wie ich oben schon sagte: Es kost' was (Zeit und Geld), also machen wir das nciht.

lks
Bitte warten ..
Mitglied: DerWoWusste
03.03.2016, aktualisiert um 19:37 Uhr
Wer als Verantwortlicher so kurzsichtig ist und in der Ersparnis bei Nichtumsetzung einen höheren Wert sieht, als im Gegenwert bei Umsetzung, nämlich einem zuverlässigen Virenschutz, dem ist wohl nicht zu helfen. Admins, die dies nicht rüberbringen können, sollten sich um ihre Kommunikationsfähigkeit und Ihr Standing in der Firma Gedanken machen. Auch sollten sie protokollieren lassen, dass sie dies Angebot gemacht haben - sicher ist sicher.

Ich würde Bedenken gegenüber Störungen jedoch ernst nehmen, Störungen, die Applocker und Co. erst auslösen. Da braucht es jemanden mit einem dicken Fell, um das einzuführen, und viel Rückhalt muss er auch haben.

Nun gut, zum Klönthread über Firmenpolitik soll dies aber auch nicht werden :-) face-smile
Bitte warten ..
Mitglied: Vancouverona
03.03.2016 um 15:35 Uhr
Irgendwie stehen wir alle vor dem gleichen Problem: Wir Admins wollen, dass nichts unser Netz stört, die Mitarbeiter wollen ungestört arbeiten.
Das Admin "stören" und das Mitarbeiter "ungestört" sind leider nicht deckungsgleich, trotz gleichem Wortstamm :-) face-smile

Doch nun zu uns: Industrieller Mittelstand, ca 800 Mitarbeiter weltweit mit ca. 300 Computerarbeitsplätzen, 5 Sprachen im Unternehmen.

Der erste Kontakt mit TeslaCrypt im Dezember 2015 war zum Glück ohne Folgen, da der betroffene Anwender nach der Erstinstallation von Office auf dem Rechner das Ausführen der Makros im Standard belassen hatte (nicht ausführen). Die Mail kam von einer Kundenadresse und sah - augenscheinlich - "gut" aus.

Nach Analyse der Worddatei wurde sofort eine GPO für die gesamte Domäne gesetzt, die das Ausführen von Office Makros auf allen Rechnern unterbindet.

Im Anschluß wurde der Virenscanner auf dem Mailserver so eingerichtet, dass er alle aus dem Internet eingehenden Officedokumente in den Formaten der letzten 20 Jahren in die Quarantäne verschiebt, sowie alle Mails mit ausführbaren Dateien blockt (Erweiterungen EXE, COM, BAT, CMD, VB, VBS, PS1, SCR, ...).

Mails aus der Quarantäne werden manuell überprüft und zugestellt oder gelöscht (falls gefährlich).
Samples werden regelmäßig an den Antivirenhersteller verschickt, inzwischen über 30 Stück.

Zusätzlich wird durch die Antivirensoftware ein permanenter Exchangestore Scan vorgenommen, um historische "Treffer" zu eliminieren und Mails im "Honeypot" zu löschen (quasi als Kontrolle).

Was nicht ins Netz kommt, kann auch nicht für "Durcheinander" sorgen.

Trotzdem mache ich mir Gedanken darüber, wie man die Sicherheit weiter erhöhen könnte (blocken von ausführbaren Programmen in User- und Programmdata Verzeichnissen. Allerdings scheitert das zum Teil daran, dass wir nur Windows Professional einsetzen und nicht Enterprise (AppLocker GPO).

Darüber hinaus werden die Mitarbeiter regelmäßig über die Maßnahmen informiert und auch darüber, was sie zu Hause (auch privat) tun können. Dazu gibt es dann ab und zu einen verlinkten Artikel auf bekanntgewordene Infektionsfälle.

Für weitere Ideen bin ich offen.
Bitte warten ..
Mitglied: DerWoWusste
03.03.2016 um 17:29 Uhr
blocken von ausführbaren Programmen in User- und Programmdata Verzeichnissen. Allerdings scheitert das zum Teil daran, dass wir nur Windows Professional einsetzen und nicht Enterprise
Nö, auch Pro kann ja SRP, den Vorgänger von Applocker.
Bitte warten ..
Mitglied: Vancouverona
04.03.2016 um 18:38 Uhr
Als nächsten Schritt habe ich nun den Ressourcen-Manager für Dateiserver (ist ab Server 2008 dabei) auf den beiden Fileservern aktiviert und ihm einen großen Schwung von typischen Encryptor File Extensions zur aktiven Überwachung mitgegeben.
Die Installation und erste Konfiguration hat ca. 10 Minuten pro Fileserver gedauert.

  1. Dateigruppe "Ransomware" anlegen, da dann alle Dateiname und Extensions aus dem nachfolgenden Artikel angelegt "https://www.reddit.com/r/sysadmin/comments/46361k/list_of_ransomware_ext ..."
  2. Dateiprüfungsvorlage "Ransomware blockieren" abgelegt
    • Aktives Prüfen
    • Dateigruppe "Ransomware"
    • E-Mailnachricht an Admin, ansonsten alles im Standard stehen lassen
  3. Pro Laufwerk eine Dateiprüfung eingerichtet

Wenn jetzt irgendjemand versucht, eine Datei mit dem Namen "irgendwas.locky" anzulegen, erhalte ich eine Mail, in der die Informationen enthalten sind, wer wann versucht hat Dateien auf dem Fileserver zu verschlüsseln. Man könnte hier auch noch ein automatisches Shutdown Script für den jeweiligen PC unterbringen.

Kostet nahezu keine zusätzlichen Ressourcen und läuft als Zusatzabsicherung im Hintergrund.
Bitte warten ..
Mitglied: GWachsmuth
06.03.2016 um 17:11 Uhr
Zitat von @1Werner1:
Also eine Virensoftware die jede Sicherheitsmaßnahme umgehen kann, findet kein Administrator lustig.
Mir ist lieber ein Programm einzusetzen, was zwar nicht ausgereift ist, aber wesentlich schlimmeres verhindert.
Deshalb habe ich mit Malwarebyte Antiramsomware gute Erfahrung gemacht.

Hallo,

ich habe das Tool auch auf einigen Rechnern installiert, musste es aber teilweise wieder deinstallieren, da die Rechner teilweise total ausgebremst wurden. Weder der Aufbau von Webseiten, als auch lokale Anwendungen waren noch verwendbar.

Konnte leider nicht herausbekommen, was da eigentlich passierte.
Nach einem Neustart des Rechners hat es wieder eine undefinierbare Zeit funktioniert.

Gruß GWachsmuth
Bitte warten ..
Mitglied: Der-Phil
08.03.2016 um 10:14 Uhr
Hallo!

Ich habe das Ganze auch eingerichtet. Hauptproblem ist die Datei "readme.txt", die auf der Blockliste steht und leider ja nicht gerade "exotisch" ist...

Gruß
Phil
Bitte warten ..
Mitglied: leemarvin
10.03.2016 um 16:24 Uhr
Hallo zusammen,

in unserer Firma gab es seit Anfang Februar bereits 6 Infektionen mit TeslaCrypt 3.

Wir konnten den Schaden durch folgende Maßnahmen sehr gering halten (leider nicht beim ersten Befall):

- Auf allen Windows-Servern Monitoring auf die bekannten Endungen eingestellt.
- Aufbau eines Honeypot. Eigener Server mit ca. 2 Mio Dateien und als erstes Netzlaufwerk beim User gemappt. Monitoring auf ALLE Änderungen.
- Surfen nur noch über einen Terminalserver.

Damit haben wir aktuell Ruhe.

Gruß
Bitte warten ..
Mitglied: edvmaedchenfueralles
10.03.2016 um 17:48 Uhr
Was nutzt ihr als Terminalserver? Microsoft oder etwas anderes?
Hilft euer Honeypot? Hat er bei diesem Laufwerk (dem ersten gemappten) mit der Verschlüsselung begonnen?

Danke!

Lg
Bitte warten ..
Mitglied: leemarvin
10.03.2016 um 17:57 Uhr
Microsoft.
Der Honeypot funktioniert.
TeslaCript geht alle gemappten Laufwerke alphabetisch durch.
Er mag übrigens keine Umlaute :-) face-smile
Bitte warten ..
Mitglied: edvmaedchenfueralles
10.03.2016 um 18:32 Uhr
Danke für die Info!

Letzte Frage: Habt ihr im Honeypot Dateien mit Inhalt oder nur leere Dokumente erstellt? Das wird dem crypter aber wahrscheinlich ohnehin egal sein...

Möchte auch das Browsen über Terminalserver implementieren. Bei ca. 100 User werden aber die RDP-CALs etwas teuer.
Bin deshalb noch auf der Suche nach einer Alternative mit Linux. Bin aber leider noch nicht fündig geworden. Hat jemand vielleicht eine Idee?
Wobei ich mir auch gerade die Anwendungsvirtualisierung mit der Software bufferzone anschaue...
Bitte warten ..
Mitglied: DerWoWusste
10.03.2016, aktualisiert um 18:44 Uhr
Bei ca. 100 User werden aber die RDP-CALs etwas teuer.
Kannst Du gebraucht kaufen, kosten dann unter 100€ pro Nutzer.
Linux kannst Du auch machen, haben wir früher getan, aber kein Vergleich zu Windows, oft gab es Probleme. Wir haben es damals mit nomachine gemacht (Freeware) heute würden wir wohl xrdp nutzen.
@honeypot: nett, aber verlassen kann man sich natürlich nicht darauf, dass die Ransomware mit dem ersten Buchstaben startet.
Bitte warten ..
Mitglied: leemarvin
11.03.2016 um 08:10 Uhr
Richtig, aber es ist eine zusätzliche Sicherheit, die mit relativ wenig Aufwand realisierbar ist.
Bitte warten ..
Mitglied: edvmaedchenfueralles
11.03.2016 um 13:34 Uhr
Gibt es im irgendwo eine Seite mit einer Liste der bekannten Extensions die auch erweitert wird?
Bitte warten ..
Mitglied: 117643
117643 (Level 2)
11.03.2016 um 14:27 Uhr
https://bitbucket.org/subheadx/cryptolockerfileextensions gibt nen buckket :-) face-smile wie sehr das gepflegt wird weiß iich natürlich nicht :D
Bitte warten ..
Mitglied: Vancouverona
14.03.2016 um 09:47 Uhr
Das hier (https://www.reddit.com/r/sysadmin/comments/46361k/list_of_ransomware_ext ...) ist schon mal ein guter Einstieg, auch die weiteren Tips in der Diskussion sind gut brauchbar.
Bitte warten ..
Mitglied: edvmaedchenfueralles
17.03.2016 um 06:51 Uhr
Ich bin gerade dabei einen Server 2012 R2 Terminalserver zu installieren und habe eine Frage zur Lizenzierung.
Brauche ich für jeden potentiellen verwender eine RDP-Lizenz oder reicht es für die max. gleichzeitigen Benutzer?
Beispiel: Wir haben 60 Internet-User wobei ich davon ausgehe, dass max. 20 gleichzeitig Surfen und der Rest tatsächlich arbeitet ;-) face-wink.

Brauch ich dann 60 RDP-CALs oder 20? Und was passiert wenn dann doch ein 21.er drauf möchte? Wird die Verbindung dann verweigert?

Danke vorab.

LG mäderl
Bitte warten ..
Mitglied: Lochkartenstanzer
17.03.2016, aktualisiert um 07:47 Uhr
Es ist eine einfache EDVMädchenrechnung:

Es gibt User-CALs und Device-Cals.

Es sei Deiner Fantasie überlassen, was für Dich günstiger ist.

lks

PS:Diese Frage wurde hier im Forum des öfteren beantwortet. Suche einfach danach.

Tipp: Du mußt jrden User lizensieren!
Bitte warten ..
Mitglied: DerWoWusste
17.03.2016 um 08:10 Uhr
Nimm bitte eine eigene Frage, es gehört nicht zum Thema des Wissensbeitrages.
Bitte warten ..
Mitglied: moses-south
18.03.2016, aktualisiert um 15:20 Uhr
Hallo @DerWoWusste
Und auch an alle anderen :) face-smile

Danke für deine Zusammenfassung. Zu deinem 3. Punkt:
Ich habe inzwischen einige Dateiendungen gesammelt, die von Locky benutzt werden. Der Export stammt aus dem Ressourcnemanager 2012r2 und kann dort, als xml, wieder importiert werden.


Vielleicht hilft dies ja jemand.
Gerne könnt Ihr mir noch fehlende schicken. Ich füge sie dann ein.

PS: Dateien können nicht hochgeladen werden, oder?

EDIT: Aufpassen, es ist die Datei Profiles.enc ausgeschlossen worden, da diese von Intel für die WLAN Profile verwendet wird.

Grüsse
moses
Bitte warten ..
Mitglied: Dani
18.03.2016 um 14:51 Uhr
Moin,
vielen Dank für die ausführliche Auflistung.

PS: Dateien können nicht hochgeladen werden, oder?
Nein.


Gruß,
Dani
Bitte warten ..
Mitglied: leemarvin
23.03.2016 um 08:00 Uhr
Wir lizenzieren nach Anzahl gleichzeitiger Verbindungen (Surfer).
Bei 900 User lizenzieren wir 100 RDP-CALs
Bitte warten ..
Heiß diskutierte Inhalte
Sicherheit
Verpackter Laptop entwendet
r0x3llVor 1 TagFrageSicherheit10 Kommentare

Hallo. Mir wurde aus dem Büro ein noch verpackter Dell XPS Laptop mit einem Wert von ca 3.500€ gestohlen. Kann man da was orten? ...

Windows 10
Netzwerkzugriff intern extern blockiert nach Aufbau NordVPN Verbindung
gelöst Slavik-10Vor 1 TagFrageWindows 1030 Kommentare

hallo Leute, ich habe mir vor kurzem ein VPN Anbieter bestellt. Das Problem an der ganzen Sache ist, sobald eine VPN Verbindung zu einem ...

Off Topic
Namenskonzept Kundengeräte
bitnarratorVor 1 TagFrageOff Topic5 Kommentare

Hallo, ich möchte gerne einmal die Diskussion anstoßen, weil ich eine hier in diese Richtung noch nichts gefunden habe. Es geht um die Bennenung ...

Netzwerkgrundlagen
Router für neues Heimnetzwerk - was will man 2021 haben?
billy01Vor 1 TagFrageNetzwerkgrundlagen7 Kommentare

Guten Abend zusammen, nachdem sich bei mir viel getan hat, stehe ich nun vor einem Umzug und dem Neuaufbau meines Heimnetzwerkes. Also weg von ...

Windows Server
Kein Internetzugriff bei einem Domänenclient
KerberoVor 1 TagFrageWindows Server15 Kommentare

Hallo community, ich habe ein ganz komisches Verhalten eines Clients bei mir. Ich habe eine kleine Domäne (6 Clients und ein Windows Server 2016 ...

LAN, WAN, Wireless
2x Fritzbox 7590 mit separatem DSL über WAN verbinden
gelöst FailixVor 17 StundenFrageLAN, WAN, Wireless19 Kommentare

Liebes Administrator Forum, Ich bin schon länger passiver Lese und habe mich jetzt entschlossen mit einer Frage den ersten Post hier zu schreiben. Über ...

LAN, WAN, Wireless
Cat 7 Patchkabel mit nur 11MBits im Download
gelöst RickHHVor 15 StundenFrageLAN, WAN, Wireless7 Kommentare

Moin zusammen, ich habe mir soeben ein paar Patchkabel (aus einem Cat 7 Kabel) fertig gemacht. Die Belegung ist: 1 weiß/grün 2 grün 3 weiß/orange 4 blau 5 weiß/blau ...

DNS
Network Scanner zeigt falschen Hostname an
gelöst vafk18Vor 17 StundenFrageDNS10 Kommentare

Ich habe in meinem Netzwerk 3 Fritzboxen im Betrieb. Die Fritzboxen haben in den Einstellungen als Namen "fb7270", "fb7369" und "fb7412". Jede Fritzbox hat ...