16
Cryptolocker und seine verwandte
Hallo zusammen.
Die Cryptolocker Viren sind zur Zeit ja in aller Munde. Leider wurden wir in der Firma auch schon 2x befallen. Glücklicherweise sind wir jedesmal draufgekommen bevor er sein Werk vollenden konnte.
Als weitere Sicherheitsmaßnahmen werden nun alle. zip Dateien in Quarantäne verschoben bevor sie per Mail zugestellt werden.
Zur Frage: Würde es in dem Fall auch helfen den Download von. exe Dateien durch den Proxy zu verhindern? Dann kann der Trojaner den Virus nicht nachladen.
Weiters hab ich mich gefragt, ob ich die Verschlüsselung im Fall von Locky dadurch zu verhindern, dass ich die Dateierweiterung .locky verbiete.
Danke im voraus.
Lg mäderl
Die Cryptolocker Viren sind zur Zeit ja in aller Munde. Leider wurden wir in der Firma auch schon 2x befallen. Glücklicherweise sind wir jedesmal draufgekommen bevor er sein Werk vollenden konnte.
Als weitere Sicherheitsmaßnahmen werden nun alle. zip Dateien in Quarantäne verschoben bevor sie per Mail zugestellt werden.
Zur Frage: Würde es in dem Fall auch helfen den Download von. exe Dateien durch den Proxy zu verhindern? Dann kann der Trojaner den Virus nicht nachladen.
Weiters hab ich mich gefragt, ob ich die Verschlüsselung im Fall von Locky dadurch zu verhindern, dass ich die Dateierweiterung .locky verbiete.
Danke im voraus.
Lg mäderl
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 296853
Url: https://administrator.de/contentid/296853
Printed on: April 24, 2024 at 17:04 o'clock
16 Comments
Latest comment
Moin,
das hilft eher begrenzt. Du blockst zip - ok, und was machst du mit Office-Dateiendungen wie z.B. die ganzen *.doc-Files? Da kommt aktuell (zumindest bei mir) auch viel Müll... Wenn du das auch blockst - dann werden sich die Anwender nur Wege überlegen das zu umgehen da man die Daten ja auch arbeitsmäßig braucht.
Was hilft ist die Leute da mal etwas zu sensibilisieren - und natürlich eine sinnvolle Rechtevergabe falls noch nicht vorhanden. Du kannst natürlich noch einiges mehr machen wenn die Optionen bestehen (z.B. Proxy der auch automatisch nach entsprechenden Dingen scannt). Aber im Endeffekt hilft am besten ein gutes Backup der Daten. Denn selbst wenn du im Web alles verboten hast kommt Herr Meyer zu Frau Schmidt mit dem USB-Stick und der ganz tollen und lustigen Datei XYZ... Konnte er leider nicht öffnen zuhause weil sein Rechner in dem Moment des Öffnens irgendwie abgeschmiert ist - aber Frau Schmidt kann die doch bestimmt schnell in der Firma eben ausdrucken... ;)
das hilft eher begrenzt. Du blockst zip - ok, und was machst du mit Office-Dateiendungen wie z.B. die ganzen *.doc-Files? Da kommt aktuell (zumindest bei mir) auch viel Müll... Wenn du das auch blockst - dann werden sich die Anwender nur Wege überlegen das zu umgehen da man die Daten ja auch arbeitsmäßig braucht.
Was hilft ist die Leute da mal etwas zu sensibilisieren - und natürlich eine sinnvolle Rechtevergabe falls noch nicht vorhanden. Du kannst natürlich noch einiges mehr machen wenn die Optionen bestehen (z.B. Proxy der auch automatisch nach entsprechenden Dingen scannt). Aber im Endeffekt hilft am besten ein gutes Backup der Daten. Denn selbst wenn du im Web alles verboten hast kommt Herr Meyer zu Frau Schmidt mit dem USB-Stick und der ganz tollen und lustigen Datei XYZ... Konnte er leider nicht öffnen zuhause weil sein Rechner in dem Moment des Öffnens irgendwie abgeschmiert ist - aber Frau Schmidt kann die doch bestimmt schnell in der Firma eben ausdrucken... ;)
Du wirst jetzt vielleicht lachen, aber ich werde am Montag auch Word Dateien in Quarantäne geben und individuell freigeben.
Weiters werde ich in Word die Makros deaktivieren. Das sollte mal reichen.
Das verhindern der Umbenennung von Dateien in z.b. ".locky" wird die Verschlüsselung wahrscheinlich auch nicht stoppen, oder?
Weiters werde ich in Word die Makros deaktivieren. Das sollte mal reichen.
Das verhindern der Umbenennung von Dateien in z.b. ".locky" wird die Verschlüsselung wahrscheinlich auch nicht stoppen, oder?
Hallo
Aber nicht vergessen: es gibt ja mittlerweile auch solche Cryptolocker, die einige Wochen im System schlummern, bevor sie aktiv werden
Gruss
Aber im Endeffekt hilft am besten ein gutes Backup der Daten.
Aber nicht vergessen: es gibt ja mittlerweile auch solche Cryptolocker, die einige Wochen im System schlummern, bevor sie aktiv werden
Gruss
das hängt natürlich von der unternehmensgröße und -umfeld ab -> wenn das manuell machbar ist dann wäre das ja kein Problem. Wobei dann halt alle möglichen Sachen manuell gemacht werden müssen - Zip-Files, ...
Und dann kommt noch der Datenschutz ob du das überhaupt darfst - aber ich gehe davon aus das du dir da alle Gedanken gemacht hast und das völlig legitim ist....
Und dann kommt noch der Datenschutz ob du das überhaupt darfst - aber ich gehe davon aus das du dir da alle Gedanken gemacht hast und das völlig legitim ist....
Ein Proxy wird es nicht Verhindern da ja Zugang weiterhin zum Internet besteht und Seiten Aufgerufen werden können.
Was aber wohl gehen würde währe wenn du im IE ein Proxy einträgst den es nicht gibt und so den IE für Internetsurfen "unbrauchbar" machst.
Die Standard EInstellung fürs Surfen geht ja über den IE wodurch das Programm wohl nichts mehr nachladen könnte.
Fürs Surfen müsstes du dann ein anderen Browser nehmen mit den Richtigen Proxy damit die Leute Arbeiten können...
Aber da die Macher der Cryptolocker diese auch immer Verbessern ist es eh möglich das die dann über den anderen Browser auch ihre Daten nachladen..
Sowie werden die auch mit den Sperren Rechnen und andere Wege dann gehen...
Ist halt immer ein Katz und Maus Spiel...
Rechne lieber damit das du Infizierst wirst und Versuche dann den Schaden soweit es geht zu Begrenzen.
Dazu kannst du auch Dummydateien erstellen und diese zb alle 5 Minuten per Cron Prüfen lassen ob diese noch da sind oder in Bestimmte Ordner Cryptofiles Auftauchen und dich dann Infomieren lassen.
Auf den Clients könntes du dann diesen PC Automatisch Isolieren lassen und eine Anmeldung verweigern sowie diese Runterfahren lassen.
Zumal du das System eh nicht so Absichern kannst ohne die Arbeit der Leute einzuschränken...
Was aber wohl gehen würde währe wenn du im IE ein Proxy einträgst den es nicht gibt und so den IE für Internetsurfen "unbrauchbar" machst.
Die Standard EInstellung fürs Surfen geht ja über den IE wodurch das Programm wohl nichts mehr nachladen könnte.
Fürs Surfen müsstes du dann ein anderen Browser nehmen mit den Richtigen Proxy damit die Leute Arbeiten können...
Aber da die Macher der Cryptolocker diese auch immer Verbessern ist es eh möglich das die dann über den anderen Browser auch ihre Daten nachladen..
Sowie werden die auch mit den Sperren Rechnen und andere Wege dann gehen...
Ist halt immer ein Katz und Maus Spiel...
Rechne lieber damit das du Infizierst wirst und Versuche dann den Schaden soweit es geht zu Begrenzen.
Dazu kannst du auch Dummydateien erstellen und diese zb alle 5 Minuten per Cron Prüfen lassen ob diese noch da sind oder in Bestimmte Ordner Cryptofiles Auftauchen und dich dann Infomieren lassen.
Auf den Clients könntes du dann diesen PC Automatisch Isolieren lassen und eine Anmeldung verweigern sowie diese Runterfahren lassen.
Zumal du das System eh nicht so Absichern kannst ohne die Arbeit der Leute einzuschränken...
Moin,
ist sicher ein Ansatz... aber ist kein 100%iger Schutz. Denn es reicht auch schon ein USB-Stick und ein nicht wirksamer Virenschutz auf dem Client um freie Fahrt zu haben.
Wir haben inzwischen per Firewall diverse C'&C Server gesperrt mit entsprechenden Reporting. Parallel dazu sind gängige Ransomware Dateitypen auf CIFS und NFS nicht mehr erlaubt. Ist natürlich ein gewisser Pflegeaufwand seitens Admins. Zusätzlich müssen die Anwender nochmals sensibilisiert werden. Bildet aber einen gewissen Grundschutz für die meisten Fälle... es ist ein Katz und Mausspiel.
Evtl. ist es auch sinnvoll, die vorhandenen Datensicherungsanzahl und Häufigkeit anzupassen. Setzt natürlich vorraus, dass der notwendige Speicherplatz vorhanden ist und Techniken wie Snapshots zum Einsatz kommen. Ein Backup auf Tape dauert in den meisten Fällen ein bisschen Länger als ein Snapshot.
Gruß,
Dani
ist sicher ein Ansatz... aber ist kein 100%iger Schutz. Denn es reicht auch schon ein USB-Stick und ein nicht wirksamer Virenschutz auf dem Client um freie Fahrt zu haben.
Wir haben inzwischen per Firewall diverse C'&C Server gesperrt mit entsprechenden Reporting. Parallel dazu sind gängige Ransomware Dateitypen auf CIFS und NFS nicht mehr erlaubt. Ist natürlich ein gewisser Pflegeaufwand seitens Admins. Zusätzlich müssen die Anwender nochmals sensibilisiert werden. Bildet aber einen gewissen Grundschutz für die meisten Fälle... es ist ein Katz und Mausspiel.
Evtl. ist es auch sinnvoll, die vorhandenen Datensicherungsanzahl und Häufigkeit anzupassen. Setzt natürlich vorraus, dass der notwendige Speicherplatz vorhanden ist und Techniken wie Snapshots zum Einsatz kommen. Ein Backup auf Tape dauert in den meisten Fällen ein bisschen Länger als ein Snapshot.
Gruß,
Dani
Was sind C'&C Server?
Blöd nur, dass die Cryptolocker auch die Schattenkopien löschen.
Blöd nur, dass die Cryptolocker auch die Schattenkopien löschen.
Zitat von @edvmaedchenfueralles:
Was sind C'&C Server?
Blöd nur, dass die Cryptolocker auch die Schattenkopien löschen.
Was sind C'&C Server?
Blöd nur, dass die Cryptolocker auch die Schattenkopien löschen.
Command & Control ... die Steuern das Verhalten der "Clients"
Blöd nur, dass die Cryptolocker auch die Schattenkopien löschen.
Setzt aber die notwendigen Rechte vorraus, oder? Wer für Backups und Recovery entsprechend dedizierte Serviceaccounts benutzt, hat nichts zu befürchten.Gruß,
Dani
C&C sind die Steuerserver für die Infizierten Clients/User...
Crypto mag zwar Schattenkopien löschen in der neuen Version aber dies trifft eher nur auf Privat PCs zu sowie auf Firmensysteme die schlecht eingestellt sind.
In Firmen wird ja mit DC gearbeitet wodurch du die Rechte ziemlich gut Einstellen kannst wer was darf.
So kannst du Einstellen das die User zwar Backups starten können aber nicht auf die Daten zugreifen können oder was Löschen/Ändern dürfen.
Für Privat währe dies auch möglich die Rechte besser Einzustellen jedoch macht dies so der Normal User nicht wodurch dieser halt sehr Angreifbar ist...
Crypto mag zwar Schattenkopien löschen in der neuen Version aber dies trifft eher nur auf Privat PCs zu sowie auf Firmensysteme die schlecht eingestellt sind.
In Firmen wird ja mit DC gearbeitet wodurch du die Rechte ziemlich gut Einstellen kannst wer was darf.
So kannst du Einstellen das die User zwar Backups starten können aber nicht auf die Daten zugreifen können oder was Löschen/Ändern dürfen.
Für Privat währe dies auch möglich die Rechte besser Einzustellen jedoch macht dies so der Normal User nicht wodurch dieser halt sehr Angreifbar ist...
Ok. Danke.
Wo finde ich die IPs der bekannten C&C Server?
Bzw. sind die dann überhaupt noch gefährlich wenn sie bekannt sind?
Wo finde ich die IPs der bekannten C&C Server?
Bzw. sind die dann überhaupt noch gefährlich wenn sie bekannt sind?
Jede Aktion, die sich an Dateiandungen aufhängt udn nicht am Dateiinhalt, ist schon von vornherein zum scheitern verurteilt.
lks
Das ist mir durchaus bewusst aber irgendwo muss man ansetzen...
Was würdest du vorschlagen?
Bin für jede Hilfe dankbar!
Was würdest du vorschlagen?
Bin für jede Hilfe dankbar!
Moin,
wir verwenden bei uns "Software Restriction Policy" um das ausführen von Programmen unter %appdata% und %temp% zu verhindern.
Edit:
Weis jemand was passieren würde wenn man einfach das Erstellen von .locky Dateien auf dem Fileserver sperrt?
VG
Val
wir verwenden bei uns "Software Restriction Policy" um das ausführen von Programmen unter %appdata% und %temp% zu verhindern.
Edit:
Wir haben inzwischen per Firewall diverse C'&C Server gesperrt mit entsprechenden Reporting.
Auch von mir die Frage: Wo bekommt ihr die Listen der C&C Server her?Weis jemand was passieren würde wenn man einfach das Erstellen von .locky Dateien auf dem Fileserver sperrt?
VG
Val
Ich denke, die brauchbarsten Ansätze sind hier 1 beschrieben.
Wir fahren seit crypto-locker mit Software-Restriction-Policies und nun habe ich das ganze noch ergänzt.
Das A und O ist IMHO allerdings noch immer eine Sensibilisierung der User, was den Umgang mit eMail-Anhängen und USB-Sticks etc. angeht.
Der Rico
Wir fahren seit crypto-locker mit Software-Restriction-Policies und nun habe ich das ganze noch ergänzt.
Das A und O ist IMHO allerdings noch immer eine Sensibilisierung der User, was den Umgang mit eMail-Anhängen und USB-Sticks etc. angeht.
Der Rico
Danke für die zahlreichen Antworten.
