16568
Oct 05, 2015
2664
15
0
Backups vs. wirkliche Datensicherheit
Hallo liebe Kollegen,
ich sitze gerade hier bei einem Kunden, dem hat es seine Daten UND sein Backup gecrypted.
Klar, Backup ist ja auf mehrere Datenträger verteilt, dennoch ist die Arbeit von ein paar Tagen wech.
Daher die grundlegende Frage: wie handhabt Ihr das eigentlich so?
Von den Heinis der AV-Fraktion erhält man natürlich immer die Antwort: ja, das war 0-day, neuer Schädling, blablaba, Fakt ist halt, daß die meisten nur noch signaturbasierend arbeiten, und keiner guckt mehr, wie auffällig sich eine Datei/ein Prozeß verhält.
Wenn ein Programm innerhalb von wenigen Minuten SEHR VIELE Dateien manipuliert, würde ich als AV-Hersteller zumindest mal ein Popup aufblitzen lassen, oder eine Mail an den Admin schicken und bis dahin halt erst mal alles blocken, was nicht gewhitlisted ist.
Nö, ich darf stattdessen fröhlich mit dem Erpresser chatten, was es denn kostet, wenn er das Decrypt-Tool rausrückt.
(den Beweis, daß er es kann, hat er schon mal erbracht
)
Grml...
Wie würdet Ihr unter dem Aspekt, daß das Backup ja auch verschlüsselt werden könnte, das in Zukunft handhaben?
Lonesome Walker
ich sitze gerade hier bei einem Kunden, dem hat es seine Daten UND sein Backup gecrypted.
Klar, Backup ist ja auf mehrere Datenträger verteilt, dennoch ist die Arbeit von ein paar Tagen wech.
Daher die grundlegende Frage: wie handhabt Ihr das eigentlich so?
Von den Heinis der AV-Fraktion erhält man natürlich immer die Antwort: ja, das war 0-day, neuer Schädling, blablaba, Fakt ist halt, daß die meisten nur noch signaturbasierend arbeiten, und keiner guckt mehr, wie auffällig sich eine Datei/ein Prozeß verhält.
Wenn ein Programm innerhalb von wenigen Minuten SEHR VIELE Dateien manipuliert, würde ich als AV-Hersteller zumindest mal ein Popup aufblitzen lassen, oder eine Mail an den Admin schicken und bis dahin halt erst mal alles blocken, was nicht gewhitlisted ist.
Nö, ich darf stattdessen fröhlich mit dem Erpresser chatten, was es denn kostet, wenn er das Decrypt-Tool rausrückt.
(den Beweis, daß er es kann, hat er schon mal erbracht
)Grml...
Wie würdet Ihr unter dem Aspekt, daß das Backup ja auch verschlüsselt werden könnte, das in Zukunft handhaben?
Lonesome Walker
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 284699
Url: https://administrator.de/contentid/284699
Printed on: April 24, 2024 at 05:04 o'clock
15 Comments
Latest comment
moin,
mein beileid für den kunden...
0-day hin oder nicht... ich frage mich grade wie das passiert sein soll- ich tippe zu 80% auf eine e-mail...
wo der kunde unbedingt den anhang öffnen wollte... egal was das AV- programm sacht... da steht rechnung- das muss ich auf machen... kenn ich nur zu gut
wiso ist die datensicherung verschlüsselt ? was ist das für ein backup?
meine acronis datensicherungen ( NAS ) sind bis jetzt noch nicht verschlüsselt worden.
frank
mein beileid für den kunden...
0-day hin oder nicht... ich frage mich grade wie das passiert sein soll- ich tippe zu 80% auf eine e-mail...
wo der kunde unbedingt den anhang öffnen wollte... egal was das AV- programm sacht... da steht rechnung- das muss ich auf machen... kenn ich nur zu gut
wiso ist die datensicherung verschlüsselt ? was ist das für ein backup?
meine acronis datensicherungen ( NAS ) sind bis jetzt noch nicht verschlüsselt worden.
frank
1
Sers,
Tape hilft in solchen Fällen. Wenn auf eine NAS Freigabe gesichert wird, dann gilt sicherzustellen dass KEIN Domänennutzer Zugriff auf die Freigaben hat. Dafür gibt es Domänenfremde Backupuser.
Vielleicht kannst du deinem Kunden ja mal austreiben mit Domänenadminrechten unterwegs zu sein.
Nuja,... was soll man machen. Hast wenigstens einen mit Helpdesk Hotline? xD
Grüße,
Philip
Tape hilft in solchen Fällen. Wenn auf eine
Vielleicht kannst du deinem Kunden ja mal austreiben mit Domänenadminrechten unterwegs zu sein.
Nuja,... was soll man machen. Hast wenigstens einen mit Helpdesk Hotline? xD
Grüße,
Philip
Ich nehme an das der Schädling betsimmte Daten verschlüsselt hat um Lösegeld zu erhalten..
Aber um genau sowas vorzubeugen bzw den Schaden gering zu halten hab ich damals ein Banana Pi geholt mit ner 2 TB Platte.
Dort läuft nur das Minimalsystem mit Samba und rsync.
Und die Banane verbindet sich zum Client und macht ein Backup der Daten per rsync und das Backup ist nur im Lesezustand per samba erreichbar.
Dafür wurde extra ein Backupkonto erstellt womit die Banane die Daten holen kann.
Aber vom Client aus hast du keinen Schreibzugriff.
Selbst bei nen Trojaner der Aktiv ist kann der das Backup nicht ändern da der dazu ssh zugang braucht.
Und für so Backups ist der minipc Prima geeigent ;)
Aber um genau sowas vorzubeugen bzw den Schaden gering zu halten hab ich damals ein Banana Pi geholt mit ner 2 TB Platte.
Dort läuft nur das Minimalsystem mit Samba und rsync.
Und die Banane verbindet sich zum Client und macht ein Backup der Daten per rsync und das Backup ist nur im Lesezustand per samba erreichbar.
Dafür wurde extra ein Backupkonto erstellt womit die Banane die Daten holen kann.
Aber vom Client aus hast du keinen Schreibzugriff.
Selbst bei nen Trojaner der Aktiv ist kann der das Backup nicht ändern da der dazu ssh zugang braucht.
Und für so Backups ist der minipc Prima geeigent ;)
Hi,
das ist eine gute Frage
Ich denke auch Tape wäre am besten und dann die Sicherungen gut absichern.
Das checke ich gerade mal selber ...
Danke für den Hinweis, darauf bin ich noch nicht gekommen.
das ist eine gute Frage
Ich denke auch Tape wäre am besten und dann die Sicherungen gut absichern.
Das checke ich gerade mal selber ...
Danke für den Hinweis, darauf bin ich noch nicht gekommen.
Moin Lonesome Walker,
die AV-Programme können wesentlich mehr, als du gesagt bekommen hast und nein, sie arbeiten eben nicht mehr nur signaturbasierend.
Schau dir ein paar AV-Suiten für Firmen an, was diese an Funktionen beinhalten, um genau den Fall, den du hattest, nicht zu bekommen.
Allerdings gilt es, immer einen Kompromiss zwischen hoher Sicherheit und akzeptablen Leistungseinbußen einzustellen.
Zu oft setzen sich hier die falschen Leute durch.
Weiterhin hilft recht wenig, wenn unaufmerksame Nutzer zu viele Rechte haben.
Wie allerdings das Backup vom Virus verschlüsselt werden konnte, kann ich nicht nachvollziehen.
Sind diese Daten auf einer simplen Freigabe mit Zugriffsrechten für jeden (Domänen)Benutzer abgelegt?
So wie Philipp das geschrieben hat, BackupUser und Freigabe nur für diesen und anschließend auf Band oder anderes externes Medium.
Von daher werden bei mir auch die Sicherungen von BackupExec verschlüsselt abgelegt, die das Haus verlassen.
die AV-Programme können wesentlich mehr, als du gesagt bekommen hast und nein, sie arbeiten eben nicht mehr nur signaturbasierend.
Schau dir ein paar AV-Suiten für Firmen an, was diese an Funktionen beinhalten, um genau den Fall, den du hattest, nicht zu bekommen.
Allerdings gilt es, immer einen Kompromiss zwischen hoher Sicherheit und akzeptablen Leistungseinbußen einzustellen.
Zu oft setzen sich hier die falschen Leute durch.
Weiterhin hilft recht wenig, wenn unaufmerksame Nutzer zu viele Rechte haben.
Wie allerdings das Backup vom Virus verschlüsselt werden konnte, kann ich nicht nachvollziehen.
Sind diese Daten auf einer simplen Freigabe mit Zugriffsrechten für jeden (Domänen)Benutzer abgelegt?
So wie Philipp das geschrieben hat, BackupUser und Freigabe nur für diesen und anschließend auf Band oder anderes externes Medium.
Zitat von @Vision2015:
wiso ist die datensicherung verschlüsselt ? was ist das für ein backup?
meine acronis datensicherungen ( NAS ) sind bis jetzt noch nicht verschlüsselt worden.
Weil Datensicherungen, die außer Haus gelagert werden, nicht von jedem einsehbar sein sollten.wiso ist die datensicherung verschlüsselt ? was ist das für ein backup?
meine acronis datensicherungen ( NAS ) sind bis jetzt noch nicht verschlüsselt worden.
Von daher werden bei mir auch die Sicherungen von BackupExec verschlüsselt abgelegt, die das Haus verlassen.
Zitat von @goscho:
Weil Datensicherungen, die außer Haus gelagert werden, nicht von jedem einsehbar sein sollten.
Von daher werden bei mir auch die Sicherungen von BackupExec verschlüsselt abgelegt, die das Haus verlassen.
Finde ich auch!Weil Datensicherungen, die außer Haus gelagert werden, nicht von jedem einsehbar sein sollten.
Von daher werden bei mir auch die Sicherungen von BackupExec verschlüsselt abgelegt, die das Haus verlassen.
Hat mich mal ein Sicherheitsberater gefragt:
- Wenn Sie die Bänder in anderen Standort bringen dürfen Sie nicht anhalten (Bäcker, Tanke, Gummibärchen kaufen, ...), damit Ihnen keiner die Bänder klauen kann.
Dann meinte ich nur: Doch. Sie können gerne ein Band von uns haben. Viel Spaß mit AES 256
Und ich kann Gummibärchen kaufen gehen ..
1
Hallo,
hab ich das nun richtig verstanden das du einen Schädling hast der nach Infektion (Dateiserver?) die aktuellen Online Daten und die vorangegangenen Backups verschlüsselt hat?
Also bei uns haben die Clients (Server) keinen Zugriff auf die "alten" Backups, da die Backup/Restore Steurung zentral von einer getrennten Maschine aus erfolgt und nicht am Client direkt. Das gibt zwar ab und an gemeckern wegen fehlendem Self-Service etc. hat aber mit der Gewaltenteilung einen unbestreitbaren Sicherheitsvorteil.
Was natürlich gefährlich wird ist falls der Schädling mehrere Tage normale arbeit zulässt und die dabei anfallenden Daten bereits Schad-Verschlüsselt sind, die sind dann natürlich auch nicht mehr zu retten.
Gruß
Andi
hab ich das nun richtig verstanden das du einen Schädling hast der nach Infektion (Dateiserver?) die aktuellen Online Daten und die vorangegangenen Backups verschlüsselt hat?
Also bei uns haben die Clients (Server) keinen Zugriff auf die "alten" Backups, da die Backup/Restore Steurung zentral von einer getrennten Maschine aus erfolgt und nicht am Client direkt. Das gibt zwar ab und an gemeckern wegen fehlendem Self-Service etc. hat aber mit der Gewaltenteilung einen unbestreitbaren Sicherheitsvorteil.
Was natürlich gefährlich wird ist falls der Schädling mehrere Tage normale arbeit zulässt und die dabei anfallenden Daten bereits Schad-Verschlüsselt sind, die sind dann natürlich auch nicht mehr zu retten.
Gruß
Andi
Zitat von @goscho:
Moin Lonesome Walker,
die AV-Programme können wesentlich mehr, als du gesagt bekommen hast und nein, sie arbeiten eben nicht mehr nur signaturbasierend.
Schau dir ein paar AV-Suiten für Firmen an, was diese an Funktionen beinhalten, um genau den Fall, den du hattest, nicht zu bekommen.
Allerdings gilt es, immer einen Kompromiss zwischen hoher Sicherheit und akzeptablen Leistungseinbußen einzustellen.
Zu oft setzen sich hier die falschen Leute durch.
Weiterhin hilft recht wenig, wenn unaufmerksame Nutzer zu viele Rechte haben.
Wie allerdings das Backup vom Virus verschlüsselt werden konnte, kann ich nicht nachvollziehen.
Sind diese Daten auf einer simplen Freigabe mit Zugriffsrechten für jeden (Domänen)Benutzer abgelegt?
So wie Philipp das geschrieben hat, BackupUser und Freigabe nur für diesen und anschließend auf Band oder anderes externes Medium.
Von daher werden bei mir auch die Sicherungen von BackupExec verschlüsselt abgelegt, die das Haus verlassen.
Moin Lonesome Walker,
die AV-Programme können wesentlich mehr, als du gesagt bekommen hast und nein, sie arbeiten eben nicht mehr nur signaturbasierend.
Schau dir ein paar AV-Suiten für Firmen an, was diese an Funktionen beinhalten, um genau den Fall, den du hattest, nicht zu bekommen.
Allerdings gilt es, immer einen Kompromiss zwischen hoher Sicherheit und akzeptablen Leistungseinbußen einzustellen.
Zu oft setzen sich hier die falschen Leute durch.
Weiterhin hilft recht wenig, wenn unaufmerksame Nutzer zu viele Rechte haben.
Wie allerdings das Backup vom Virus verschlüsselt werden konnte, kann ich nicht nachvollziehen.
Sind diese Daten auf einer simplen Freigabe mit Zugriffsrechten für jeden (Domänen)Benutzer abgelegt?
So wie Philipp das geschrieben hat, BackupUser und Freigabe nur für diesen und anschließend auf Band oder anderes externes Medium.
Zitat von @Vision2015:
wiso ist die datensicherung verschlüsselt ? was ist das für ein backup?
meine acronis datensicherungen ( NAS ) sind bis jetzt noch nicht verschlüsselt worden.
Weil Datensicherungen, die außer Haus gelagert werden, nicht von jedem einsehbar sein sollten.wiso ist die datensicherung verschlüsselt ? was ist das für ein backup?
meine acronis datensicherungen ( NAS ) sind bis jetzt noch nicht verschlüsselt worden.
Von daher werden bei mir auch die Sicherungen von BackupExec verschlüsselt abgelegt, die das Haus verlassen.
ich glaube da habe ich mich falsch ausgedrückt, natürlich sind und gehören externe datensicherungen verschlüsselt- ich meinte das meine datensicherungen noch nie von einem virus etc. verschlüsselt wurden...
und der otto normal user soll ja eh keine rechte haben, auf irgendein backup medium zuzugreifen... wäre ja doof
also sind wie du schon so schon sagtest, die user mit zu vielen rechten ausgerüstet...
frank
Hallo,
Eine der goldenen Regeln der Informationssicherheit ist das so genannte Need-to-Know-Prinzip: Jeder Benutzer (und auch jeder Administrator)
sollte nur auf jene Datenbestände zugreifen und jene Programme aus führen dürfen, die er für seine tägliche Arbeit auch wirklich benötigt. Deshalb ist es besser (notwendig), spezielle Backup-Benutzer für die Datensicherung anzulegen.
Die Einsicht bei unseren Anwendern kommt meistens erst dann, wenn ein CryptoLocker die Arbeit von Tagen oder Wochen zerstört hat. Plötzlich ist auch Geld für die Datensicherung und die notwendigen Veränderungen am System vorhanden. Erst nach einen Crypto-Unfall spielen die Kosten (für notwendige Veränderungen bei den Benutzerrechten) keine Rolle mehr, traurig aber wahr
Mit freundlichen Grüßen Andreas
Wie würdet Ihr unter dem Aspekt, daß das Backup ja auch verschlüsselt werden könnte, das in Zukunft handhaben?
Eine der goldenen Regeln der Informationssicherheit ist das so genannte Need-to-Know-Prinzip: Jeder Benutzer (und auch jeder Administrator)
sollte nur auf jene Datenbestände zugreifen und jene Programme aus führen dürfen, die er für seine tägliche Arbeit auch wirklich benötigt. Deshalb ist es besser (notwendig), spezielle Backup-Benutzer für die Datensicherung anzulegen.
Die Einsicht bei unseren Anwendern kommt meistens erst dann, wenn ein CryptoLocker die Arbeit von Tagen oder Wochen zerstört hat. Plötzlich ist auch Geld für die Datensicherung und die notwendigen Veränderungen am System vorhanden. Erst nach einen Crypto-Unfall spielen die Kosten (für notwendige Veränderungen bei den Benutzerrechten) keine Rolle mehr, traurig aber wahr
Mit freundlichen Grüßen Andreas
Zitat von @goscho:
die AV-Programme können wesentlich mehr, als du gesagt bekommen hast und nein, sie arbeiten eben nicht mehr nur signaturbasierend.
Schau dir ein paar AV-Suiten für Firmen an, was diese an Funktionen beinhalten, um genau den Fall, den du hattest, nicht zu bekommen.
die AV-Programme können wesentlich mehr, als du gesagt bekommen hast und nein, sie arbeiten eben nicht mehr nur signaturbasierend.
Schau dir ein paar AV-Suiten für Firmen an, was diese an Funktionen beinhalten, um genau den Fall, den du hattest, nicht zu bekommen.
Öhm, ich rede hier von Trendmicro WorryFree, okay?
Es ist eine Schande, daß avast und AVG den Schädling sofort erkannt haben, aber MS, Symantec, McAffe (*g*) F-Secure, Kaspersky und all die andern großen, KEINER hat das erkannt!
Ich habe mir extra die Mühe gemacht, VM aufsetzen, und los gehts mit Infektion gegen AV.
Einfach nur peinlich.
Der Crypto-Trojaner fängt fleißig an, Dateien zu verschlüsseln -> wäre ja schon ein Fall für die Erkennung, daß hier was schief läuft.
Bei avast wird so komisches Zeug dann erst mal in die Sandbox verpflanzt. Ob das jetzt das Nonplusultra ist, wage ich nicht zu definieren...
Und wie es die Schadsoftware geschafft hat, sich von einem Client auszubreiten (mittlerweile steht Patient 0 ja fest), und letzten Endes Sicherungsoperatoren-Status zu erhalten (Dienstkonto!), das ist mir leider noch ein Rätsel.
Das Problem ist also noch immer: wie schütze ich ein Backup vor Modifikation?
Irgendwie muß das Backup ja erstellt werden, und wie in meinem Fall muß die Software, welche das erstellt, ja letzten Endes Rechte haben
Lonesome Walker
Zitat von @16568:
Öhm, ich rede hier von Trendmicro WorryFree, okay?
Es ist eine Schande, daß avast und AVG den Schädling sofort erkannt haben, aber MS, Symantec, McAffe (*g*) F-Secure, Kaspersky und all die andern großen, KEINER hat das erkannt!
da würde ich gerne wissen von welcher kasperky version du redest, bzw. mit welcher du gearbeitet hast.Zitat von @goscho:
die AV-Programme können wesentlich mehr, als du gesagt bekommen hast und nein, sie arbeiten eben nicht mehr nur signaturbasierend.
Schau dir ein paar AV-Suiten für Firmen an, was diese an Funktionen beinhalten, um genau den Fall, den du hattest, nicht zu bekommen.
die AV-Programme können wesentlich mehr, als du gesagt bekommen hast und nein, sie arbeiten eben nicht mehr nur signaturbasierend.
Schau dir ein paar AV-Suiten für Firmen an, was diese an Funktionen beinhalten, um genau den Fall, den du hattest, nicht zu bekommen.
Öhm, ich rede hier von Trendmicro WorryFree, okay?
Es ist eine Schande, daß avast und AVG den Schädling sofort erkannt haben, aber MS, Symantec, McAffe (*g*) F-Secure, Kaspersky und all die andern großen, KEINER hat das erkannt!
und hast du einen namen von dem crypt virus, trojaner was auch immer...
Ich habe mir extra die Mühe gemacht, VM aufsetzen, und los gehts mit Infektion gegen AV.
Einfach nur peinlich.
Der Crypto-Trojaner fängt fleißig an, Dateien zu verschlüsseln -> wäre ja schon ein Fall für die Erkennung, daß hier was schief läuft.
Bei avast wird so komisches Zeug dann erst mal in die Sandbox verpflanzt. Ob das jetzt das Nonplusultra ist, wage ich nicht zu definieren...
Und wie es die Schadsoftware geschafft hat, sich von einem Client auszubreiten (mittlerweile steht Patient 0 ja fest), und letzten Endes Sicherungsoperatoren-Status zu erhalten (Dienstkonto!), das ist mir leider noch ein Rätsel.
Das Problem ist also noch immer: wie schütze ich ein Backup vor Modifikation?
Irgendwie muß das Backup ja erstellt werden, und wie in meinem Fall muß die Software, welche das erstellt, ja letzten Endes Rechte haben
Lonesome Walker
Einfach nur peinlich.
Der Crypto-Trojaner fängt fleißig an, Dateien zu verschlüsseln -> wäre ja schon ein Fall für die Erkennung, daß hier was schief läuft.
Bei avast wird so komisches Zeug dann erst mal in die Sandbox verpflanzt. Ob das jetzt das Nonplusultra ist, wage ich nicht zu definieren...
Und wie es die Schadsoftware geschafft hat, sich von einem Client auszubreiten (mittlerweile steht Patient 0 ja fest), und letzten Endes Sicherungsoperatoren-Status zu erhalten (Dienstkonto!), das ist mir leider noch ein Rätsel.
Das Problem ist also noch immer: wie schütze ich ein Backup vor Modifikation?
Irgendwie muß das Backup ja erstellt werden, und wie in meinem Fall muß die Software, welche das erstellt, ja letzten Endes Rechte haben
Lonesome Walker
Zitat von @Vision2015:
da würde ich gerne wissen von welcher kasperky version du redest, bzw. mit welcher du gearbeitet hast.
und hast du einen namen von dem crypt virus, trojaner was auch immer...
da würde ich gerne wissen von welcher kasperky version du redest, bzw. mit welcher du gearbeitet hast.
und hast du einen namen von dem crypt virus, trojaner was auch immer...
Wie ich schon schrieb, von allen Versionen die Enterprise-Lizenz (sowas bekommt man ja immer als NFR...).
Auch auf virustotal hochgeladen, same result.
Lonesome Walker
Hallo LonesomeWalker,
mich würde interessieren, welche Version von TrendMicro WFBS Du im Einsatz hast? Wir haben hier WFBS 9.0 SP2 laufen und darin ist ein eigenes Ransomware-Module integriert (Wurde mir SP2 eingeführt). Hier werden Veränderungen am VSS und unerlaubte Verschlüsselungsvorgänge verhindert.
Ich habe mir auch erlaubt das in meiner Testumgebung mit zwei CrypoViren zu testen und beide wurden gleich beim Empfang enttarnt und entfernt, bevor Sie Ihr zerstörerisches Werk starten konnten.
Wobei ich glaube, dass die CryptoViren nicht direkt per Mail kommen sondern erste ein Trojan-Downloader kommt, der den Payload (CrypoVirus) nachzieht.
Generell hat mir der WorryFree Business Security hier schon oft genug angeschlagen und seinen Job mehr als gut erfüllt.
Ich glaube hier auch, dass oft eine "Geschwindigkeitsoptimierung" des Virenscanners zu Lasten der Sicherheit geht.
Außerdem, was nützt der beste Virenscanner, wenn man sein System nicht patcht (Acrobat Reader, Flashplayer etc.).Der Virenscanner ist nur eine Bastion der Sicherheit! Hier greifen Berechtigungsstrukturen, Dienstkonto-Trennung, Patchmanagement, Proxy, Firewall und gesunder Menschenverstand ineinander.
Mich würde auch interessieren, wie der Avast den Virus gefunden hat...hast Du einen Offline-Scan mit einer CD durchgeführt? Dann spräche es ja dafür, dass dein Virenscanner bereits anderweitig kompromittiert wurde und dadurch der Virenscanner den Virus nicht finden konnte.
Grüße,
dng-alt
mich würde interessieren, welche Version von TrendMicro WFBS Du im Einsatz hast? Wir haben hier WFBS 9.0 SP2 laufen und darin ist ein eigenes Ransomware-Module integriert (Wurde mir SP2 eingeführt). Hier werden Veränderungen am VSS und unerlaubte Verschlüsselungsvorgänge verhindert.
Ich habe mir auch erlaubt das in meiner Testumgebung mit zwei CrypoViren zu testen und beide wurden gleich beim Empfang enttarnt und entfernt, bevor Sie Ihr zerstörerisches Werk starten konnten.
Wobei ich glaube, dass die CryptoViren nicht direkt per Mail kommen sondern erste ein Trojan-Downloader kommt, der den Payload (CrypoVirus) nachzieht.
Generell hat mir der WorryFree Business Security hier schon oft genug angeschlagen und seinen Job mehr als gut erfüllt.
Ich glaube hier auch, dass oft eine "Geschwindigkeitsoptimierung" des Virenscanners zu Lasten der Sicherheit geht.
Außerdem, was nützt der beste Virenscanner, wenn man sein System nicht patcht (Acrobat Reader, Flashplayer etc.).Der Virenscanner ist nur eine Bastion der Sicherheit! Hier greifen Berechtigungsstrukturen, Dienstkonto-Trennung, Patchmanagement, Proxy, Firewall und gesunder Menschenverstand ineinander.
Mich würde auch interessieren, wie der Avast den Virus gefunden hat...hast Du einen Offline-Scan mit einer CD durchgeführt? Dann spräche es ja dafür, dass dein Virenscanner bereits anderweitig kompromittiert wurde und dadurch der Virenscanner den Virus nicht finden konnte.
Grüße,
dng-alt
Hatte.
Die war stets aktuell...
Wir haben hier WFBS 9.0 SP2 laufen und darin ist ein eigenes Ransomware-Module integriert (Wurde mir SP2 eingeführt).
Hier werden Veränderungen am VSS und unerlaubte Verschlüsselungsvorgänge verhindert.
Hier werden Veränderungen am VSS und unerlaubte Verschlüsselungsvorgänge verhindert.
Komisch, bei meinem Serverlein hat das nix gebracht.
Mittlerweile hat es der Schädling auch in die Signatur-Datenbank bei denen geschafft; über virustotal.com erkennt die TM Housecall-Engine den Schädling aber noch immer nicht...*kopftisch*
Wobei ich glaube, dass die CryptoViren nicht direkt per Mail kommen sondern erste ein Trojan-Downloader kommt,
der den Payload (CrypoVirus) nachzieht.
der den Payload (CrypoVirus) nachzieht.
Das ist Haarspalterei, wie eine Infektion erfolgt.
Fakt ist, sie hat stattgefunden, und dank privilege escalation auch irgendwie auf dem Server ordentlich Unfug getrieben.
(und nein, ich halte meine Kisten schon möglichst aktuell... der Server in diesem Falle war aktuell gepatcht)
Generell hat mir der WorryFree Business Security hier schon oft genug angeschlagen und seinen Job mehr als gut erfüllt.
Sorry, aber mir ist TM in den letzten Monaten schon öfters negativ aufgefallen.
Und das schreibe ich, obwohl mir dabei das Herz blutet (ich finde die Oberfläche und das Management einfacher als bei vielen anderen Lösungen)
Ich glaube hier auch, dass oft eine "Geschwindigkeitsoptimierung" des Virenscanners zu Lasten der Sicherheit geht.
Jepp, nur hört bei denen im Management genauso wenig einer zu wie bei VW :-P
Außerdem, was nützt der beste Virenscanner, wenn man sein System nicht patcht (Acrobat Reader, Flashplayer etc.).
Ha ha, Du bist ein Scherzkeks.
Adobe hat von 100 Sicherheitslücken 50 gepatcht. Was willste da machen?
... und gesunder Menschenverstand ineinander.
AHAHAHAHAHAHA
YOU MADE MY DAY.Sorry, aber das kannst Du ja nicht ernst meinen...?
Mich würde auch interessieren, wie der Avast den Virus gefunden hat...
Festplatte ausgebaut, drangeklemmt, PING.
Dann spräche es ja dafür, dass dein Virenscanner bereits anderweitig kompromittiert wurde und dadurch der Virenscanner den Virus nicht finden konnte.
Um ehrlich zu sein ist mir das total egal.
Wenn sich das so leicht bewerkstelligen läßt, dann ist der AV eh schei*e.
Daher werde ich wohl die nächste Zeit mit Sicherheit keine Lösungen von TM mehr einsetzen, geschweige denn empfehlen.
Lonesome Walker
(der noch immer auf der Suche nach einem praktikablen Sicherungskonzept ist...)
1
Eine Sicherung die Offline ist, kann nicht komprommitiert werden.
Und man fährt grundsätzlich ein Mehrgenerationen Backup - auf verschiedenen Medien (Bändern, HDDs)
Und man fährt grundsätzlich ein Mehrgenerationen Backup - auf verschiedenen Medien (Bändern, HDDs)
