20
Cryptowall und andere Verschlüsselungstrojaner
Hey Leute,
wir haben in der letzten Zeit fast wöchentlich das Problem das wir uns dieses ding irgendwo einfangen, zwar können wir dateien aus dem Backup wiederherstellen, aber es wäre doch schöner wenn wir Preventiv verhindern können das sich das Ding überhaupt erst installiert. Die Anwender haben i.d.R. nach übereinstimmender Aussage nur normale internet Recherchen gemacht und auch keine Dateianhänge in E-Mails ausgeführt was ich hier auch glaube aufgrund der Menge der fälle
zur Zeit steht im Raum eine Contentfilterung "einzukaufen" was natürlich recht teuer ist und wo der nutzen zumindest nicht bestätigt ist. Wie löst ihr das Problem bei euch?
Danke und Gruß
wir haben in der letzten Zeit fast wöchentlich das Problem das wir uns dieses ding irgendwo einfangen, zwar können wir dateien aus dem Backup wiederherstellen, aber es wäre doch schöner wenn wir Preventiv verhindern können das sich das Ding überhaupt erst installiert. Die Anwender haben i.d.R. nach übereinstimmender Aussage nur normale internet Recherchen gemacht und auch keine Dateianhänge in E-Mails ausgeführt was ich hier auch glaube aufgrund der Menge der fälle
zur Zeit steht im Raum eine Contentfilterung "einzukaufen" was natürlich recht teuer ist und wo der nutzen zumindest nicht bestätigt ist. Wie löst ihr das Problem bei euch?
Danke und Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 277273
Url: https://administrator.de/contentid/277273
Printed on: April 19, 2024 at 15:04 o'clock
20 Comments
Latest comment
Hallo @Fantomas741,
Punkt 1) UTM Firewall mit aktiven Services (Webfilter, AV, ...)
Punkt 2) "guten" AntiVirus auf den Endgeräten
Punkt 3) Kein Flash installieren
Punkt 4) Kein Java installieren
Punkt 5) Adblocker für alle Browser installieren
Punkt 6) Brain.exe nutzen
Punkt 7) keine Adminrechte auf den Geräten
Gruß
@kontext
Punkt 1) UTM Firewall mit aktiven Services (Webfilter, AV, ...)
Punkt 2) "guten" AntiVirus auf den Endgeräten
Punkt 3) Kein Flash installieren
Punkt 4) Kein Java installieren
Punkt 5) Adblocker für alle Browser installieren
Punkt 6) Brain.exe nutzen
Punkt 7) keine Adminrechte auf den Geräten
Gruß
@kontext
1
Moin,
also erstmal gibt es da mehrere Punkte:
- keine lokalen Admin Rechte für Benutzer
- ordentliches lokales Antiviren System (Empfehlung: Eset oder TrendMicro)
- Firewall mit Virenscanner
- Virenscanner auf dem Mailserver
- .zip Mailanhänge blocken
- Flashplayer + Java deinstallieren
Bei anderen Unternehmen kommen hauptsächlich gefälschte Mails (Bewerbung, Rechnung usw.) an.
Die Mitarbeiter versuchen natürlich diese Mails zu öffnen (obwohl Sie sowas nicht bekommen sollten) und hätten sich ohne Virenscanner schon was eingefangen.
VG
Val
also erstmal gibt es da mehrere Punkte:
- keine lokalen Admin Rechte für Benutzer
- ordentliches lokales Antiviren System (Empfehlung: Eset oder TrendMicro)
- Firewall mit Virenscanner
- Virenscanner auf dem Mailserver
- .zip Mailanhänge blocken
- Flashplayer + Java deinstallieren
Bei anderen Unternehmen kommen hauptsächlich gefälschte Mails (Bewerbung, Rechnung usw.) an.
Die Mitarbeiter versuchen natürlich diese Mails zu öffnen (obwohl Sie sowas nicht bekommen sollten) und hätten sich ohne Virenscanner schon was eingefangen.
zur Zeit steht im Raum eine Contentfilterung "einzukaufen" was natürlich recht teuer ist und wo der nutzen zumindest nicht bestätigt ist.
Eine reine Contentfilterung blockt Webseiten nach Kategorien, es sollte jedoch der Datenstrom überprüft werden.VG
Val
Hi,
JAVA und Flash können wir leider nicht deaktivieren da diverse Programme im Unternehmen auf Java Basieren, die Benutzer haben keine lokalen Admin rechte sie Arbeiten auf Terminalservern, die Benutzerrechte reichen aber scheinbar aus um alle Verzeichnisse und Laufwerke zu Verschlüsseln auf die sie Zugriff haben.
Ob ein teurer Virenscanner hier schützt glaube ich auch nicht die Foren namhafter Hersteller sind ebenfalls voll...
JAVA und Flash können wir leider nicht deaktivieren da diverse Programme im Unternehmen auf Java Basieren, die Benutzer haben keine lokalen Admin rechte sie Arbeiten auf Terminalservern, die Benutzerrechte reichen aber scheinbar aus um alle Verzeichnisse und Laufwerke zu Verschlüsseln auf die sie Zugriff haben.
Ob ein teurer Virenscanner hier schützt glaube ich auch nicht die Foren namhafter Hersteller sind ebenfalls voll...
Zitat von @Fantomas741:
JAVA und Flash können wir leider nicht deaktivieren da diverse Programme im Unternehmen auf Java Basieren ...
JAVA und Flash können wir leider nicht deaktivieren da diverse Programme im Unternehmen auf Java Basieren ...
Dann solltet ihr schauen das Java und Flash immer auf dem aktuellsten Stand sind.
Vor allem alte Java Versionen sollten partout nicht mehr eingesetzt werden ...
... leider zeigt es sich aus der Vergangenheit: Cryptolocker und solche Dinge kommen meistens über Flash oder Java
Aber wie gesagt - ein paar Inputs hast du ja bekommen
Gruß
@kontext
Hi.
Cryptoviren sind nur insofern etwas besonderes, als das sie unmittelbar weh tun. Sie benutzen keine gesonderten Infektionswege.
Seit Ihrem Aufkommen sind proaktive Maßnahmen wie Applocker natürlich bekannter geworden, dennoch scheinen es viele noch nicht zu kennen. https://technet.microsoft.com/de-de/library/dd723678%28v=ws.10%29.aspx
Für non-enterprise-Windows gibt es software restriction policies, den Vorgänger von applocker https://technet.microsoft.com/en-us/library/bb457006.aspx
Cryptoviren sind nur insofern etwas besonderes, als das sie unmittelbar weh tun. Sie benutzen keine gesonderten Infektionswege.
Seit Ihrem Aufkommen sind proaktive Maßnahmen wie Applocker natürlich bekannter geworden, dennoch scheinen es viele noch nicht zu kennen. https://technet.microsoft.com/de-de/library/dd723678%28v=ws.10%29.aspx
Für non-enterprise-Windows gibt es software restriction policies, den Vorgänger von applocker https://technet.microsoft.com/en-us/library/bb457006.aspx
Zitat von @DerWoWusste:
Für non-enterprise-Windows gibt es software restriction policies, den Vorgänger von applocker
https://technet.microsoft.com/en-us/library/bb457006.aspx
Für non-enterprise-Windows gibt es software restriction policies, den Vorgänger von applocker
https://technet.microsoft.com/en-us/library/bb457006.aspx
Super danke dir, kannte ich noch garnicht!
VG
Val
CryptoWall 3.0 hat es erst vor Kurzen ins Netzwerk bei einem Kunden geschafft, trotz Trend Micro.
Scriptblocker in den Browsern wre noch eine Möglichkeit.
Dann das System und die Programme immer aktuell halten und nicht den IE sondern Firefox oder Chrome mit Scriptblocker (Noscript µMatrix) verwenden.
Dann das System und die Programme immer aktuell halten und nicht den IE sondern Firefox oder Chrome mit Scriptblocker (Noscript µMatrix) verwenden.
Zitat von @122573:
Dann das System und die Programme immer aktuell halten und nicht den IE sondern Firefox oder Chrome mit Scriptblocker
Kannst du das mit dem IE mal näher begründen? Da kann man übrigens auch Scriptblocker installieren ...
Zitat von @AnkhMorpork:
Kannst du das mit dem IE mal näher begründen? Da kann man übrigens auch Scriptblocker installieren ...
Kannst du das mit dem IE mal näher begründen? Da kann man übrigens auch Scriptblocker installieren ...
Und Adblocker
Hallo Leute,
Ich habe gerade euren Thread gesehen und das Thema App Locker und eure Erfahrungen dazu würden mich interessieren.
Ich teste gerade Trend Micro Endpoint Application Control (im Prinzip das gleiche wie App Locker).
Für App Locker benötigt man eine Windows Enterprise Version auf den Clients oder?
nice greetz jojo
Ich habe gerade euren Thread gesehen und das Thema App Locker und eure Erfahrungen dazu würden mich interessieren.
Ich teste gerade Trend Micro Endpoint Application Control (im Prinzip das gleiche wie App Locker).
Für App Locker benötigt man eine Windows Enterprise Version auf den Clients oder?
nice greetz jojo
"Applocker funktioniert" Viel mehr gibt es dazu nicht zu sagen. Man kann es wunderbar über GPOs steuern, es ist kaum zu umgehen und die Gefahr, sich auszusperren ist durch die Defaultregeln ("alles, was in Windows- und Programmordnern sitzt zulassen") nicht gegeben.
Ja, man braucht dazu enterprise oder win7 ultimate. Wie gesagt hat es auch einen Vorgänger, "software restriction policies", der auch in den Pro-Versionen drin ist und auch per GPO gesteuert werden kann.
Viel mehr gibt es dazu nicht zu sagen. Man kann es wunderbar über GPOs steuern, es ist kaum zu umgehen und die Gefahr, sich auszusperren ist durch die Defaultregeln ("alles, was in Windows- und Programmordnern sitzt zulassen") nicht gegeben.Ja, man braucht dazu enterprise oder win7 ultimate. Wie gesagt hat es auch einen Vorgänger, "software restriction policies", der auch in den Pro-Versionen drin ist und auch per GPO gesteuert werden kann.
Ok, aber die Mehrzahl der Viren setzt sich in Windows oder Programmordnern ab... ist das dann nicht sinnlos?
nice greetz jojo
nice greetz jojo
aber die Mehrzahl der Viren setzt sich in Windows oder Programmordnern ab... ist das dann nicht sinnlos?
Um in diese Ordner schreiben zu dürfen, bräuchten diese Viren Adminrechte. Um die zu erlangen, müssen sie Schadcode ausführen, welcher durch Applocker gestoppt wird.
Ok, der App Locker in Kombination mit "ohne Adminrechte" führt dann zu einer deutlich erhöhten Sicherheit.
Ohne Admin Rechte können dann User Java oder Adobe nicht mehr selbstständig updaten durch den App Locker können aber Adobe oder Java Lücken nicht mehr ausgenützt werden ... oder?
nice greetz jojo
Ohne Admin Rechte können dann User Java oder Adobe nicht mehr selbstständig updaten durch den App Locker können aber Adobe oder Java Lücken nicht mehr ausgenützt werden ... oder?
nice greetz jojo
Ohne Admin Rechte können dann User Java oder Adobe nicht mehr selbstständig updaten
Das ist jetzt aber keine ernstgemeinte Frage, oder?durch den App Locker können aber Adobe oder Java Lücken nicht mehr ausgenützt werden ... oder?
Doch, schon, nur sobald dann Schadcode anstarten möchte, wird er gestoppt.
Kannst du auch was dazu sagen ob Content Filterung hier sinn macht?
Filtern kannst Du nur, was Du zuvor für böse erklärst. Kennst Du neue Trojaner, die sich da tummeln? Ich wüsste nicht, wie. Whitelisting geht über Filterung natürlich auch irgendwie, aber kommt nicht an Applocker ran.
Ok, also für mich sind immer 2 Dinge wichtig: So sicher und einfach wie möglich (Der goldene Mittelweg ist also gefragt)
Beim Content Filtern hast du immer das Problem von Falschmeldungen. Also Website die ungefährlich sind aber aufgrund vom Content Filtern geblockt werden. Daher läufst du ständig den Usern hinterher und machst dann mit Whitelisting wieder Löcher in dein System und wer sagt dir dann das nicht irgendeine Werbung auf der Seite die alle unbedingt benötigen doch wieder einen Virus lädt? Also aus meiner Sicht nicht praktikabel.
Dann könnte man also zusammenfassen:
- Keine lokalen Admin Rechte (Bei manchen Usern schwierig weil sie es schon gewohnt sind.. da muss der Chef dahinter stehen)
- Softwareverteilungssystem um die lokalen Anwendungen am letzten Stand zu halten
- Applocker (oder ein ähnliches System)
- Virenschutz ist für mich sowieso Standard... aber das wissen eben auch diejenigen die Viren schreiben
Damit sollte man eigentlich einen guten Client Schutz gewährleisten können.
Bei einem Terminalserver könnte man dann die ersten beiden Punkte weglassen aber wer arbeitet schon zu 100 % mit Terminalserver.
nice greetz jojo
PS: Habe mir vor kurzem "Lastline" (https://www.lastline.com/) angesehen... eine Art Reverse Firewall. Gutes Konzept habe jedoch noch keine Erfahrung damit....aber sicher einen Blick wert.
Beim Content Filtern hast du immer das Problem von Falschmeldungen. Also Website die ungefährlich sind aber aufgrund vom Content Filtern geblockt werden. Daher läufst du ständig den Usern hinterher und machst dann mit Whitelisting wieder Löcher in dein System und wer sagt dir dann das nicht irgendeine Werbung auf der Seite die alle unbedingt benötigen doch wieder einen Virus lädt? Also aus meiner Sicht nicht praktikabel.
Dann könnte man also zusammenfassen:
- Keine lokalen Admin Rechte (Bei manchen Usern schwierig weil sie es schon gewohnt sind.. da muss der Chef dahinter stehen)
- Softwareverteilungssystem um die lokalen Anwendungen am letzten Stand zu halten
- Applocker (oder ein ähnliches System)
- Virenschutz ist für mich sowieso Standard... aber das wissen eben auch diejenigen die Viren schreiben
Damit sollte man eigentlich einen guten Client Schutz gewährleisten können.
Bei einem Terminalserver könnte man dann die ersten beiden Punkte weglassen aber wer arbeitet schon zu 100 % mit Terminalserver.
nice greetz jojo
PS: Habe mir vor kurzem "Lastline" (https://www.lastline.com/) angesehen... eine Art Reverse Firewall. Gutes Konzept habe jedoch noch keine Erfahrung damit....aber sicher einen Blick wert.
Alles klar, ja sowas hab ich mir schon fast gedacht...
wir Arbeiten inzwischen zu 99% auf Terminalservern nur einige wenige mit "Spezialsoftware" die z.B. irgendwelche Peripherie benötigt haben noch Fat-Clients...
wir Arbeiten inzwischen zu 99% auf Terminalservern nur einige wenige mit "Spezialsoftware" die z.B. irgendwelche Peripherie benötigt haben noch Fat-Clients...
