Shemeneto 11 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 Hallo, anscheinend haben es nun "endlich" einige Ganoven gemerkt, wie man effektiv Nutzer erpressen kann...Die neusten Nachrichten über die Erpressungstrojaner, welche die Nutzerdaten verschlüsseln um damit Geld zu erpressen, verursacht mir momentan "schlaflose Nächte".Wie soll bzw. kann man die Daten auf den Fileservern effektiv schützen um eine Verschlüsselung zu verhindern?Hat sich da schon jemand Gedanken gemacht und gibt es eventuell schon einige Lösungsansätze dazu?Gruß, Shemeneto Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 (bearbeitet) Morn, Trojaner dieser Art habe ich bisher nur auf nicht oder schlecht geschützten Rechnern, meist private vollkommen ohne oder mit kostenloser AV erlebt. Ich meine: Fileserver gehen nicht ins Internet, sie Surfen nicht. Auf Fileserver kann nur der Administor Anwendungen ausführen, niemand sonst kann einen Trojaner installieren, ausführen. Auf dem Fileserver läuft zudem eine hochwertiges Schutzsoftware. Auch schottet die Firewall den Server ab so gut und weit wie nur möglich. bearbeitet 2. Mai 2014 von lefg Zitieren Link zu diesem Kommentar
Sunny61 811 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 Die neusten Nachrichten über die Erpressungstrojaner, welche die Nutzerdaten verschlüsseln um damit Geld zu erpressen, verursacht mir momentan "schlaflose Nächte". Wie soll bzw. kann man die Daten auf den Fileservern effektiv schützen um eine Verschlüsselung zu verhindern? Hat sich da schon jemand Gedanken gemacht und gibt es eventuell schon einige Lösungsansätze dazu? Im Falle des Falles das Backup einspielen. Ansonsten die Benutzerrechte so weit einschränken wie möglich. FW und AV-Scanner einsetzen und aktualisieren. Zitieren Link zu diesem Kommentar
Shemeneto 11 Geschrieben 2. Mai 2014 Autor Melden Teilen Geschrieben 2. Mai 2014 das Problem sind die ja auch die Clientrechner nicht die Server. Wenn so ein Trojaner auf dem Server wäre, das wäre ja schon ein Supergau!Aber was soll man machen, wenn sich ein Client-PC (z.B. ein Notebook) trotz aktuellem Virenscanner und Updates usw. mit so einem Trojaner infiziert. Und ich denke, das ist durchaus möglich. Der User der sich mit diesem Client-PC anmeldet wird bald das Problem haben, dass alle seinen Dateien, die auf dem Filesserver abgelegt sind, verschlüsselt sind. Und Backups sind ja auch nur eine Teillösung. Erstens sind vielleicht die aktuellsten Daten noch nicht gesichert worden und zweitens ist es auch ein administrativer Aufwand, den man vermeiden möchte... Zitieren Link zu diesem Kommentar
zahni 559 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 (bearbeitet) Ein paar Stichpunkte für ein Unternehmensnetz: - USB-Ports für User sperren. Dateien können durch den Benutzerservice (nach Virenscan) eingelesen werden. - Zugang zum Internet nur über einen Proxy , der aktiv filtert, d.h., der automatisch bekannte Malware-Url's sperrt und ausführbaren Code (z.B. Exe und DLL) herausfiltert, inkl. einer Virenscanner-Funktion - Filter auf Mailsystem, der "aktive" Inhalte filtert - User keine lokalen Adminrechte - Applocker oder Software Restriction Policy verwenden. Beide werden, wenn richtig konfiguriert, das Ausführung von Programmen verhindern, die in nicht "erlaubten" Verzeichnissen gespeichert werden, z.B. %temp% und dem Browser Cache. - Virenscanner, falls der neue Viren zufällig erkennen sollte ;) P: "Neu" sind solche Trojaner nicht. Nur waren die älteren Versionen schlecht programmiert. Die Verschlüsselung lies sich aushebeln. bearbeitet 2. Mai 2014 von zahni Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 (bearbeitet) Ich meine: Auch für den Arbeitsrechnern gilt, es kann kein Trojaner im Kontext des Benutzers installiert werden, da der Benutzer kein Administrator ist. Auch auf dem Arbeitsrechner läuft eine hochwertige Schutzsoftware, die Firewall schottet den Rechner gegen Zugriffe von aussen ab. Und falls ein Benutzer die Regeln nicht einhält, dann hat er Pech gehabt und selbst Schuld, dann muss er die Arbeit nochmals machen oder dem Erpresser zahlen. Und den Rechner kann er zur Neuinstallation mit Schutz bei mir lassen und dafür zahlen. Ich habe da keine Angst, keine schlaflosen Nächte. bearbeitet 2. Mai 2014 von lefg Zitieren Link zu diesem Kommentar
Shemeneto 11 Geschrieben 2. Mai 2014 Autor Melden Teilen Geschrieben 2. Mai 2014 Ok, habt mich überzeugt. :) Danke übrigens für den Tipp mit den "Software Restriction Policy". Wollte ich schon lange mal umsetzen... Gruß, Shemeneto Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 (bearbeitet) Viel Erfolg :) Bitte berichte mal über die Software Restriction und die Sperrung des USB, wie sich das dann in der Praxis, im Felde auswirkt. bearbeitet 2. Mai 2014 von lefg Zitieren Link zu diesem Kommentar
zahni 559 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 Hier muss ich Dir widersprechen: Viele Trojaner sind heute darauf ausgelegt im Kontext des Benutzers ausgeführt zu werden. Für so einen Erpressungstrojaner ist das völlig ausreichend. Die SRP funktioniert gut. Was ist Deine Frage ? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 Was wurde nicht erwähnt? Aktueller Patchlevel, besonders für IE auf XP! Zitieren Link zu diesem Kommentar
zahni 559 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 Diese Aussage Auch für den Arbeitsrechnern gilt, es kann kein Trojaner im Kontext des Benutzers installiert werden, da der Benutzer kein Administrator ist. Stimmt heute so nicht mehr. Besonders für Trojaner , die es auf Geld (PaySafe-Card, etc) abgesehen haben. Zum kurzzeitigen Ausspionieren reicht auch der Benutzermodus. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 (bearbeitet) Hier muss ich Dir widersprechen: Viele Trojaner sind heute darauf ausgelegt im Kontext des Benutzers ausgeführt zu werden. Für so einen Erpressungstrojaner ist das völlig ausreichend. Die SRP funktioniert gut. Was ist Deine Frage ? Ist eine Möglichkeit zum Testen bekannt, ob ein Trojaner im Kontext des eingeschränkten Benutzers installier- und ausführbar ist? Diese Aussage Stimmt heute so nicht mehr. Besonders für Trojaner , die es auf Geld (PaySafe-Card, etc) abgesehen haben. Zum kurzzeitigen Ausspionieren reicht auch der Benutzermodus. Und eine Software wie GDATA oder Sophos schützt da nicht? bearbeitet 2. Mai 2014 von lefg Zitieren Link zu diesem Kommentar
zahni 559 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 (bearbeitet) Jede beliebige Exe, Du ein passenden Verzeichnis kopierst. Z.b. die Notepad.exe. Stell Dir mal vor, die Notepad.exe würde die TXT-Datei verschlüsselt abspeichern und Dir eine Webseite zum Entsperren anzeigen. Ein Virus ist es nicht, sondern ein Trojaner, denn die Exe hat keine Routine zum Verbreiten eingebaut. Verschlüsselt ist die TXT-Datei aber trotzdem. Ich gerade mal nach Event-ID 865 gesucht. Bei einem User wurde kürzlich C:\Users\UserXYZ\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZQSGTFU3\install_flashplayer13x32axau_gtba_chra_dy_aaa_aih.exe blockiert. Die Exe deutet zumindest auf einem Adware-Installer hin. K.A. warum die Proxy vorbei kam. Vermutlich per HTTPS. bearbeitet 2. Mai 2014 von zahni Zitieren Link zu diesem Kommentar
Shemeneto 11 Geschrieben 2. Mai 2014 Autor Melden Teilen Geschrieben 2. Mai 2014 Und eine Software wie GDATA oder Sophos schützt da nicht? Virensoftware ist meiner Meinung nach zwar ein gewisser Schutz, aber es gibt ja wohl doch immer wieder Maleware die auch durch die Verhaltenserkennung solcher Software durchschlüpft... Unserer Virensoftware (leider habe ich auf die Auswahl keinen Einfluss) ist das jedenfalls schon das eine oder andere Mal passiert. Zitieren Link zu diesem Kommentar
zahni 559 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 Und eine Software wie GDATA oder Sophos schützt da nicht? Wenn der Scanner den Virus / Trojaner kennt, bestimmt. Leider ist das bei gehackten Website ganz selten der Fall, weil die EXE'en "tagesfrisch" erstellt werden Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.