krake79 1 Geschrieben 27. Juni 2014 Melden Teilen Geschrieben 27. Juni 2014 Hi, heute hat es meinen zweiten Kunden erwischt! Alle Word, Excel, PDF und JPG wurden auf dem Server verschlüsselt! Vor ungefähr einer Woche das selbe Spiel bei einem anderen Kunden! Zum Glück gab es jedesmal eine funktionierende Datensicherung, des komplett Systems, aber trotzdem ist die Bereinigung (Daten-Rücksicherung) viel Arbeit und der Datenverlust des Tages teilweise für den Kunden auch sehr schmerzhaft. Beide Kunden hatten einen aktuellen Virenschutz (Sophos und BitDefender) aber trotzdem sind sie Opfer geworden. Da ich keine Lust habe die nächsten Wochen bei Div. Kunden die System wiederherzustellen würde ich mich gern vorher schützen. Der Support von den Sophos und Co macht mir nicht viel Hoffnung: "Die ändern in fast jeder E-Mail Ihre Signatur da kommen wir momentan nicht gegen an!" Ebenso ärgerlich, man kann den Verursacher-PC gar nicht so einfach lokalisieren. Da der Virus sich anscheinend nach getaner Arbeit wieder deinstalliert. (Ist mein Empfinden, irgendwie finde ich noch nicht viel über diesen Virus) Bzw. auch bei Offline-Scans habe ich auch nichts gefunden. Da die AntiViren-Hersteller den Virus aber nicht kennen, kann er natürlich auch nicht gefunden werden. Kann es sein, dass der Virus in zwei Wochen wieder aktiv wird und die Daten wieder verschlüsselt? Hat jemand nähre Infos? Bzw. wie kann ich mich noch davor schützen? Vielleicht gibt es auch Leidensgenossen, einfach mal melden.... Gruß K79 Hier noch ein paar Infos zum Virus an sich: hxxp://www.heise.de/security/meldung/Neuer-Erpressungs-Trojaner-verschluesselt-mit-RSA-2048-2180482.html Bei den einem Kunden habe ich herausfinden können, welcher User Schuld war (Nach der Verschlüsselung ist er Besitzer der Dateien) Dieser User hat sich im besagten Zeitraum an 3 Rechnern angemeldet. An diesem Rechner wurde aber nichts verschlüsselt. Auch habe ich auf Anhieb keine verdächtigen Prozesse bemerkt. Habe die drei Rechner auch in eine Testumgebung gepackt. Aber auch nach 24h wurden keine weitern Daten auf Netzlaufwerken verschlüsselt. - Anschließend habe ich die Rechner trotzdem neu installiert. Bei dem zweiten Kunden, melden sich 10 User alle mit dem selben Namen an! Daher wird es noch schwieriger den Kreis zu schließen! Wenn ich auf die "Entschlüsselungswebseite" gehe, sehe ich hier nur, dass es sich um ein Windows7 (32Bit) System handelt. Werde Montag mal schauen, wer da in Frage kommt, da die meisten eigentlich 64Bit sein müssten. Beide Kunden versicher aber (ja, ich weiß was man darauf geben kann aber trotzdem) zu dem Zeitpunkt keinen Mailanhang geöffnet zu haben. Ist es wohl Möglich, dass der Virus erst Zeitversetzt aktiv wird. Obwohl ich der Meinung bin, dass der Virus so schnell wie möglich aktiv werden sollte, bevor er dann doch irgendwann erkannt wird?!, Oder? Kunde zwei, hat relativ schnell gemerkt, dass irgendwas nicht stimmt, hat darauf hin alle Rechner und auch den Server neu gestartet. Anscheinend hat der Virus dann mit der Arbeit aufgehört, da bei diesem Kunden nicht alle Dateien verschlüsselt wurden. Vielleicht helfen diese ganzen Informationen ja irgendwie..... Die Hoffnung stirbt zuletzt. Hat eigentlich schon jemand mal bezahlt? Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 27. Juni 2014 Melden Teilen Geschrieben 27. Juni 2014 Moin, 100% Sicherheit gibt es nicht. Du kannst höchstens die Angriffsvektoren reduzieren. Z.Bsp: Mitarbeiter sensibilisieren Internet- und Email Policies über Mail Gateway und Proxy erzwingen (ausführbaren Inhalte sperren, unerwünschter sites blockieren usw.) software restrictions per GPO oder über Sophos Wechseldatenträger beschränken Verschidene Anti Malware Anbieter nutzen (z.Bsp.: Client AV, Server AV, Proxy unterschiedlicher Anbieter einsetzen) usw. Einige Maßnahmen erfordern ggf. eine Abstimmung BR oder DSB Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 28. Juni 2014 Melden Teilen Geschrieben 28. Juni 2014 Ein Privatkunde von mir war auch betroffen (kleine Firma mit 4 PCs und einem SBS). Dort wurde es vermutlich durch einen Drive-by Download "installiert", da wir in keiner Email einen verdächtigen Link finden konnten. Vermutlich durch eine Java Lücke initiert: https://blogs.cisco.com/security/rig-exploit-kit-strikes-oil Software Restriction Policies sind eine der wenigen Wege um dem ganzen vorzubeugen. Das AV nur SnakeOil ist, wurde dir ja an der Hotline bestätigt ;). Hier ist eine gute Website mit vielen Informationen und Software Restrictions howto: http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information Bei den Software Restrictions hilft googlen nach aktuellen Pattern. Neuere Cryptowalls sollen auch c:temp nehmen. Zitieren Link zu diesem Kommentar
daabm 1.375 Geschrieben 29. Juni 2014 Melden Teilen Geschrieben 29. Juni 2014 Software Restrictions helfen nur dann halbwegs zuverlässig, wenn der User nur noch Programme/Skripte/MSIs aus Verzeichnissen ausführen kann, in denen er keine Schreibrechte hat. Das kann mühsam sein, ist dann aber auch effektiv :cool: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.