PowerShellAdmin 169 Geschrieben 18. März 2016 Melden Teilen Geschrieben 18. März 2016 Ahoi, hatte hier bei einem kleiner Kunden jetzt auch einen Vorfall. Nach Locky sieht das Ganze aber nicht aus, eher nach einem schlechten Trittbrettfahrer. Ähnlich wie bei Locky wurden einige Daten auf dem System und Server verschlüsselt. Der Schaden war gering, eine Sicherung auf dem Server wurde bereits wiederhergestellt und der Client wird neu eingerichtet. Bei der Untersuchung des betroffenen Clients sind mir jetzt zwei Dateien aufgefallen: Dateien werden in .Xort verschlüsselt. Im Userverzeichnis habe ich den Übeltäter und zwei weitere interessante Dateien gefunden: confimation.key xort.key Mein Verdacht ist, dass der Verschlüsselungskey nicht gelöscht wurde und die Daten restaurierbar sind. Würde mich doch interessieren, ob ich da mit vertretbaren Aufwand noch dran komme :) VG Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 18. März 2016 Melden Teilen Geschrieben 18. März 2016 eher nicht, da ja der symmetrische AES-Key, mit dem wahrscheinlich verschlüsselt wurde, wiederum durch einen asymetrischen RSA Public/ Private Keypair verschlüsselt ist. Dieser zugehörige private-RSAKey liegt wahrscheinlich nicht (mehr) auf deinem Rechner. btw1: locky hatte (so ich gelesen habe) immer eine gewisse Karenzzeit zwischen Infektion und Aktion, um sich dazwischen innerhalb des Netzwerkes noch weiter verbreiten zu können. -> Kein Domainadmin meldet sich interaktiv (RDP oder am Gerät) mit seiner Admin-Kennung auf Clients an! Never Ever! Ich würde die anderen Rechner des Kunden auf die von dir gefundenen Dateien untersuchen und ggf. die Sicherung wichtiger Dateien überprüfen. btw2: es handelt sich um einen kriminellen Erpressungsversuch. Wenn ein Jurist in der Firma greifbar ist, würde ich ihn mal kontaktieren, ob eine Anzeige sinnvoll ist. Zitieren Link zu diesem Kommentar
Azharu 119 Geschrieben 18. März 2016 Melden Teilen Geschrieben 18. März 2016 Ich glaube auch nicht, dass es was bringt dem hinterher zu gehen. Hauptsache die Systeme sind wieder sauber, dass ist wichtiger denke ich, wenn kein wirklich Datenverlost vorliegt. Mit der Anzeige, würde ich zumindest auch versuchen, auch wenn ich glaube, dass die Behörden da sicherlich schon aktiv sind, aber vielleicht gibt es ja neue Hinweise. Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 18. März 2016 Autor Melden Teilen Geschrieben 18. März 2016 (bearbeitet) Moin, ja Systeme sind soweit alle ok - war ja nur der Client betroffen. Die anderen Systeme sind sauber. Freigaben wurden bereits wiederhergestellt. Das mit der Anzeige ist mir bekannt und hatte ich weitergegeben, sollte ja auch Online über das NRW Portal gehen und ohne großen Aufwand. Allerdings sehe ich das Ganze eher nüchtern. Der Schaden ist in diesem Fall ja zum Glück sehr überschaubar -> ein nur halbversauter Freitag ;) bearbeitet 18. März 2016 von PowerShellAdmin Zitieren Link zu diesem Kommentar
Azharu 119 Geschrieben 18. März 2016 Melden Teilen Geschrieben 18. März 2016 Hi, da hast du noch mal Glück gehabt, ein Kollege aus Münster hatte nicht soviel Glück seine Kunden sind Reihenweise betroffen. Gut, dass nicht soviel passiert ist. Bei uns selber ist bisher nichts dergleichen Aufgetaucht. Das wäre auch ziemlich fatal. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 18. März 2016 Melden Teilen Geschrieben 18. März 2016 (bearbeitet) Und hier wieder ein Beispiel, wie sinnlos Virenscanner sind: https://www.virustotal.com/de/file/ece07a5ff2050fd86d2517b30e509902eafa0060ed8d43a5eef116d5ec176bf9/analysis/1458301083/ (frischer Locky, kam via Javascript-Datei hier gerade an, Download-URL: https://www.virustotal.com/de/url/fb6f719d60662eac5cb56e201e2a3b1b6ca7a39da0b10af889dc3fb12c482dc9/analysis/1458301079/ ) Der Virus "quatscht" übrigens wieder mit einem Server in der Ukraine. bearbeitet 18. März 2016 von zahni Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 18. März 2016 Melden Teilen Geschrieben 18. März 2016 nicht sinnlos, nur im konkreten Fall nicht ausreichend. das mit xor und lokal auslesbaren key hab ich schon wo gelesen, das ist wirklich eien Variante bei der man die Daten wiederherstellen könnte. Restore würde ich aber trotzdem vorziehen Zitieren Link zu diesem Kommentar
massaraksch 41 Geschrieben 18. März 2016 Melden Teilen Geschrieben 18. März 2016 (bearbeitet) Bezüglich Virenscanner... Ich bin gerade etwas (positiv) überrascht: Habe versucht, die EXE in meiner Test-VM mit Windows 10 herunterzuladen: Der Standard-Defender (mit den Signaturen von gestern) hat den Download sofort geblockt und als "Trojan:Win32/Hacowi.B!plovk" gemeldet. https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Trojan:Win32/Hacowi.B!plock Eventuell Heuristik/Verhaltenserkennung durch den Defender? Scheint jedenfalls nicht so schlecht wie oft behauptet. Die Online-Scanner (Virustotal usw.) machen ja wohl keine Heuristik o.ä., sondern reine Signaturprüfung (hab ich irgendwo mal gelesen). Nachtrag: Verhaltenserkennung entfällt eigentlich. Hab die Datei ja nicht ausgeführt, sondern nur runtergeladen. bearbeitet 18. März 2016 von massaraksch Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 18. März 2016 Melden Teilen Geschrieben 18. März 2016 Komisch, bei Virustotal findest die Microsoft-Engine nichts. Über die URL kommt übrigens eine neue Locky-Version: https://www.virustotal.com/de/file/3b4c7214595dde7ad89ec2ddddfd7dfc4fc15f8843133a78b9292fe4e812c85e/analysis/1458325687/ Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 19. März 2016 Autor Melden Teilen Geschrieben 19. März 2016 (bearbeitet) Tja Javaskript ist im Web fest verankert. Doc Dateien immer noch nicht ganz abgewöhnt. Sicherheit ist ja ansich ein Bestreben, man kann es also nur verbessern nicht erreichen. Man darf leider nicht immer wie man will, als Admin ergeben sich daraus immer auch Diskussionen. Der konkrete Fall wäre vermeidbar gewesen - weder ESET ESMX als auch der ESET Client Schutz haben das Virus gefunden. Allerdings hätte eine einfach Dateiregel diesen Vorfall unterbunden. Ich tendiere immer mehr zum Blockall & Exceptions,aber da fehlt auch oftmals die Akzeptanz. Wir haben unser Mailing mittlerweile sehr restriktiert, bei akzeptabler Nutzbarkeit. bearbeitet 19. März 2016 von PowerShellAdmin Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 19. März 2016 Melden Teilen Geschrieben 19. März 2016 Ich tendiere immer mehr zum Blockall & Exceptions,aber da fehlt auch oftmals die Akzeptanz. Sicherheit ist unbequem, so höre ich das aus vielen Kommentaren von Benutzern raus. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 19. März 2016 Melden Teilen Geschrieben 19. März 2016 so ist das eben, die Bemühen erhöhen meist wirklich die Security, aber immer wird irgendwas dadurch langsamer,komplexer und teurer :) kenne keine Securitymaßnahme die was gegenteiliges bewirkt :) Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 20. März 2016 Autor Melden Teilen Geschrieben 20. März 2016 (bearbeitet) Sicherheit ist unbequem aber das ist alles relativ. Die Einschränkungen werden zumeist durch Benutzerignoranz erst zu Problemen. Selbst bei transparenter Informationsplitik wird dann die Info Mail ignoriert und sich dann gewundert, wenn man in Restriktionen läuft. Ich bin kein Freund von Verboten, aber in einer gewissen Form ist es heute notwendig bearbeitet 20. März 2016 von PowerShellAdmin Zitieren Link zu diesem Kommentar
massaraksch 41 Geschrieben 20. März 2016 Melden Teilen Geschrieben 20. März 2016 Komisch, bei Virustotal findest die Microsoft-Engine nichts. Eben deshalb ist das reine Schauen auf die Scan-Ergebisse solcher Seiten wie Virustotal auch nicht der Weisheit letzter Schluß. Es kann gut sein, daß bei Virustotal der jeweilige Scanner nichts findet, die lokal installierte Variante aber sehr wohl. Und umgekehrt (was ja noch ärgerlicher wäre). Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 20. März 2016 Melden Teilen Geschrieben 20. März 2016 (bearbeitet) Und das hilft jetzt wie? Was wäre aus Deiner Sicht das richtige Vorgehen? Weiterhin allein den Virenscannern vertrauen? Im Übrigen muss bei Deinem Versuchsaufbau oder bei Dem was Du heruntergeladen hast etwas nicht stimmen. Microsoft erkennt das Sample jetzt (schon) richtig als "Ransom:Win32/Locky.A" https://www.virustotal.com/de/file/ece07a5ff2050fd86d2517b30e509902eafa0060ed8d43a5eef116d5ec176bf9/analysis/ bearbeitet 20. März 2016 von zahni Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.