monstermania 53 Geschrieben 22. April 2016 Melden Teilen Geschrieben 22. April 2016 Moin, mal so als Hinweis und Warnung. Wir sind heute morgen Opfer des Verschlüsselungstrojaners CryptXXX geworden. Technische Analyse zu CryptXXX: https://www.proofpoint.com/us/threat-insight/post/cryptxxx-new-ransomware-actors-behind-reveton-dropping-angler Einer unserer PC's hatte sich das Teil eingefangen. Zum Glück für uns konnten wir die Aktivität des Trojaners schnell feststellen und den betroffen PC vom Netz nehmen. Der Trojaner hatte in ca. 30 Minuten ca. 10 GB Office-Dokumente und PDF's auf unserem Fileserver verschlüsselt. Dank aktuellen Backup konnten wir die betroffenen Daten problemlos wieder herstellen. Nach eingehender Analyse des Infektionsweges kam der Trojaner wohl per Videostream. Leider begünstigt durch ein nicht aktuelles Flash-Plugin auf dem Client! Und bevor Fragen dazu auftauchen: Unsere UTM mit Proxy und der Clientseitige AV-Schutz haben keinen Alarm geschlagen oder uns vor einer Infektion geschützt! Gruß Dirk Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 22. April 2016 Melden Teilen Geschrieben 22. April 2016 (bearbeitet) Da bist du in guter Gesellschaft. Vor den aktuellen Mistdingern gibt es fast keinen Schutz - da hilft nur alles zumachen und die Anwender sensibilisieren. Und dann wird wieder gemeckert - ich brauche das aber... - ich kann so nicht arbeiten... - das ZIP-File wird dringend benötigt.... Je nach Größe der Firma ist das schwierig bis unmöglich... bearbeitet 22. April 2016 von Nobbyaushb Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 23. April 2016 Melden Teilen Geschrieben 23. April 2016 (bearbeitet) Es gestern meinte das IDS-Modul von Symantec wieder einen Exploit-Kit zu erkennen (das klappt da recht gut). Ursache war mal wieder ein privater OpenX-Server (auf hallomedien.de) , der gehackt wurde. Quelle ist das Portal werkzeug-news.de Der Betreiber meinte zwar, dass er seinen OpenX-Server repariert hat, doch wie ich gerade gesehen habe, wurde der OpenX-Server wieder "übernommen". Dazu heise: http://www.heise.de/newsticker/meldung/Nuclear-Exploit-Kit-bombardiert-hunderttausende-Rechner-mit-Locky-3181696.html Ich kann nur nochmals dazu raten, ausführbare Dateien am Proxy konsequent zu filtern und eine SRP zu implementieren. Entsprechende Proxy-Lösungen blockieren üblicherweise auch Flash-Inhalte. bearbeitet 23. April 2016 von zahni Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 23. April 2016 Melden Teilen Geschrieben 23. April 2016 Nach eingehender Analyse des Infektionsweges kam der Trojaner wohl per Videostream. Leider begünstigt durch ein nicht aktuelles Flash-Plugin auf dem Client! Wie kann es Clients mit alten Flash-Plugins geben? Welcher Browser wird denn eingesetzt? SRP hätte vermutlich auch nichts genutzt, oder doch? Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 23. April 2016 Melden Teilen Geschrieben 23. April 2016 SRP hätte vermutlich auch nichts genutzt, oder doch? Und wie das geholfen hätte - zumindest bei Whitelisting: The ransomware is being shipped as a DLL dropped by Bedep in folders like those observed below in four separate infections: C:\Users\%Username%\AppData\Local\Temp\{C3F31E62-344D-4056-BF01-BF77B94E0254}\api-ms-win-system-softpub-l1-1-0.dll C:\Users\%Username%\AppData\Local\Temp\{D075E5D0-4442-4108-850E-3AD2874B270C} \api-ms-win-system-provsvc-l1-1-0.dll C:\Users\%Username%\AppData\Local\Temp\{D4A2C643-5399-4F4F-B9BF-ECB1A25644A6}\api-ms-win-system-wer-l1-1-0.dll C:\Users\%Username%\AppData\Local\Temp\{FD68402A-8F8F-4B3D-9808-174323767296}\api-ms-win-system-advpack-l1-1-0.dll Aber das ist das erste Mal, daß ich so was nur als DLL sehe - die DLL-Prüfung dürften die meisten nicht aktiv haben, und gestartet wird das natürlich über rundll32.exe - also blöderweise eine legitime Anwendung :() Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 23. April 2016 Melden Teilen Geschrieben 23. April 2016 Vor den aktuellen Mistdingern gibt es fast keinen Schutz im Gegenteil: A lot of things need to go wrong for this attack to make it through. https://blog.knowbe4.com/its-here.-new-ransomware-hidden-in-infected-word-files -> The Attack Flow (etwa in der Mitte des Artikels) Zitieren Link zu diesem Kommentar
peter999 24 Geschrieben 24. April 2016 Melden Teilen Geschrieben 24. April 2016 Hallo, zusätzlich dazu hab ich bei uns nen relativ leichten Workaround geschaffen. Da diese Dinger ja Grundsätzlich auf dem infizierten PC beginnen habe ich dort in den Eigenen Dokumenten und auf dem Desktop (an beiden Stellen hat niemand etwas wichtiges zu speichern...) Ordner mit "Ködern" geschaffen. doc, xls, txt, pdf Dokumente. Diese Ordner lasse ich von einem Tool auf Veränderungen überwachen (gibt es sehr viele im Netz, wir haben uns was geschrieben). Sobald sich irgendwas daran ändert bekommen meine Kollegen und ich eine Mail und der betroffende Rechner fährt durch nen simplen shutdown runter. Funktioniert reibungslos und rettet die Netzlaufwerke. Ausserdem ersparrt es das gesuche wenn es mal einen PC erwischt hat, denn im Betreff der Mail geben ich den Rechnernamen mit. Hat in ner Testumgebung funktioniert, hoffen wir das es nie zum Ernstfall kommt. Wenn doch hoffe ich das es ebensogut funktioniert. Gruß Peter Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 25. April 2016 Autor Melden Teilen Geschrieben 25. April 2016 @all Danke für die teils nützlichen Hinweise. Ja, nachher ist man immer klüger! :cool: Natürlich haben wir auch schon Maßnahmen ergriffen den Infektionsweg dicht zu machen. Über den Einsatz von SRP denken wir zumindest jetzt mal nach. @peter999 Da wäre ich mir an Deiner Stelle nicht so sicher! Zumindest bei uns wurde auf dem betroffenen PC keine einzige Datei verschlüsselt! CryptXXX scheint ganz bewusst zunächst Daten auf Netzwerklaufwerken zu verschlüsseln! @blub Die Vorgehensweise/Analyse von CryptXXX überhaupt gelesen/verstanden? CryptXXX kommt nicht per Email auf den Rechner, sondern durch kompromitierte Webserver. Eigentlich ist das Teil echt genial gemacht. :( Auch dadurch, dass der Trojaner nicht sofort nach der Infektion mit der Arbeit beginnt ist es nicht einfach im Nachhinein festzustellen, wann und wie genau die Datei auf den Rechner gekommen ist. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 25. April 2016 Melden Teilen Geschrieben 25. April 2016 Die Aussage des Flows ist, dass nicht nur ein Tor offen sein muss, damit Malware ins Netzwerk gelangen kann, sondern mehrere Tore hintereinander. "Dass es fast keinen Schutz gibt", wollte ich nicht unkommentiert so stehen lassen. CryptXXX habe ich mir nicht angesehen. Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 25. April 2016 Autor Melden Teilen Geschrieben 25. April 2016 Die Aussage des Flows ist, dass nicht nur ein Tor offen sein muss, damit Malware ins Netzwerk gelangen kann, sondern mehrere Tore hintereinander. "Dass es fast keinen Schutz gibt", wollte ich nicht unkommentiert so stehen lassen. Wir haben dem Email-Schutz des Unternehmens in den letzten Wochen/Monaten überproportional viel Aufmerksamkeit geschenkt und darüber wohl andere Dinge vernachlässigt bzw. uns zu sicher gefühlt! :( Eine Infektion per Email können wir in diesem Fall zwar 100%ig ausschließen ... Phyrusssieg ;) Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 25. April 2016 Melden Teilen Geschrieben 25. April 2016 Moin, Aber das ist das erste Mal, daß ich so was nur als DLL sehe - die DLL-Prüfung dürften die meisten nicht aktiv haben, und gestartet wird das natürlich über rundll32.exe - also blöderweise eine legitime Anwendung ) wie seit letzter Woche bekannt ist, kann man für DLLs auch regsvr32.exe einsetzen - ebenso ein legitimes Windows-Binary. Das hat für Angreifer gleich zwei Vorteile: Es akzeptiert beliebige URLs (und kann auch mit Proxies umgehen) und es führt die DLL sofort aus, auch ohne sie wirklich zu registrieren (braucht zum Ausführen also wohl nicht mal Adminrechte). Gruß, Nils Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 25. April 2016 Melden Teilen Geschrieben 25. April 2016 Aber das ist das erste Mal, daß ich so was nur als DLL sehe - die DLL-Prüfung dürften die meisten nicht aktiv haben, und gestartet wird das natürlich über rundll32.exe - also blöderweise eine legitime Anwendung :() Die Jungs lernen dazu. :) Zitieren Link zu diesem Kommentar
Azharu 119 Geschrieben 25. April 2016 Melden Teilen Geschrieben 25. April 2016 Gut, dass es noch halbwegs glimpflich bei dir abgelaufen ist. Bei einigen meiner Bekannten waren und sind die letzten Wochen doch schon ziemlich heftig. Viele kleinere Unternehmen wie Steuerbüros oder Kanzleien sind betroffen und es gibt dort viel zu tun. Die, die solche Viren entwerfen sind sicherlich vieles aber dumm wohl meist nicht. Die sind nur auf der falschen Seite gelandet leider. Zitieren Link zu diesem Kommentar
peter999 24 Geschrieben 25. April 2016 Melden Teilen Geschrieben 25. April 2016 (bearbeitet) @peter999 Da wäre ich mir an Deiner Stelle nicht so sicher! Zumindest bei uns wurde auf dem betroffenen PC keine einzige Datei verschlüsselt! CryptXXX scheint ganz bewusst zunächst Daten auf Netzwerklaufwerken zu verschlüsseln! Gut, das wäre natürlich b***d. Trotzdem: Der Aufwand dafür hielt sich in Grenzen und es besteht ja durchaus auch die Gefahr sich .locky o.ä. zu fangen. Die haben jedenfalls am eigenen PC gestartet. Wir werden sehen :) Ich hab das ganze gerade auf dem Server installiert...Lieber fahre ich Filer runter als das er mir alles verschlüsselt. bearbeitet 25. April 2016 von peter999 Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 25. April 2016 Autor Melden Teilen Geschrieben 25. April 2016 Ich hab das ganze gerade auf dem Server installiert...Lieber fahre ich Filer runter als das er mir alles verschlüsselt. Wir haben das über unseren Netzwerkmonitor (Zabbix) realisiert. Da auf unserem Dateiserver Deduplication aktiviert ist, sinkt bei der Verschlüsselung von vorhandenen Dokumenten der freie Speicherplatz auf dem Dateiserver ab. Dafür haben wir einen entsprechenden Trigger eingerichtet. Sinkt der freie Speicherplatz auf dem Dateiserver innerhalb eines Messfensters von 10 Minuten stark ab (Deltamessung), werden wir umgehend darüber informiert. Auch ganz interessant um festzustellen, wer den Dateiserver als Lagerort für seine Videos missbraucht. :cool: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.