Azharu 119 Geschrieben 26. April 2016 Melden Teilen Geschrieben 26. April 2016 @ monstermania wie groß ist denn der Aufwand bis du das eingerichtet hattest? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 26. April 2016 Melden Teilen Geschrieben 26. April 2016 technisch sollte das kein Problem darstellen, die Dauer und genauigkeit des Baselinings ist hier allerdings kritisch. Aber besser es schaut jemand ein paar Alarme zu viel nach als zu wenige Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 27. April 2016 Autor Melden Teilen Geschrieben 27. April 2016 technisch sollte das kein Problem darstellen, die Dauer und genauigkeit des Baselinings ist hier allerdings kritisch. Aber besser es schaut jemand ein paar Alarme zu viel nach als zu wenige Der zusätzliche Trigger war in ein paar Minuten eingerichtet. Natürlich gilt es dabei die Schwelle für die Meldung entsprechend zu setzten. Ich habe das bei und auf 2 GB Delta in 5 Minuten gesetzt (in der Zeit vom 6-21.30 Uhr). Bei dem realen Trojanerbefall lag das Delta bei rund 3,5 GB/5Minuten. Zusätzlich könnte man auch noch den Netzwerktraffic in den Trigger aufnehmen. Da der Trojaner ja lokal auf dem betroffenen Client ausgeführt wird, läuft der Traffic ja auch über das Netz. Zitieren Link zu diesem Kommentar
Azharu 119 Geschrieben 27. April 2016 Melden Teilen Geschrieben 27. April 2016 Klingt zumindest nach einem guten Ansatz Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 28. April 2016 Autor Melden Teilen Geschrieben 28. April 2016 CryptXXX-Verschlüsselung ist geknackt: http://www.heise.de/security/meldung/Erpressungs-Trojaner-CryptXXX-kostenlos-entschluesseln-3189766.html Zitieren Link zu diesem Kommentar
Azharu 119 Geschrieben 28. April 2016 Melden Teilen Geschrieben 28. April 2016 Ok, schon mal ein Ansatz aber die große Datei, die als Vorlage dient bleibt wohl versschlüsselt wie es scheint Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 28. April 2016 Melden Teilen Geschrieben 28. April 2016 sehe gerade da gibts nen kleines Webinar bei heise - lohnt sich das oder ist das zu einfach ? Umfang einer Stunde ist net so berauschend, auch konnte keine geplanten Inhalte finden. Zitieren Link zu diesem Kommentar
Azharu 119 Geschrieben 29. April 2016 Melden Teilen Geschrieben 29. April 2016 Gute Frage, hab da noch nicht rein geschaut Zitieren Link zu diesem Kommentar
JotWeh 15 Geschrieben 1. Mai 2016 Melden Teilen Geschrieben 1. Mai 2016 Unsere UTM mit Proxy und der Clientseitige AV-Schutz haben keinen Alarm geschlagen oder uns vor einer Infektion geschützt! Welche Sicherheitsmassnahmen habt ihr neu eingeführt nach dem Sicherheitsvorfall? Oder nur Dienstleister gewechselt? Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 1. Mai 2016 Melden Teilen Geschrieben 1. Mai 2016 Welche Sicherheitsmassnahmen habt ihr neu eingeführt nach dem Sicherheitsvorfall? Oder nur Dienstleister gewechselt? Hervorragende Frage, was kann man außer der Datensicherung noch machen? Hat jemand eine Vorstellung, wie man solche Verschlüsselungsroutinen detektieren könnte? Beim Auftauchen einer Datei mit Endung .crypt Alarm zu schlagen erscheint mir etwas zu kurz gegriffen, der nächste Crypto-Trojaner verwendet dann .asc... Also, was tun? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 1. Mai 2016 Melden Teilen Geschrieben 1. Mai 2016 Solche Dateiendungen kann man natürlich verbieten, Software Restriction Policys einführen, JavaScript deaktivieren. Anstatt Dateiendungen verbieten lieber eine Whitelist aufstellen. Hilft auch nicht zu 100%, aber hilft sicherlich weiter. Zitieren Link zu diesem Kommentar
Chomper 3 Geschrieben 15. Mai 2016 Melden Teilen Geschrieben 15. Mai 2016 Als Hilfe ist hierzu vielleicht mein Post hilfreich: http://www.mcseboard.de/topic/207212-neue-ransomware-mischa/?p=1302828 Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 19. Mai 2016 Autor Melden Teilen Geschrieben 19. Mai 2016 Moin, in diesem Zusammenhang möchte ich auf folgenden Blogbeitrag hinweisen: https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen/ Je nach 'Ausbaustufe' kann man damit zumindest seine Windows-Fileserver zusätzlich absichern, oder sich zumindest umgehend über verdächtige Vorgänge benachrichtigen lassen. Gruß Dirk Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 19. Mai 2016 Melden Teilen Geschrieben 19. Mai 2016 Das ist doch eine Bastellösung, die genau 0% mehr Sicherheit bringt. - der nächste Attacker nutzt die Endung *.aa1 (ganz doof sind die Authoren von Malware auch nicht!) - gegen Malware, die Informationen ausspäht, verändert oder löscht, hilft diese Lösung überhaupt nicht - man erhöht die Komplexität der eigenen Umgebung unnötig für mehr gefühlte Pseudo-Sicherheit, was wiederum weitere Angriffe nur erleichtert - "Ohne Backup kann der Schaden sehr groß werden." ja,....das ist tatsächlich richtig, aber die Lösung bzw. Folgerung daraus ist komplett falsch! Zitieren Link zu diesem Kommentar
Azharu 119 Geschrieben 19. Mai 2016 Melden Teilen Geschrieben 19. Mai 2016 Klingt interessant, werde das mal im Sandkasten ausprobieren. Danke dir Gruß Maik Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.