Es hat uns erwischt (Verschl.-Trojaner CryptXXX)

[PowerShellAdmin 169]

Ich synce den Fileserver täglich auf nen Speicher - Speicherort nur für Serviceaccount möglich...(Freefilesync - mittlerweile leider Candy verseucht).

Die Dateien werden versioniert abgelegt, also bei änderungen die alte Datei mit Timestamp umbenannt.

Ansonsten sind einige Dateien ja auch im DMS z.B. Sharepoint oder Workflow Lösungen abgelegt.

 

Im Worstcase kann ich also entweder alle Dateien ohne Timestamp zurückkopieren & ohne die betroffenen Endungen.

Sicher auch etwas Fummelei ... aber wohl zielführender.

 

Zu Erkennung selbst, sollte es aber doch möglich sein, die Verhaltensmuster zu identifizieren.

bearbeitet 19. Mai 2016 von PowerShellAdmin

[monstermania 53]

@blub

Hast Du die ultimative allumfassende Lösung gegen alle Crypto-Trojaner!? Dann her damit!

 

Ist schon klar, dass Franks-Ansatz nicht die Lösung aller Probleme ist. Aber immerhin ein Baustein um eine mögliche Infektion frühzeitig erkennen zu können.

Aus dem Ansatz ergeben sich ja einige Möglichkeiten heraus. z.B. das Schema umzudrehen um nur bestimmte Dateiendungen in bestimmten Bereichen des Fileservers zuzulassen Whitelisten). Das so etwas nicht gegen einen Trojaner hilft, der die Dateiendungen gar nicht anfasst ist klar. Aber dafür gibt es dann andere Möglichkeiten (z.B. Traffic-Monitoring).

Ich synce den Fileserver täglich auf nen Speicher - Speicherort nur für Serviceaccount möglich...(Freefilesync - mittlerweile leider Candy verseucht).

 

Die 3 besten Lösungen gegen Crypto-Trojaner:

1. Backup

2. Backup

3. Backup

 

Die Herausforderung ist doch einen möglichen Trojanerbefall schnellstmöglich zu erkennen! Und klar, dazu muss man seine(n) Server irgendwie überwachen...

Am besten natürlich einen Trojaner gar nicht erst in das Netzwerk kommen lassen!

 

Aber man hört ja wen es schon Alles erwischt hat.

Und ich möchte gar nicht wissen, wie viele Admins einen solchen Vorfall 'verschweigen'. Bloß um ja nicht schlecht dazustehen  :rolleyes:

[PowerShellAdmin 169]

Aber man hört ja wen es schon Alles erwischt hat.

Und ich möchte gar nicht wissen, wie viele Admins einen solchen Vorfall 'verschweigen'. Bloß um ja nicht schlecht dazustehen  :rolleyes:

 

Schweigen - Ein Admin hat es nicht leicht - Benutzerakzeptanz ist ein Thema, das andere die der GF... Letzteres ist schwierig und nicht jeder Admin kämpft für eine gewisse Qualität.

Ich sehe hier täglich in meiner Arbeit die Ankedote zu "Don Quijote", wo die Windmühlen stehen wissen wohl die Meisten - Das schafft viel Frustration - Als Admin / IT Consultant sollte es nicht so ablaufen.

 

Bei den ersten Beben auch sehr starke Sanktionen eingeführt - zum Glück. Mittelfristig konnte ich eine recht gute Lösung für uns umsetzen - 100% gibts an dieser Stelle eh nicht ... Da sind wir dann wieder beim Backup.

bearbeitet 19. Mai 2016 von PowerShellAdmin

[monstermania 53]

sehe gerade da gibts nen kleines Webinar bei heise - lohnt sich das oder ist das zu einfach ?

 

Umfang einer Stunde ist net so berauschend, auch konnte keine geplanten Inhalte finden.

Habe mir das Webinar 'angetan'.  :rolleyes:

War m.E. mehr etwas für Heimanwender bzw. Dummies und erfüllte nicht einmal Ansatzweise meine Erwartungen.

Viel BlaBla und nix konkret Verwertbares. Jedenfalls nichts, was ein Admin der diesen Namen bzw. Titel auch 'verdient' nicht ohnehin schon wissen sollte bzw. umgesetzt haben sollte. Leider wurde auch auf konkrete Fragen nur sehr oberflächlich reagiert.

 

Wichtigstes Fazit:

Leute macht Backups!

[blub 115]

@blub

Hast Du die ultimative allumfassende Lösung gegen alle Crypto-Trojaner!? Dann her damit!

 

Hab ich nicht! Aber man fängt nicht am Grund des Brunnens an mehr oder weniger gut zu monitoren, damit ein erneut hineingefallenes Kind diesmal eventuell schneller (zumindest werktags zwischen 9:00 und 16:00 Uhr)  entdeckt wird. Und verkündet anschließend "jetzt ist der Brunnen zumindest etwas sicherer"