junioradm 1 Geschrieben 5. November 2016 Melden Teilen Geschrieben 5. November 2016 (bearbeitet) Hallo Community, mein Bekannter hat mich um Rat gefragt. Das Active Directory wurde von einem Verschlüsselungstrojaner befallen. Nun gibt es folgende Fragen: - wie geht man als Admin an einem Befall denn so ran? Welche Steps führt man durch?=> als erster Schritt wäre wohl die Unterbrechung der Verschlüsselung/ weiterer Befall wohl sinnvoll? - woher erkennt man, welcher der 30 Computer/ Benutzer eine Schaddatei geöffnet hat? (Vermutung liegt in einem Mailanhang) - Netzlaufwerke wurde angegriffen und alle Dateien mit Thor umbenannt - woher weiß man, ob die Verschlüsslung noch aktiv ist, welche aktiven Dateien entfernt werden müssen?- welche Tools zum Bereinigen? - wie kann ich die Trojanerversion/Namen herausfinden? Über ein paar Antworten würde ich mich sehr freuen. Danke im Voraus. bearbeitet 5. November 2016 von junioradm Zitieren Link zu diesem Kommentar
Jim di Griz 13 Geschrieben 5. November 2016 Melden Teilen Geschrieben 5. November 2016 Hallo, allgemein: -Clients und Server mit Unix-Boot-CD untersuchen/auf Viren scannen. Z.B. Ct-Disinfect. -Infizierte Rechner offline nehmen und neu aufsetzen -Betroffene Benutzerprofile löschen. wenn du (oder dein Bekannter) gar keine Ahnung hast was zu tun ist lass besser jemanden kommen. Das sind aber nur allgemeine Tips ohne jede Verbindlichkeit oder Anspruch auf Vollständigkeit oder irgendeinen anderen Anspruch auf was auch immer .... . Wenn ihr servergespeicherte Profile haben solltet muss nicht zwingend der Profilserver neu gemacht werden z.B. (es sein denn der Profilserver ist gleichzeitig ein TS auf einem DC ....) Zitieren Link zu diesem Kommentar
junioradm 1 Geschrieben 5. November 2016 Autor Melden Teilen Geschrieben 5. November 2016 -Es gibt über 30 Domänencomputer...wir möchten nicht jeden einzelnen Computer mit einer Rescue-USB booten und scannen... - ich denke kaum, dass der Scanner der Rescue-USBs so aktuell ist, daas er Ransomware erkennt? - Dateien auf dem Netzlaufwerk wurden verschlüsselt => hier müsste man doch feststellen können, welcher Benutzer im AD missbraucht wurde. Danach nur den Computer scannen, auf dem der betroffene Benutzer angemeldet war...so war meine Idee jedenfalls? - Profile (lokal oder servergespeichert) löschen, was bringt das? Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 5. November 2016 Melden Teilen Geschrieben 5. November 2016 Ich sehe an deinen Antworten das du eigentlich nicht wirklich etwas gegen das Problem tun möchtest. Das Netzwerk ist befallen, Daten sind verschlüsselt. Es ist dir aber zu lästig alle Rechner zu scannen? Ernsthaft?? Möglicherweise wurden mittlerweile andere Rechner befallen. Allein schon aus Sicherheitsgründen sind alle Rechner neu zu installieren. Daten sind zu löschen und aus der (sicherlich vorhandenen Datensicherung) wiederherzustellen. Eigentlich ganz einfach. Wirf weg was du hast und stelle es wieder her. Dann bist du auf der sicheren Seite. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 5. November 2016 Melden Teilen Geschrieben 5. November 2016 Hallo, Google mal nach "incident handling process" Die Dokumente von SANS und NIST haben immer eine hohe Qualität. Du wirst aber immer dieselbe grundlegende Empfehlung finden: Be prepared! (das heißt u.a.: aktuelle backups / ggf. desaster recovery process) Deine Beschreibung ist zu rudimentär, um dir eine konkrete Empfehlung geben zu können, außer einem einzigen Rat: "Auf keinen Fall zahlen!" Ein einfaches Tool als Lösung gibt es sicher nicht. Selbst die aktuellsten Virenscanner sind für moderne Malware löchrig. blub Zitieren Link zu diesem Kommentar
littleStar 28 Geschrieben 5. November 2016 Melden Teilen Geschrieben 5. November 2016 (bearbeitet) Wenn schon mindestens ein Rechner befallen ist, ist Handlungsbedarf..... im Zweifelsfall geht offline Untersucht den vorhandenen Schaden - behebt ihn und macht euch ein Sicherheitskonzept P.S. Habt ihr rausgefunden - wie das passieren konnte? bearbeitet 5. November 2016 von littleStar Zitieren Link zu diesem Kommentar
junioradm 1 Geschrieben 5. November 2016 Autor Melden Teilen Geschrieben 5. November 2016 Das Problem wurde soeben behoben. Mir war nur wichtig, wie man als Administrator schnell, wirksam und ohne viel Aufwand reagieren kann. Die Netzlaufwerke wurden getrennt, Verschlüsselung somit gestoppt. Der Benutzer und der schadhafte Computer wurde gefunden. Der Computer ist jetzt ausgeschaltet. Der Bekannte hat -Thor hat weiterer Html-Dateien auf dem Netzlaufwerk erstellt - Unter Dateieigenschaften > Sichheit > die Besitzrechte angesehen und dort eine bestimmte S-ID gefunden. - S-ID über Powershell eingegeben und dann kam auch der AD-User heraus - dann den Computer gefunden, auf dem der AD-User angemeldet war & ausgeschaltet _______________________________________________________________________ Danke für eure Comments Zitieren Link zu diesem Kommentar
Jim di Griz 13 Geschrieben 5. November 2016 Melden Teilen Geschrieben 5. November 2016 viel Glück. 1 Zitieren Link zu diesem Kommentar
Little John 0 Geschrieben 17. November 2016 Melden Teilen Geschrieben 17. November 2016 Wir hatten bei eine Kunden ein ähnliches Problem, allerdings war der Verursacher nicht aufzuspüren ( wir haben nur Vermutungen aber keine Beweise). Backup zurück gespielt, mehrer Tools verschiedenster Hersteller drüberlaufen lassen über einen Zeitraum von mehreren Tagen. Seit dem ist alles wieder ok. Achja, und die Sicherheit wurde noch weiter verschärft. Hier waren befallen, ein Netzlaufwerk und sogar die Logs des Backups. Sonst war komischerweise alles sauber und unangetastet. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.