Zum Inhalt wechseln


Foto

Active Directory mit Verschlüsselungstrojaner infiziert - Gegenmaßnahmen?


  • Bitte melde dich an um zu Antworten
8 Antworten in diesem Thema

#1 junioradm

junioradm

    Newbie

  • 20 Beiträge

 

Geschrieben 05. November 2016 - 16:25

Hallo Community,

 

mein Bekannter hat mich um Rat gefragt. Das Active Directory wurde von einem Verschlüsselungstrojaner befallen.

Nun gibt es folgende Fragen:

 

- wie geht man als Admin an einem Befall denn so ran? Welche Steps führt man durch?
=> als erster Schritt wäre wohl die Unterbrechung der Verschlüsselung/ weiterer Befall wohl sinnvoll?

 

- woher erkennt man, welcher der 30 Computer/ Benutzer eine Schaddatei geöffnet hat? (Vermutung liegt in einem Mailanhang)

- Netzlaufwerke wurde angegriffen und alle Dateien mit Thor umbenannt

 

- woher weiß man, ob die Verschlüsslung noch aktiv ist, welche aktiven Dateien entfernt werden müssen?

- welche Tools zum Bereinigen?

 

- wie kann ich die Trojanerversion/Namen herausfinden?

 

Über ein paar Antworten würde ich mich sehr freuen. Danke im Voraus.


Bearbeitet von junioradm, 05. November 2016 - 16:26.


#2 Jim di Griz

Jim di Griz

    Board Veteran

  • 828 Beiträge

 

Geschrieben 05. November 2016 - 17:52

Hallo,

allgemein:

-Clients und Server mit Unix-Boot-CD untersuchen/auf Viren scannen. Z.B. Ct-Disinfect.

-Infizierte Rechner offline nehmen und neu aufsetzen

-Betroffene Benutzerprofile löschen.

wenn du (oder dein Bekannter) gar keine Ahnung hast was zu tun ist lass besser jemanden kommen.

 

Das sind aber nur allgemeine Tips ohne jede Verbindlichkeit oder Anspruch auf Vollständigkeit oder irgendeinen anderen Anspruch auf was auch immer .... . Wenn ihr servergespeicherte Profile haben solltet muss nicht zwingend der Profilserver neu gemacht werden z.B.

(es sein denn der Profilserver ist gleichzeitig ein TS auf einem DC ....)


2152 MCP 2000 Server, 70-410, 70-411, 70-412, 70-413, 70-414, 70-

Lizenzen : vse msdn abo


#3 junioradm

junioradm

    Newbie

  • 20 Beiträge

 

Geschrieben 05. November 2016 - 18:43

-Es gibt über 30 Domänencomputer...wir möchten nicht jeden einzelnen Computer mit einer Rescue-USB booten und scannen...

- ich denke kaum, dass der Scanner der Rescue-USBs so aktuell ist, daas er Ransomware erkennt?

- Dateien auf dem Netzlaufwerk wurden verschlüsselt
=> hier müsste man doch feststellen können, welcher Benutzer im AD missbraucht wurde. Danach nur den Computer scannen, auf dem der betroffene Benutzer angemeldet war...so war meine Idee jedenfalls?

- Profile (lokal oder servergespeichert) löschen, was bringt das?

#4 DocData

DocData

    Board Veteran

  • 1.273 Beiträge

 

Geschrieben 05. November 2016 - 19:42

Ich sehe an deinen Antworten das du eigentlich nicht wirklich etwas gegen das Problem tun möchtest. Das Netzwerk ist befallen, Daten sind verschlüsselt. Es ist dir aber zu lästig alle Rechner zu scannen? Ernsthaft??

Möglicherweise wurden mittlerweile andere Rechner befallen. Allein schon aus Sicherheitsgründen sind alle Rechner neu zu installieren. Daten sind zu löschen und aus der (sicherlich vorhandenen Datensicherung) wiederherzustellen.

Eigentlich ganz einfach. Wirf weg was du hast und stelle es wieder her. Dann bist du auf der sicheren Seite.

Ein Wrack ist kein Ort, an dem ein Schatz schlummert...


#5 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 05. November 2016 - 19:50

Hallo,

 

Google mal nach

"incident handling process"

Die Dokumente von SANS und NIST haben immer eine hohe Qualität.

Du wirst aber immer dieselbe grundlegende Empfehlung finden: Be prepared!  (das heißt u.a.: aktuelle backups / ggf. desaster recovery process)

 

Deine Beschreibung ist zu rudimentär, um dir eine konkrete Empfehlung geben zu können, außer einem einzigen Rat: "Auf keinen Fall zahlen!"

Ein einfaches Tool als Lösung gibt es sicher nicht. Selbst die aktuellsten Virenscanner sind für moderne Malware löchrig.

 

blub


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#6 littleStar

littleStar

    Newbie

  • 36 Beiträge

 

Geschrieben 05. November 2016 - 19:57

Wenn schon mindestens ein Rechner befallen ist, ist Handlungsbedarf.....

 

im Zweifelsfall geht offline

 

Untersucht den vorhandenen Schaden  - behebt ihn

 

und macht euch ein Sicherheitskonzept 

 

P.S. Habt ihr rausgefunden - wie das passieren konnte?


Bearbeitet von littleStar, 05. November 2016 - 19:58.

a spark in the dark ;)


#7 junioradm

junioradm

    Newbie

  • 20 Beiträge

 

Geschrieben 05. November 2016 - 21:51

Das Problem wurde soeben behoben. Mir war nur wichtig, wie man als Administrator schnell, wirksam und ohne viel Aufwand reagieren kann.

Die Netzlaufwerke wurden getrennt, Verschlüsselung somit gestoppt. Der Benutzer und der schadhafte Computer wurde gefunden. Der Computer ist jetzt ausgeschaltet.

Der Bekannte hat

 

-Thor hat weiterer Html-Dateien auf dem Netzlaufwerk erstellt

- Unter Dateieigenschaften > Sichheit > die Besitzrechte angesehen und dort eine bestimmte S-ID gefunden.

- S-ID über Powershell eingegeben und dann kam auch der AD-User heraus

- dann den Computer gefunden, auf dem der AD-User angemeldet war & ausgeschaltet

_______________________________________________________________________
 

Danke für eure Comments



#8 Jim di Griz

Jim di Griz

    Board Veteran

  • 828 Beiträge

 

Geschrieben 05. November 2016 - 21:58

viel Glück.


  • littleStar gefällt das

2152 MCP 2000 Server, 70-410, 70-411, 70-412, 70-413, 70-414, 70-

Lizenzen : vse msdn abo


#9 Little John

Little John

    Newbie

  • 61 Beiträge

 

Geschrieben 17. November 2016 - 12:55

Wir hatten bei eine Kunden ein ähnliches Problem, allerdings war der Verursacher nicht aufzuspüren ( wir haben nur Vermutungen aber keine Beweise). Backup zurück gespielt, mehrer Tools verschiedenster Hersteller drüberlaufen lassen über einen Zeitraum von mehreren Tagen. Seit dem ist alles wieder ok.

 

Achja, und die Sicherheit wurde noch weiter verschärft.

 

Hier waren befallen, ein Netzlaufwerk und sogar die Logs des Backups. Sonst war komischerweise alles sauber und unangetastet.