NeMiX 76 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 Antivirus wird nicht ohne Grund Snakeoil genannt ;). Sind die Trojaner tagfrisch und dafür reicht eine kleine Veränderung am Code, macht keine AV Lösung etwas dagegen. Die oben aufgezählten Punkte würde ich noch durch Mitarbeiterschulung erweitern. Regelmässig erinnern nicht jeden Link blind anzuklicken und unbekannte Anhänge (falls sie durchkommen) nicht öffnen, entpacken und dann ausführen. Das mit dem verschlüsseln ist eine sehr fiese Sache, die neue Generation greift auf alles zu wo man Schreibrechte (ja auch verbundene Netzwerkshares), verschlüsselt das ganze und meldet sich erst dann mit einem Nag Screen. Da helfen nur regelmässige Backups, zahlen hilft fast nie. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 Wie soll bzw. kann man die Daten auf den Fileservern effektiv schützen um eine Verschlüsselung zu verhindern? Hat sich da schon jemand Gedanken gemacht und gibt es eventuell schon einige Lösungsansätze dazu? Nun, falls es geschehen, shit happens, besonders bei neu angelegten Files. Sunny erwähnte das Backup; mir fiel eben noch ein: Schattenkopien, damit hätte man einen Zugriff auf ältere Versionen der Datei. Das ist natürlich kein vorbeugender Schutz, keine Verhinderung, die man eigentlich möchte. Zitieren Link zu diesem Kommentar
Shemeneto 11 Geschrieben 2. Mai 2014 Autor Melden Teilen Geschrieben 2. Mai 2014 Das ist natürlich kein vorbeugender Schutz, keine Verhinderung, die man eigentlich möchte. genau das ist das Problem... Es würde nur gehen wenn man die Verschlüsselung vorhandener Dateien verhindern könnte. Was aber nicht geht. Und außerdem ist die Frage ob man überhaupt Verschlüsselung verbieten will, da es ja auch eine Methode ist um seine Daten zu schützen... Zitieren Link zu diesem Kommentar
maxmobil 10 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 Bei korrekt gesetzten Benutzerberechtigungen und einem Scanner mit Verhaltenserkennung ist das Risiko und der maximal zu erwartende Schaden doch sehr begrenzt. Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 Sagt wer ? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 (bearbeitet) ..... durch Mitarbeiterschulung erweitern. Regelmässig erinnern nicht jeden Link blind anzuklicken und unbekannte Anhänge (falls sie durchkommen) nicht öffnen, entpacken und dann ausführen. Ja, das wäre schön. Leider findet so etwas nach meiner Erfahrung selten statt in Unternehmen, die Geld erwirtschaften müssen. Natürlich kann man das durch Onlinetraining machen mit Test und Nachweis. Das kostet aber auch Geld. Es muss wohl erst einmal richtig schmerzen. Und im Seminarbereich sind Belehrungen oftmals wirkungslos, das aus mehreren Gründen. bearbeitet 2. Mai 2014 von lefg Zitieren Link zu diesem Kommentar
Shemeneto 11 Geschrieben 2. Mai 2014 Autor Melden Teilen Geschrieben 2. Mai 2014 Bei korrekt gesetzten Benutzerberechtigungen und einem Scanner mit Verhaltenserkennung ist das Risiko und der maximal zu erwartende Schaden doch sehr begrenzt. eben nicht! Der Trojaner nutzt ja die Benutzerberechtigungen (Schreiben, Ändern usw.) auf das Netzlaufwerk um die Daten zu verschlüsseln. Es müsste höchsten eine ACL geben die das Verschlüsseln verbietet. Aber die habe ich noch nicht gesehen. Und die Verhaltenserkennung wird oft genug von schlauen Programmierern der Trojaner ausgehebelt... Zitieren Link zu diesem Kommentar
maxmobil 10 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 (bearbeitet) eben nicht! Der Trojaner nutzt ja die Benutzerberechtigungen (Schreiben, Ändern usw.) auf das Netzlaufwerk um die Daten zu verschlüsseln. Es müsste höchsten eine ACL geben die das Verschlüsseln verbietet. Aber die habe ich noch nicht gesehen. Ja, genau. Wer natürlich Rechte auf alles und jeden hat, oder das so vergeben hat, der hat ein Problem. Wer konsequent Benutzerberechtigungen entsprechend aufs notwendige reduziert, hat einen großen Teil des Problems weniger. Der Rest lässt sich mittels Backup lösen - sofern erfolgt. Der entstehende Schaden dürfte sich also auf ein Tagwerk belaufen. Wer ein ECM für seine Dokumente nutzt, sollte noch weniger betroffen sein, sofern das Ding einigermaßen vernünftig ist und nicht mit den Benutzerrechten auf einem freigegebenen Netzlaufwerk ablegt, auch das solls geben. bearbeitet 2. Mai 2014 von maxmobil Zitieren Link zu diesem Kommentar
Shemeneto 11 Geschrieben 2. Mai 2014 Autor Melden Teilen Geschrieben 2. Mai 2014 Ja, genau. Wer natürlich Rechte auf alles und jeden hat, oder das so vergeben hat, der hat ein Problem. Wer konsequent Benutzerberechtigungen entsprechend aufs notwendige reduziert, hat einen großen Teil des Problems weniger. Aha, und wie sehen diese Benutzerberechtigungen aus, die das verhindern sollen. Würde mich brennend interessieren... Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 (bearbeitet) @maxmobil, Vorher hat der Trojaner mal eben noch den Inhalt der Dateien nach Hause telefoniert und erpresst Dich dann damit. Sorry, aber die Einstellung "wir haben doch ein Backup" zieht nicht. Das bekommst Du notfalls auch bei der NSA ;) Ein Backup ist natürlich notwendig. Das aber als Schutz vor Viren zu verkaufen, ist fahrlässig. bearbeitet 2. Mai 2014 von zahni Zitieren Link zu diesem Kommentar
Shemeneto 11 Geschrieben 2. Mai 2014 Autor Melden Teilen Geschrieben 2. Mai 2014 (bearbeitet) Shemeneto, Vorher hat der Trojaner mal eben noch den Inhalt der Dateien nach Hause telefoniert und erpresst Dich dann damit. Sorry, aber die Einstellung "wir haben doch ein Backup" zieht nicht. Das bekommst Du notfalls auch bei der NSA ;) Ein Backup ist natürlich notwendig. Das aber als Schutz vor Viren zu verkaufen, ist fahrlässig. meinst du mich damit? Wo soll ich das behauptet haben? Ein Backup war noch nie ein Schutz vor Maleware... bearbeitet 2. Mai 2014 von Shemeneto Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 Sorry, ich meinte maxmobil. Habe mich im Beitrag vertan. Zitieren Link zu diesem Kommentar
Weingeist 157 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 Hatte vor ein paar Jahren auch mal so einen halbintelligenten tagesaktuellen-Virus. Der kam als simples Textfile, zusammen mit nem als Textfile getarnten Script (dopelendung). Bekam fast täglich Mails des gleichen Viruse, jedes mal mit anderem Textfile. Das textfile wurde auf irgend eine Weise mit Bordmitteln direkt via dem wenigen KB grossen Einzeiler kompiliert bzw. direkt als Objekt ins System geladen. Hat sich dann anschliessend gleich selber im System eingenistet. Ser perfide wie ich finde. Vermute, dass das ganze schon fast fertiger x86 Maschinencode war, der mit ein paar Apis direkt ins Ram geladen wurde. Sah zumindest so aus. Da hilft alles Virenscannen nichts, weil die Signatur des Textfiles immer ändert. Man musste bei dieser Variante aber dennoch auf ein zweites als Textfile getarntes, unscheinbares, simples einzeiler Script klicken. Weil mir das Ding strange vorkam, habe ich das Spasseshalber in ner abgeschotteten virtuellen Maschine ohne jegliche Netzwerkkonnektivität ausprobiert. Der Virenscanner hatte ned mal Zeit zum reagieren und wurde einfach komplett deaktiviert, ohn das man wirklich etwas davon gemerkt hätte. Obwohl das nur Admins hätten tun dürfen. Anschliessend versuchte es mit dem dem Internet zu plaudern. Sichtbar etwas gemacht hatte das Ding nicht. Vermutlich diente es also für ein Botnetz. Bezüglich der aktuellen Fälle: Finde ich vor allem in kleinen Firmen und bei privaten Problematisch. Einigermassen sicherer Schutz wäre die Produktivsystem vom Netz zu nehmen und ähnlich wie das Prinzip der Graphic-Firewall auf den Kisten zu Arbeiten. Dazu eine Form von Datei-veröffentlichung sowie Einpflegung um diese per Internet zu verschicken. Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 Wenn man einen Testrechner zu Hause mit der Software Restriction Policy beglücken möchte, kann man sich damit beschäftigen: http://schneegans.de/computer/safer/ http://home.arcor.de/skanthak/safer.html Dabei darf der User dann nur ausführbare Programme starten die in %programfiles% und/oder in %WINDIR% liegen. Alles andere wird blockiert. Damit ist die Sicherheit in einem Benutzerkonto nochmal ein Stück höher. Aber eben nur ein Stück. Keine Schreibberechtigungen für Benutzer in %Allusersprofile%\Microsoft\Windows\Start Menu\Programs\StartUp ist noch ein Puzzlestück. BIOS mit PW versehen und so weiter und so weiter. ;) Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 2. Mai 2014 Melden Teilen Geschrieben 2. Mai 2014 (bearbeitet) Gegen sowas hilft im Ernstfall dann nur ein Backup vor der Verschlüsselung einzuspielen. Zur Verhinderung muss man ein gesamtes Sicherheitskonzept fahren. Regelmäßige Updates, nur berichtigte Benutzer auf dem Server, Virenscanner, Firewall, Intrusion Detection. Letztlich muss man sich bei sowas aber immer damit abfinden das es keine 100% Sicherheit gibt und man nie alles verhindern kann. Man kann nur die Wahrscheinlichkeit reduzieren, das es zu sowas kommt. bearbeitet 2. Mai 2014 von Doso Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.