Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
monstermania

Es hat uns erwischt (Verschl.-Trojaner CryptXXX)

Empfohlene Beiträge

Moin,

mal so als Hinweis und Warnung.

 

Wir sind heute morgen Opfer des Verschlüsselungstrojaners CryptXXX geworden.

Technische Analyse zu CryptXXX:

https://www.proofpoint.com/us/threat-insight/post/cryptxxx-new-ransomware-actors-behind-reveton-dropping-angler

 

Einer unserer PC's hatte sich das Teil eingefangen. Zum Glück für uns konnten wir die Aktivität des Trojaners schnell feststellen und den betroffen PC vom Netz nehmen. Der Trojaner hatte in ca. 30 Minuten ca. 10 GB Office-Dokumente und PDF's auf unserem Fileserver verschlüsselt.

Dank aktuellen Backup konnten wir die betroffenen Daten problemlos wieder herstellen.

 

Nach eingehender Analyse des Infektionsweges kam der Trojaner wohl per Videostream. Leider begünstigt durch ein nicht aktuelles Flash-Plugin auf dem Client!

 

Und bevor Fragen dazu auftauchen:

Unsere UTM mit Proxy und der Clientseitige AV-Schutz haben keinen Alarm geschlagen oder uns vor einer Infektion geschützt!

 

Gruß

Dirk

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Da bist du in guter Gesellschaft.

 

Vor den aktuellen Mistdingern gibt es fast keinen Schutz - da hilft nur alles zumachen und die Anwender sensibilisieren.

Und dann wird wieder gemeckert - ich brauche das aber... - ich kann so nicht arbeiten... - das ZIP-File wird dringend benötigt....

 

Je nach Größe der Firma ist das schwierig bis unmöglich...

 

cool.gif

bearbeitet von Nobbyaushb

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Es gestern meinte das IDS-Modul von Symantec wieder einen Exploit-Kit zu erkennen (das klappt da recht gut).

Ursache war mal wieder ein privater OpenX-Server (auf hallomedien.de) , der gehackt wurde. 

Quelle ist das Portal werkzeug-news.de  Der Betreiber meinte zwar, dass er seinen OpenX-Server repariert hat, doch wie ich gerade gesehen habe, wurde der OpenX-Server wieder "übernommen".

 

Dazu heise:  http://www.heise.de/newsticker/meldung/Nuclear-Exploit-Kit-bombardiert-hunderttausende-Rechner-mit-Locky-3181696.html

 

Ich kann nur nochmals dazu raten, ausführbare Dateien am Proxy konsequent zu filtern und eine SRP zu implementieren. 

Entsprechende Proxy-Lösungen blockieren üblicherweise auch Flash-Inhalte.

bearbeitet von zahni

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nach eingehender Analyse des Infektionsweges kam der Trojaner wohl per Videostream. Leider begünstigt durch ein nicht aktuelles Flash-Plugin auf dem Client!

Wie kann es Clients mit alten Flash-Plugins geben? Welcher Browser wird denn eingesetzt? SRP hätte vermutlich auch nichts genutzt, oder doch?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

SRP hätte vermutlich auch nichts genutzt, oder doch?

 

Und wie das geholfen hätte - zumindest bei Whitelisting:

 

The ransomware is being shipped as a DLL dropped by Bedep in folders like those observed below in four separate infections:

  • C:\Users\%Username%\AppData\Local\Temp\{C3F31E62-344D-4056-BF01-BF77B94E0254}\api-ms-win-system-softpub-l1-1-0.dll

  • C:\Users\%Username%\AppData\Local\Temp\{D075E5D0-4442-4108-850E-3AD2874B270C} \api-ms-win-system-provsvc-l1-1-0.dll

  • C:\Users\%Username%\AppData\Local\Temp\{D4A2C643-5399-4F4F-B9BF-ECB1A25644A6}\api-ms-win-system-wer-l1-1-0.dll

  • C:\Users\%Username%\AppData\Local\Temp\{FD68402A-8F8F-4B3D-9808-174323767296}\api-ms-win-system-advpack-l1-1-0.dll

Aber das ist das erste Mal, daß ich so was nur als DLL sehe - die DLL-Prüfung dürften die meisten nicht aktiv haben, und gestartet wird das natürlich über rundll32.exe - also blöderweise eine legitime Anwendung :()

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

 

zusätzlich dazu hab ich bei uns nen relativ leichten Workaround geschaffen. Da diese Dinger ja Grundsätzlich auf dem infizierten PC beginnen habe ich dort in den Eigenen Dokumenten und auf dem Desktop (an beiden Stellen hat niemand etwas wichtiges zu speichern...) Ordner mit "Ködern" geschaffen. doc, xls, txt, pdf Dokumente. Diese Ordner lasse ich von einem Tool auf Veränderungen überwachen (gibt es sehr viele im Netz, wir haben uns was geschrieben).

Sobald sich irgendwas daran ändert bekommen meine Kollegen und ich eine Mail und der betroffende Rechner fährt durch nen simplen shutdown runter.

 

Funktioniert reibungslos und rettet die Netzlaufwerke. Ausserdem ersparrt es das gesuche wenn es mal einen PC erwischt hat, denn im Betreff der Mail geben ich den Rechnernamen mit.

 

Hat in ner Testumgebung funktioniert, hoffen wir das es nie zum Ernstfall kommt. Wenn doch hoffe ich das es ebensogut funktioniert.

 

 

Gruß

Peter

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@all

Danke für die teils nützlichen Hinweise.

Ja, nachher ist man immer klüger! :cool:

Natürlich haben wir auch schon Maßnahmen ergriffen den Infektionsweg dicht zu machen.

Über den Einsatz von SRP denken wir zumindest jetzt mal nach.

 

@peter999

Da wäre ich mir an Deiner Stelle nicht so sicher!

Zumindest bei uns wurde auf dem betroffenen PC keine einzige Datei verschlüsselt! CryptXXX scheint ganz bewusst zunächst Daten auf Netzwerklaufwerken zu verschlüsseln!

 

@blub

Die Vorgehensweise/Analyse von CryptXXX überhaupt gelesen/verstanden?

CryptXXX kommt nicht per Email auf den Rechner, sondern durch kompromitierte Webserver.

 

Eigentlich ist das Teil echt genial gemacht. :(

Auch dadurch, dass der Trojaner nicht sofort nach der Infektion mit der Arbeit beginnt ist es nicht einfach im Nachhinein festzustellen, wann und wie genau die Datei auf den Rechner gekommen ist. 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Die Aussage des Flows ist, dass nicht nur ein Tor offen sein muss, damit Malware ins Netzwerk gelangen kann, sondern mehrere Tore hintereinander.

"Dass es fast keinen Schutz gibt", wollte ich nicht unkommentiert so stehen lassen.

 

CryptXXX habe ich mir nicht angesehen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Die Aussage des Flows ist, dass nicht nur ein Tor offen sein muss, damit Malware ins Netzwerk gelangen kann, sondern mehrere Tore hintereinander.

"Dass es fast keinen Schutz gibt", wollte ich nicht unkommentiert so stehen lassen.

Wir haben dem Email-Schutz des Unternehmens in den letzten Wochen/Monaten überproportional viel Aufmerksamkeit geschenkt und darüber wohl andere Dinge vernachlässigt bzw. uns zu sicher gefühlt! :(

Eine Infektion per Email können wir in diesem Fall zwar 100%ig ausschließen ... Phyrusssieg  ;)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

Aber das ist das erste Mal, daß ich so was nur als DLL sehe - die DLL-Prüfung dürften die meisten nicht aktiv haben, und gestartet wird das natürlich über rundll32.exe - also blöderweise eine legitime Anwendung frown.gif)

 

wie seit letzter Woche bekannt ist, kann man für DLLs auch regsvr32.exe einsetzen - ebenso ein legitimes Windows-Binary. Das hat für Angreifer gleich zwei Vorteile: Es akzeptiert beliebige URLs (und kann auch mit Proxies umgehen) und es führt die DLL sofort aus, auch ohne sie wirklich zu registrieren (braucht zum Ausführen also wohl nicht mal Adminrechte).

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Aber das ist das erste Mal, daß ich so was nur als DLL sehe - die DLL-Prüfung dürften die meisten nicht aktiv haben, und gestartet wird das natürlich über rundll32.exe - also blöderweise eine legitime Anwendung :()

Die Jungs lernen dazu. :)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Gut, dass es noch halbwegs glimpflich bei dir abgelaufen ist.

 

Bei einigen meiner Bekannten waren und sind die letzten Wochen doch schon ziemlich heftig.

 

Viele kleinere Unternehmen wie Steuerbüros oder Kanzleien sind betroffen und es gibt dort viel zu tun.

 

Die, die solche Viren entwerfen sind sicherlich vieles aber dumm wohl meist nicht. Die sind nur auf der falschen Seite gelandet leider.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
@peter999

Da wäre ich mir an Deiner Stelle nicht so sicher!

Zumindest bei uns wurde auf dem betroffenen PC keine einzige Datei verschlüsselt! CryptXXX scheint ganz bewusst zunächst Daten auf Netzwerklaufwerken zu verschlüsseln!

 

 

Gut, das wäre natürlich b***d. Trotzdem: Der Aufwand dafür hielt sich in Grenzen und es besteht ja durchaus auch die Gefahr sich .locky o.ä. zu fangen. Die haben jedenfalls am eigenen PC gestartet.

Wir werden sehen :)

 

Ich hab das ganze gerade auf dem Server installiert...Lieber fahre ich Filer runter als das er mir alles verschlüsselt.

bearbeitet von peter999

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

 

Ich hab das ganze gerade auf dem Server installiert...Lieber fahre ich Filer runter als das er mir alles verschlüsselt.

Wir haben das über unseren Netzwerkmonitor (Zabbix) realisiert.

Da auf unserem Dateiserver Deduplication aktiviert ist, sinkt bei der Verschlüsselung von vorhandenen Dokumenten der freie Speicherplatz auf dem Dateiserver ab. Dafür haben wir einen entsprechenden Trigger eingerichtet. Sinkt der freie Speicherplatz auf dem Dateiserver innerhalb eines Messfensters von 10 Minuten stark ab (Deltamessung), werden wir umgehend darüber informiert.

Auch ganz interessant um festzustellen, wer den Dateiserver als Lagerort für seine Videos missbraucht. :cool:

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×