Es hat uns erwischt (Verschl.-Trojaner CryptXXX)

[Azharu 119]

@ monstermania wie groß ist denn der Aufwand bis du das eingerichtet hattest?

[Otaku19 33]

technisch sollte das kein Problem darstellen, die Dauer und genauigkeit des Baselinings ist hier allerdings kritisch. Aber besser es schaut jemand ein paar Alarme zu viel nach als zu wenige

[monstermania 53]

technisch sollte das kein Problem darstellen, die Dauer und genauigkeit des Baselinings ist hier allerdings kritisch. Aber besser es schaut jemand ein paar Alarme zu viel nach als zu wenige

 

Der zusätzliche Trigger war in ein paar Minuten eingerichtet.

Natürlich gilt es dabei die Schwelle für die Meldung entsprechend zu setzten. Ich habe das bei und auf 2 GB Delta in 5 Minuten gesetzt (in der Zeit vom 6-21.30 Uhr). 

Bei dem realen Trojanerbefall lag das Delta bei rund 3,5 GB/5Minuten.

Zusätzlich könnte man auch noch den Netzwerktraffic in den Trigger aufnehmen. Da der Trojaner ja lokal auf dem betroffenen Client ausgeführt wird, läuft der Traffic ja auch über das Netz.

[Azharu 119]

Klingt zumindest nach einem guten Ansatz

[monstermania 53]

CryptXXX-Verschlüsselung ist geknackt:

http://www.heise.de/security/meldung/Erpressungs-Trojaner-CryptXXX-kostenlos-entschluesseln-3189766.html

[Azharu 119]

Ok, schon mal ein Ansatz aber die große Datei, die als Vorlage dient bleibt wohl versschlüsselt wie es scheint

[PowerShellAdmin 169]

sehe gerade da gibts nen kleines Webinar bei heise - lohnt sich das oder ist das zu einfach ?

 

Umfang einer Stunde ist net so berauschend, auch konnte keine geplanten Inhalte finden.

[Azharu 119]

Gute Frage,

 

hab da noch nicht rein geschaut

[JotWeh 15]

Unsere UTM mit Proxy und der Clientseitige AV-Schutz haben keinen Alarm geschlagen oder uns vor einer Infektion geschützt!

 

Welche Sicherheitsmassnahmen habt ihr neu eingeführt nach dem Sicherheitsvorfall?

Oder nur Dienstleister gewechselt?

[Pitti259 15]

Welche Sicherheitsmassnahmen habt ihr neu eingeführt nach dem Sicherheitsvorfall?

Oder nur Dienstleister gewechselt?

 

Hervorragende Frage, was kann man außer der Datensicherung noch machen? Hat jemand eine Vorstellung, wie man solche Verschlüsselungsroutinen detektieren könnte? Beim Auftauchen einer Datei mit Endung .crypt Alarm zu schlagen erscheint mir etwas zu kurz gegriffen, der nächste Crypto-Trojaner verwendet dann .asc...

 

Also, was tun?

[Sunny61 833]

Solche Dateiendungen kann man natürlich verbieten, Software Restriction Policys einführen, JavaScript deaktivieren. Anstatt Dateiendungen verbieten lieber eine Whitelist aufstellen. Hilft auch nicht zu 100%, aber hilft sicherlich weiter.

[Chomper 3]

Als Hilfe ist hierzu vielleicht mein Post hilfreich:

http://www.mcseboard.de/topic/207212-neue-ransomware-mischa/?p=1302828

[monstermania 53]

Moin,

in diesem Zusammenhang möchte ich auf folgenden Blogbeitrag hinweisen:

https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen/

 

Je nach 'Ausbaustufe' kann man damit zumindest seine Windows-Fileserver zusätzlich absichern, oder sich zumindest umgehend über verdächtige Vorgänge benachrichtigen lassen.

 

Gruß

Dirk

[blub 115]

Das ist doch eine Bastellösung, die genau 0% mehr Sicherheit bringt.

- der nächste Attacker nutzt die Endung *.aa1 (ganz doof sind die Authoren von Malware auch nicht!)

- gegen Malware, die Informationen ausspäht, verändert oder löscht, hilft diese Lösung überhaupt nicht

- man erhöht die Komplexität der eigenen Umgebung unnötig für mehr gefühlte Pseudo-Sicherheit, was wiederum weitere Angriffe nur erleichtert

- "Ohne Backup kann der Schaden sehr groß werden." ja,....das ist tatsächlich richtig, aber die Lösung bzw. Folgerung daraus ist komplett falsch!

[Azharu 119]

Klingt interessant, werde das mal im Sandkasten ausprobieren.

 

Danke dir

 

Gruß

 

Maik