Jump to content

Es hat uns erwischt (Verschl.-Trojaner CryptXXX)


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

mal so als Hinweis und Warnung.

 

Wir sind heute morgen Opfer des Verschlüsselungstrojaners CryptXXX geworden.

Technische Analyse zu CryptXXX:

https://www.proofpoint.com/us/threat-insight/post/cryptxxx-new-ransomware-actors-behind-reveton-dropping-angler

 

Einer unserer PC's hatte sich das Teil eingefangen. Zum Glück für uns konnten wir die Aktivität des Trojaners schnell feststellen und den betroffen PC vom Netz nehmen. Der Trojaner hatte in ca. 30 Minuten ca. 10 GB Office-Dokumente und PDF's auf unserem Fileserver verschlüsselt.

Dank aktuellen Backup konnten wir die betroffenen Daten problemlos wieder herstellen.

 

Nach eingehender Analyse des Infektionsweges kam der Trojaner wohl per Videostream. Leider begünstigt durch ein nicht aktuelles Flash-Plugin auf dem Client!

 

Und bevor Fragen dazu auftauchen:

Unsere UTM mit Proxy und der Clientseitige AV-Schutz haben keinen Alarm geschlagen oder uns vor einer Infektion geschützt!

 

Gruß

Dirk

 

Link zu diesem Kommentar

Da bist du in guter Gesellschaft.

 

Vor den aktuellen Mistdingern gibt es fast keinen Schutz - da hilft nur alles zumachen und die Anwender sensibilisieren.

Und dann wird wieder gemeckert - ich brauche das aber... - ich kann so nicht arbeiten... - das ZIP-File wird dringend benötigt....

 

Je nach Größe der Firma ist das schwierig bis unmöglich...

 

cool.gif

bearbeitet von Nobbyaushb
Link zu diesem Kommentar

Es gestern meinte das IDS-Modul von Symantec wieder einen Exploit-Kit zu erkennen (das klappt da recht gut).

Ursache war mal wieder ein privater OpenX-Server (auf hallomedien.de) , der gehackt wurde. 

Quelle ist das Portal werkzeug-news.de  Der Betreiber meinte zwar, dass er seinen OpenX-Server repariert hat, doch wie ich gerade gesehen habe, wurde der OpenX-Server wieder "übernommen".

 

Dazu heise:  http://www.heise.de/newsticker/meldung/Nuclear-Exploit-Kit-bombardiert-hunderttausende-Rechner-mit-Locky-3181696.html

 

Ich kann nur nochmals dazu raten, ausführbare Dateien am Proxy konsequent zu filtern und eine SRP zu implementieren. 

Entsprechende Proxy-Lösungen blockieren üblicherweise auch Flash-Inhalte.

bearbeitet von zahni
Link zu diesem Kommentar

SRP hätte vermutlich auch nichts genutzt, oder doch?

 

Und wie das geholfen hätte - zumindest bei Whitelisting:

 

The ransomware is being shipped as a DLL dropped by Bedep in folders like those observed below in four separate infections:

  • C:\Users\%Username%\AppData\Local\Temp\{C3F31E62-344D-4056-BF01-BF77B94E0254}\api-ms-win-system-softpub-l1-1-0.dll

  • C:\Users\%Username%\AppData\Local\Temp\{D075E5D0-4442-4108-850E-3AD2874B270C} \api-ms-win-system-provsvc-l1-1-0.dll

  • C:\Users\%Username%\AppData\Local\Temp\{D4A2C643-5399-4F4F-B9BF-ECB1A25644A6}\api-ms-win-system-wer-l1-1-0.dll

  • C:\Users\%Username%\AppData\Local\Temp\{FD68402A-8F8F-4B3D-9808-174323767296}\api-ms-win-system-advpack-l1-1-0.dll

Aber das ist das erste Mal, daß ich so was nur als DLL sehe - die DLL-Prüfung dürften die meisten nicht aktiv haben, und gestartet wird das natürlich über rundll32.exe - also blöderweise eine legitime Anwendung :()

Link zu diesem Kommentar

Hallo,

 

zusätzlich dazu hab ich bei uns nen relativ leichten Workaround geschaffen. Da diese Dinger ja Grundsätzlich auf dem infizierten PC beginnen habe ich dort in den Eigenen Dokumenten und auf dem Desktop (an beiden Stellen hat niemand etwas wichtiges zu speichern...) Ordner mit "Ködern" geschaffen. doc, xls, txt, pdf Dokumente. Diese Ordner lasse ich von einem Tool auf Veränderungen überwachen (gibt es sehr viele im Netz, wir haben uns was geschrieben).

Sobald sich irgendwas daran ändert bekommen meine Kollegen und ich eine Mail und der betroffende Rechner fährt durch nen simplen shutdown runter.

 

Funktioniert reibungslos und rettet die Netzlaufwerke. Ausserdem ersparrt es das gesuche wenn es mal einen PC erwischt hat, denn im Betreff der Mail geben ich den Rechnernamen mit.

 

Hat in ner Testumgebung funktioniert, hoffen wir das es nie zum Ernstfall kommt. Wenn doch hoffe ich das es ebensogut funktioniert.

 

 

Gruß

Peter

Link zu diesem Kommentar

@all

Danke für die teils nützlichen Hinweise.

Ja, nachher ist man immer klüger! :cool:

Natürlich haben wir auch schon Maßnahmen ergriffen den Infektionsweg dicht zu machen.

Über den Einsatz von SRP denken wir zumindest jetzt mal nach.

 

@peter999

Da wäre ich mir an Deiner Stelle nicht so sicher!

Zumindest bei uns wurde auf dem betroffenen PC keine einzige Datei verschlüsselt! CryptXXX scheint ganz bewusst zunächst Daten auf Netzwerklaufwerken zu verschlüsseln!

 

@blub

Die Vorgehensweise/Analyse von CryptXXX überhaupt gelesen/verstanden?

CryptXXX kommt nicht per Email auf den Rechner, sondern durch kompromitierte Webserver.

 

Eigentlich ist das Teil echt genial gemacht. :(

Auch dadurch, dass der Trojaner nicht sofort nach der Infektion mit der Arbeit beginnt ist es nicht einfach im Nachhinein festzustellen, wann und wie genau die Datei auf den Rechner gekommen ist. 

Link zu diesem Kommentar

Die Aussage des Flows ist, dass nicht nur ein Tor offen sein muss, damit Malware ins Netzwerk gelangen kann, sondern mehrere Tore hintereinander.

"Dass es fast keinen Schutz gibt", wollte ich nicht unkommentiert so stehen lassen.

Wir haben dem Email-Schutz des Unternehmens in den letzten Wochen/Monaten überproportional viel Aufmerksamkeit geschenkt und darüber wohl andere Dinge vernachlässigt bzw. uns zu sicher gefühlt! :(

Eine Infektion per Email können wir in diesem Fall zwar 100%ig ausschließen ... Phyrusssieg  ;)

Link zu diesem Kommentar

Moin,

 

Aber das ist das erste Mal, daß ich so was nur als DLL sehe - die DLL-Prüfung dürften die meisten nicht aktiv haben, und gestartet wird das natürlich über rundll32.exe - also blöderweise eine legitime Anwendung frown.gif)

 

wie seit letzter Woche bekannt ist, kann man für DLLs auch regsvr32.exe einsetzen - ebenso ein legitimes Windows-Binary. Das hat für Angreifer gleich zwei Vorteile: Es akzeptiert beliebige URLs (und kann auch mit Proxies umgehen) und es führt die DLL sofort aus, auch ohne sie wirklich zu registrieren (braucht zum Ausführen also wohl nicht mal Adminrechte).

 

Gruß, Nils

Link zu diesem Kommentar

Gut, dass es noch halbwegs glimpflich bei dir abgelaufen ist.

 

Bei einigen meiner Bekannten waren und sind die letzten Wochen doch schon ziemlich heftig.

 

Viele kleinere Unternehmen wie Steuerbüros oder Kanzleien sind betroffen und es gibt dort viel zu tun.

 

Die, die solche Viren entwerfen sind sicherlich vieles aber dumm wohl meist nicht. Die sind nur auf der falschen Seite gelandet leider.

Link zu diesem Kommentar
@peter999

Da wäre ich mir an Deiner Stelle nicht so sicher!

Zumindest bei uns wurde auf dem betroffenen PC keine einzige Datei verschlüsselt! CryptXXX scheint ganz bewusst zunächst Daten auf Netzwerklaufwerken zu verschlüsseln!

 

 

Gut, das wäre natürlich b***d. Trotzdem: Der Aufwand dafür hielt sich in Grenzen und es besteht ja durchaus auch die Gefahr sich .locky o.ä. zu fangen. Die haben jedenfalls am eigenen PC gestartet.

Wir werden sehen :)

 

Ich hab das ganze gerade auf dem Server installiert...Lieber fahre ich Filer runter als das er mir alles verschlüsselt.

bearbeitet von peter999
Link zu diesem Kommentar

 

Ich hab das ganze gerade auf dem Server installiert...Lieber fahre ich Filer runter als das er mir alles verschlüsselt.

Wir haben das über unseren Netzwerkmonitor (Zabbix) realisiert.

Da auf unserem Dateiserver Deduplication aktiviert ist, sinkt bei der Verschlüsselung von vorhandenen Dokumenten der freie Speicherplatz auf dem Dateiserver ab. Dafür haben wir einen entsprechenden Trigger eingerichtet. Sinkt der freie Speicherplatz auf dem Dateiserver innerhalb eines Messfensters von 10 Minuten stark ab (Deltamessung), werden wir umgehend darüber informiert.

Auch ganz interessant um festzustellen, wer den Dateiserver als Lagerort für seine Videos missbraucht. :cool:

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...