Jump to content

Es hat uns erwischt (Verschl.-Trojaner CryptXXX)


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

technisch sollte das kein Problem darstellen, die Dauer und genauigkeit des Baselinings ist hier allerdings kritisch. Aber besser es schaut jemand ein paar Alarme zu viel nach als zu wenige

 

Der zusätzliche Trigger war in ein paar Minuten eingerichtet.

Natürlich gilt es dabei die Schwelle für die Meldung entsprechend zu setzten. Ich habe das bei und auf 2 GB Delta in 5 Minuten gesetzt (in der Zeit vom 6-21.30 Uhr). 

Bei dem realen Trojanerbefall lag das Delta bei rund 3,5 GB/5Minuten.

Zusätzlich könnte man auch noch den Netzwerktraffic in den Trigger aufnehmen. Da der Trojaner ja lokal auf dem betroffenen Client ausgeführt wird, läuft der Traffic ja auch über das Netz.

Link zu diesem Kommentar

Welche Sicherheitsmassnahmen habt ihr neu eingeführt nach dem Sicherheitsvorfall?

Oder nur Dienstleister gewechselt?

 

Hervorragende Frage, was kann man außer der Datensicherung noch machen? Hat jemand eine Vorstellung, wie man solche Verschlüsselungsroutinen detektieren könnte? Beim Auftauchen einer Datei mit Endung .crypt Alarm zu schlagen erscheint mir etwas zu kurz gegriffen, der nächste Crypto-Trojaner verwendet dann .asc...

 

Also, was tun?

Link zu diesem Kommentar
  • 2 Wochen später...

Moin,

in diesem Zusammenhang möchte ich auf folgenden Blogbeitrag hinweisen:

https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen/

 

Je nach 'Ausbaustufe' kann man damit zumindest seine Windows-Fileserver zusätzlich absichern, oder sich zumindest umgehend über verdächtige Vorgänge benachrichtigen lassen.

 

Gruß

Dirk

Link zu diesem Kommentar

Das ist doch eine Bastellösung, die genau 0% mehr Sicherheit bringt.

- der nächste Attacker nutzt die Endung *.aa1 (ganz doof sind die Authoren von Malware auch nicht!)

- gegen Malware, die Informationen ausspäht, verändert oder löscht, hilft diese Lösung überhaupt nicht

- man erhöht die Komplexität der eigenen Umgebung unnötig für mehr gefühlte Pseudo-Sicherheit, was wiederum weitere Angriffe nur erleichtert

- "Ohne Backup kann der Schaden sehr groß werden." ja,....das ist tatsächlich richtig, aber die Lösung bzw. Folgerung daraus ist komplett falsch!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...