Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
monstermania

Es hat uns erwischt (Verschl.-Trojaner CryptXXX)

Empfohlene Beiträge

technisch sollte das kein Problem darstellen, die Dauer und genauigkeit des Baselinings ist hier allerdings kritisch. Aber besser es schaut jemand ein paar Alarme zu viel nach als zu wenige

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

technisch sollte das kein Problem darstellen, die Dauer und genauigkeit des Baselinings ist hier allerdings kritisch. Aber besser es schaut jemand ein paar Alarme zu viel nach als zu wenige

 

Der zusätzliche Trigger war in ein paar Minuten eingerichtet.

Natürlich gilt es dabei die Schwelle für die Meldung entsprechend zu setzten. Ich habe das bei und auf 2 GB Delta in 5 Minuten gesetzt (in der Zeit vom 6-21.30 Uhr). 

Bei dem realen Trojanerbefall lag das Delta bei rund 3,5 GB/5Minuten.

Zusätzlich könnte man auch noch den Netzwerktraffic in den Trigger aufnehmen. Da der Trojaner ja lokal auf dem betroffenen Client ausgeführt wird, läuft der Traffic ja auch über das Netz.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Unsere UTM mit Proxy und der Clientseitige AV-Schutz haben keinen Alarm geschlagen oder uns vor einer Infektion geschützt!

 

Welche Sicherheitsmassnahmen habt ihr neu eingeführt nach dem Sicherheitsvorfall?

Oder nur Dienstleister gewechselt?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Welche Sicherheitsmassnahmen habt ihr neu eingeführt nach dem Sicherheitsvorfall?

Oder nur Dienstleister gewechselt?

 

Hervorragende Frage, was kann man außer der Datensicherung noch machen? Hat jemand eine Vorstellung, wie man solche Verschlüsselungsroutinen detektieren könnte? Beim Auftauchen einer Datei mit Endung .crypt Alarm zu schlagen erscheint mir etwas zu kurz gegriffen, der nächste Crypto-Trojaner verwendet dann .asc...

 

Also, was tun?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Solche Dateiendungen kann man natürlich verbieten, Software Restriction Policys einführen, JavaScript deaktivieren. Anstatt Dateiendungen verbieten lieber eine Whitelist aufstellen. Hilft auch nicht zu 100%, aber hilft sicherlich weiter.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

in diesem Zusammenhang möchte ich auf folgenden Blogbeitrag hinweisen:

https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen/

 

Je nach 'Ausbaustufe' kann man damit zumindest seine Windows-Fileserver zusätzlich absichern, oder sich zumindest umgehend über verdächtige Vorgänge benachrichtigen lassen.

 

Gruß

Dirk

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Das ist doch eine Bastellösung, die genau 0% mehr Sicherheit bringt.

- der nächste Attacker nutzt die Endung *.aa1 (ganz doof sind die Authoren von Malware auch nicht!)

- gegen Malware, die Informationen ausspäht, verändert oder löscht, hilft diese Lösung überhaupt nicht

- man erhöht die Komplexität der eigenen Umgebung unnötig für mehr gefühlte Pseudo-Sicherheit, was wiederum weitere Angriffe nur erleichtert

- "Ohne Backup kann der Schaden sehr groß werden." ja,....das ist tatsächlich richtig, aber die Lösung bzw. Folgerung daraus ist komplett falsch!

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×