Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
monstermania

Es hat uns erwischt (Verschl.-Trojaner CryptXXX)

Empfohlene Beiträge

Ich synce den Fileserver täglich auf nen Speicher - Speicherort nur für Serviceaccount möglich...(Freefilesync - mittlerweile leider Candy verseucht).

Die Dateien werden versioniert abgelegt, also bei änderungen die alte Datei mit Timestamp umbenannt.

Ansonsten sind einige Dateien ja auch im DMS z.B. Sharepoint oder Workflow Lösungen abgelegt.

 

Im Worstcase kann ich also entweder alle Dateien ohne Timestamp zurückkopieren & ohne die betroffenen Endungen.

Sicher auch etwas Fummelei ... aber wohl zielführender.

 

Zu Erkennung selbst, sollte es aber doch möglich sein, die Verhaltensmuster zu identifizieren.

bearbeitet von PowerShellAdmin

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@blub

Hast Du die ultimative allumfassende Lösung gegen alle Crypto-Trojaner!? Dann her damit!

 

Ist schon klar, dass Franks-Ansatz nicht die Lösung aller Probleme ist. Aber immerhin ein Baustein um eine mögliche Infektion frühzeitig erkennen zu können.

Aus dem Ansatz ergeben sich ja einige Möglichkeiten heraus. z.B. das Schema umzudrehen um nur bestimmte Dateiendungen in bestimmten Bereichen des Fileservers zuzulassen Whitelisten). Das so etwas nicht gegen einen Trojaner hilft, der die Dateiendungen gar nicht anfasst ist klar. Aber dafür gibt es dann andere Möglichkeiten (z.B. Traffic-Monitoring).


Ich synce den Fileserver täglich auf nen Speicher - Speicherort nur für Serviceaccount möglich...(Freefilesync - mittlerweile leider Candy verseucht).

 

Die 3 besten Lösungen gegen Crypto-Trojaner:

1. Backup

2. Backup

3. Backup

 

Die Herausforderung ist doch einen möglichen Trojanerbefall schnellstmöglich zu erkennen! Und klar, dazu muss man seine(n) Server irgendwie überwachen...

Am besten natürlich einen Trojaner gar nicht erst in das Netzwerk kommen lassen!

 

Aber man hört ja wen es schon Alles erwischt hat.

Und ich möchte gar nicht wissen, wie viele Admins einen solchen Vorfall 'verschweigen'. Bloß um ja nicht schlecht dazustehen  :rolleyes:

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Aber man hört ja wen es schon Alles erwischt hat.

Und ich möchte gar nicht wissen, wie viele Admins einen solchen Vorfall 'verschweigen'. Bloß um ja nicht schlecht dazustehen  :rolleyes:

 

Schweigen - Ein Admin hat es nicht leicht - Benutzerakzeptanz ist ein Thema, das andere die der GF... Letzteres ist schwierig und nicht jeder Admin kämpft für eine gewisse Qualität.

Ich sehe hier täglich in meiner Arbeit die Ankedote zu "Don Quijote", wo die Windmühlen stehen wissen wohl die Meisten - Das schafft viel Frustration - Als Admin / IT Consultant sollte es nicht so ablaufen.

 

Bei den ersten Beben auch sehr starke Sanktionen eingeführt - zum Glück. Mittelfristig konnte ich eine recht gute Lösung für uns umsetzen - 100% gibts an dieser Stelle eh nicht ... Da sind wir dann wieder beim Backup.

bearbeitet von PowerShellAdmin

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

sehe gerade da gibts nen kleines Webinar bei heise - lohnt sich das oder ist das zu einfach ?

 

Umfang einer Stunde ist net so berauschend, auch konnte keine geplanten Inhalte finden.

Habe mir das Webinar 'angetan'.  :rolleyes:

War m.E. mehr etwas für Heimanwender bzw. Dummies und erfüllte nicht einmal Ansatzweise meine Erwartungen.

Viel BlaBla und nix konkret Verwertbares. Jedenfalls nichts, was ein Admin der diesen Namen bzw. Titel auch 'verdient' nicht ohnehin schon wissen sollte bzw. umgesetzt haben sollte. Leider wurde auch auf konkrete Fragen nur sehr oberflächlich reagiert.

 

Wichtigstes Fazit:

Leute macht Backups!

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@blub

Hast Du die ultimative allumfassende Lösung gegen alle Crypto-Trojaner!? Dann her damit!

 

Hab ich nicht! Aber man fängt nicht am Grund des Brunnens an mehr oder weniger gut zu monitoren, damit ein erneut hineingefallenes Kind diesmal eventuell schneller (zumindest werktags zwischen 9:00 und 16:00 Uhr)  entdeckt wird. Und verkündet anschließend "jetzt ist der Brunnen zumindest etwas sicherer"

  • Like 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×