Jump to content
Sign in to follow this  
monstermania

Es hat uns erwischt (Verschl.-Trojaner CryptXXX)

Recommended Posts

Ich synce den Fileserver täglich auf nen Speicher - Speicherort nur für Serviceaccount möglich...(Freefilesync - mittlerweile leider Candy verseucht).

Die Dateien werden versioniert abgelegt, also bei änderungen die alte Datei mit Timestamp umbenannt.

Ansonsten sind einige Dateien ja auch im DMS z.B. Sharepoint oder Workflow Lösungen abgelegt.

 

Im Worstcase kann ich also entweder alle Dateien ohne Timestamp zurückkopieren & ohne die betroffenen Endungen.

Sicher auch etwas Fummelei ... aber wohl zielführender.

 

Zu Erkennung selbst, sollte es aber doch möglich sein, die Verhaltensmuster zu identifizieren.

Edited by PowerShellAdmin

Share this post


Link to post
Share on other sites

@blub

Hast Du die ultimative allumfassende Lösung gegen alle Crypto-Trojaner!? Dann her damit!

 

Ist schon klar, dass Franks-Ansatz nicht die Lösung aller Probleme ist. Aber immerhin ein Baustein um eine mögliche Infektion frühzeitig erkennen zu können.

Aus dem Ansatz ergeben sich ja einige Möglichkeiten heraus. z.B. das Schema umzudrehen um nur bestimmte Dateiendungen in bestimmten Bereichen des Fileservers zuzulassen Whitelisten). Das so etwas nicht gegen einen Trojaner hilft, der die Dateiendungen gar nicht anfasst ist klar. Aber dafür gibt es dann andere Möglichkeiten (z.B. Traffic-Monitoring).


Ich synce den Fileserver täglich auf nen Speicher - Speicherort nur für Serviceaccount möglich...(Freefilesync - mittlerweile leider Candy verseucht).

 

Die 3 besten Lösungen gegen Crypto-Trojaner:

1. Backup

2. Backup

3. Backup

 

Die Herausforderung ist doch einen möglichen Trojanerbefall schnellstmöglich zu erkennen! Und klar, dazu muss man seine(n) Server irgendwie überwachen...

Am besten natürlich einen Trojaner gar nicht erst in das Netzwerk kommen lassen!

 

Aber man hört ja wen es schon Alles erwischt hat.

Und ich möchte gar nicht wissen, wie viele Admins einen solchen Vorfall 'verschweigen'. Bloß um ja nicht schlecht dazustehen  :rolleyes:

Share this post


Link to post
Share on other sites

Aber man hört ja wen es schon Alles erwischt hat.

Und ich möchte gar nicht wissen, wie viele Admins einen solchen Vorfall 'verschweigen'. Bloß um ja nicht schlecht dazustehen  :rolleyes:

 

Schweigen - Ein Admin hat es nicht leicht - Benutzerakzeptanz ist ein Thema, das andere die der GF... Letzteres ist schwierig und nicht jeder Admin kämpft für eine gewisse Qualität.

Ich sehe hier täglich in meiner Arbeit die Ankedote zu "Don Quijote", wo die Windmühlen stehen wissen wohl die Meisten - Das schafft viel Frustration - Als Admin / IT Consultant sollte es nicht so ablaufen.

 

Bei den ersten Beben auch sehr starke Sanktionen eingeführt - zum Glück. Mittelfristig konnte ich eine recht gute Lösung für uns umsetzen - 100% gibts an dieser Stelle eh nicht ... Da sind wir dann wieder beim Backup.

Edited by PowerShellAdmin

Share this post


Link to post
Share on other sites

sehe gerade da gibts nen kleines Webinar bei heise - lohnt sich das oder ist das zu einfach ?

 

Umfang einer Stunde ist net so berauschend, auch konnte keine geplanten Inhalte finden.

Habe mir das Webinar 'angetan'.  :rolleyes:

War m.E. mehr etwas für Heimanwender bzw. Dummies und erfüllte nicht einmal Ansatzweise meine Erwartungen.

Viel BlaBla und nix konkret Verwertbares. Jedenfalls nichts, was ein Admin der diesen Namen bzw. Titel auch 'verdient' nicht ohnehin schon wissen sollte bzw. umgesetzt haben sollte. Leider wurde auch auf konkrete Fragen nur sehr oberflächlich reagiert.

 

Wichtigstes Fazit:

Leute macht Backups!

Share this post


Link to post
Share on other sites

@blub

Hast Du die ultimative allumfassende Lösung gegen alle Crypto-Trojaner!? Dann her damit!

 

Hab ich nicht! Aber man fängt nicht am Grund des Brunnens an mehr oder weniger gut zu monitoren, damit ein erneut hineingefallenes Kind diesmal eventuell schneller (zumindest werktags zwischen 9:00 und 16:00 Uhr)  entdeckt wird. Und verkündet anschließend "jetzt ist der Brunnen zumindest etwas sicherer"

  • Like 1

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

Werbepartner:



×
×
  • Create New...