Jump to content

Active Directory mit Verschlüsselungstrojaner infiziert - Gegenmaßnahmen?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo Community,

 

mein Bekannter hat mich um Rat gefragt. Das Active Directory wurde von einem Verschlüsselungstrojaner befallen.

Nun gibt es folgende Fragen:

 

- wie geht man als Admin an einem Befall denn so ran? Welche Steps führt man durch?
=> als erster Schritt wäre wohl die Unterbrechung der Verschlüsselung/ weiterer Befall wohl sinnvoll?

 

- woher erkennt man, welcher der 30 Computer/ Benutzer eine Schaddatei geöffnet hat? (Vermutung liegt in einem Mailanhang)

- Netzlaufwerke wurde angegriffen und alle Dateien mit Thor umbenannt

 

- woher weiß man, ob die Verschlüsslung noch aktiv ist, welche aktiven Dateien entfernt werden müssen?

- welche Tools zum Bereinigen?

 

- wie kann ich die Trojanerversion/Namen herausfinden?

 

Über ein paar Antworten würde ich mich sehr freuen. Danke im Voraus.

Edited by junioradm
Link to comment

Hallo,

allgemein:

-Clients und Server mit Unix-Boot-CD untersuchen/auf Viren scannen. Z.B. Ct-Disinfect.

-Infizierte Rechner offline nehmen und neu aufsetzen

-Betroffene Benutzerprofile löschen.

wenn du (oder dein Bekannter) gar keine Ahnung hast was zu tun ist lass besser jemanden kommen.

 

Das sind aber nur allgemeine Tips ohne jede Verbindlichkeit oder Anspruch auf Vollständigkeit oder irgendeinen anderen Anspruch auf was auch immer .... . Wenn ihr servergespeicherte Profile haben solltet muss nicht zwingend der Profilserver neu gemacht werden z.B.

(es sein denn der Profilserver ist gleichzeitig ein TS auf einem DC ....)

Link to comment

-Es gibt über 30 Domänencomputer...wir möchten nicht jeden einzelnen Computer mit einer Rescue-USB booten und scannen...

 

- ich denke kaum, dass der Scanner der Rescue-USBs so aktuell ist, daas er Ransomware erkennt?

 

- Dateien auf dem Netzlaufwerk wurden verschlüsselt

=> hier müsste man doch feststellen können, welcher Benutzer im AD missbraucht wurde. Danach nur den Computer scannen, auf dem der betroffene Benutzer angemeldet war...so war meine Idee jedenfalls?

 

- Profile (lokal oder servergespeichert) löschen, was bringt das?

Link to comment

Ich sehe an deinen Antworten das du eigentlich nicht wirklich etwas gegen das Problem tun möchtest. Das Netzwerk ist befallen, Daten sind verschlüsselt. Es ist dir aber zu lästig alle Rechner zu scannen? Ernsthaft??

 

Möglicherweise wurden mittlerweile andere Rechner befallen. Allein schon aus Sicherheitsgründen sind alle Rechner neu zu installieren. Daten sind zu löschen und aus der (sicherlich vorhandenen Datensicherung) wiederherzustellen.

 

Eigentlich ganz einfach. Wirf weg was du hast und stelle es wieder her. Dann bist du auf der sicheren Seite.

Link to comment

Hallo,

 

Google mal nach

"incident handling process"

Die Dokumente von SANS und NIST haben immer eine hohe Qualität.

Du wirst aber immer dieselbe grundlegende Empfehlung finden: Be prepared!  (das heißt u.a.: aktuelle backups / ggf. desaster recovery process)

 

Deine Beschreibung ist zu rudimentär, um dir eine konkrete Empfehlung geben zu können, außer einem einzigen Rat: "Auf keinen Fall zahlen!"

Ein einfaches Tool als Lösung gibt es sicher nicht. Selbst die aktuellsten Virenscanner sind für moderne Malware löchrig.

 

blub

Link to comment

Das Problem wurde soeben behoben. Mir war nur wichtig, wie man als Administrator schnell, wirksam und ohne viel Aufwand reagieren kann.

Die Netzlaufwerke wurden getrennt, Verschlüsselung somit gestoppt. Der Benutzer und der schadhafte Computer wurde gefunden. Der Computer ist jetzt ausgeschaltet.

Der Bekannte hat

 

-Thor hat weiterer Html-Dateien auf dem Netzlaufwerk erstellt

- Unter Dateieigenschaften > Sichheit > die Besitzrechte angesehen und dort eine bestimmte S-ID gefunden.

- S-ID über Powershell eingegeben und dann kam auch der AD-User heraus

- dann den Computer gefunden, auf dem der AD-User angemeldet war & ausgeschaltet

_______________________________________________________________________
 

Danke für eure Comments

Link to comment
  • 2 weeks later...

Wir hatten bei eine Kunden ein ähnliches Problem, allerdings war der Verursacher nicht aufzuspüren ( wir haben nur Vermutungen aber keine Beweise). Backup zurück gespielt, mehrer Tools verschiedenster Hersteller drüberlaufen lassen über einen Zeitraum von mehreren Tagen. Seit dem ist alles wieder ok.

 

Achja, und die Sicherheit wurde noch weiter verschärft.

 

Hier waren befallen, ein Netzlaufwerk und sogar die Logs des Backups. Sonst war komischerweise alles sauber und unangetastet.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...