Jump to content

Active Directory mit Verschlüsselungstrojaner infiziert - Gegenmaßnahmen?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Community,

 

mein Bekannter hat mich um Rat gefragt. Das Active Directory wurde von einem Verschlüsselungstrojaner befallen.

Nun gibt es folgende Fragen:

 

- wie geht man als Admin an einem Befall denn so ran? Welche Steps führt man durch?
=> als erster Schritt wäre wohl die Unterbrechung der Verschlüsselung/ weiterer Befall wohl sinnvoll?

 

- woher erkennt man, welcher der 30 Computer/ Benutzer eine Schaddatei geöffnet hat? (Vermutung liegt in einem Mailanhang)

- Netzlaufwerke wurde angegriffen und alle Dateien mit Thor umbenannt

 

- woher weiß man, ob die Verschlüsslung noch aktiv ist, welche aktiven Dateien entfernt werden müssen?

- welche Tools zum Bereinigen?

 

- wie kann ich die Trojanerversion/Namen herausfinden?

 

Über ein paar Antworten würde ich mich sehr freuen. Danke im Voraus.

bearbeitet von junioradm
Link zu diesem Kommentar

Hallo,

allgemein:

-Clients und Server mit Unix-Boot-CD untersuchen/auf Viren scannen. Z.B. Ct-Disinfect.

-Infizierte Rechner offline nehmen und neu aufsetzen

-Betroffene Benutzerprofile löschen.

wenn du (oder dein Bekannter) gar keine Ahnung hast was zu tun ist lass besser jemanden kommen.

 

Das sind aber nur allgemeine Tips ohne jede Verbindlichkeit oder Anspruch auf Vollständigkeit oder irgendeinen anderen Anspruch auf was auch immer .... . Wenn ihr servergespeicherte Profile haben solltet muss nicht zwingend der Profilserver neu gemacht werden z.B.

(es sein denn der Profilserver ist gleichzeitig ein TS auf einem DC ....)

Link zu diesem Kommentar

-Es gibt über 30 Domänencomputer...wir möchten nicht jeden einzelnen Computer mit einer Rescue-USB booten und scannen...

 

- ich denke kaum, dass der Scanner der Rescue-USBs so aktuell ist, daas er Ransomware erkennt?

 

- Dateien auf dem Netzlaufwerk wurden verschlüsselt

=> hier müsste man doch feststellen können, welcher Benutzer im AD missbraucht wurde. Danach nur den Computer scannen, auf dem der betroffene Benutzer angemeldet war...so war meine Idee jedenfalls?

 

- Profile (lokal oder servergespeichert) löschen, was bringt das?

Link zu diesem Kommentar

Ich sehe an deinen Antworten das du eigentlich nicht wirklich etwas gegen das Problem tun möchtest. Das Netzwerk ist befallen, Daten sind verschlüsselt. Es ist dir aber zu lästig alle Rechner zu scannen? Ernsthaft??

 

Möglicherweise wurden mittlerweile andere Rechner befallen. Allein schon aus Sicherheitsgründen sind alle Rechner neu zu installieren. Daten sind zu löschen und aus der (sicherlich vorhandenen Datensicherung) wiederherzustellen.

 

Eigentlich ganz einfach. Wirf weg was du hast und stelle es wieder her. Dann bist du auf der sicheren Seite.

Link zu diesem Kommentar

Hallo,

 

Google mal nach

"incident handling process"

Die Dokumente von SANS und NIST haben immer eine hohe Qualität.

Du wirst aber immer dieselbe grundlegende Empfehlung finden: Be prepared!  (das heißt u.a.: aktuelle backups / ggf. desaster recovery process)

 

Deine Beschreibung ist zu rudimentär, um dir eine konkrete Empfehlung geben zu können, außer einem einzigen Rat: "Auf keinen Fall zahlen!"

Ein einfaches Tool als Lösung gibt es sicher nicht. Selbst die aktuellsten Virenscanner sind für moderne Malware löchrig.

 

blub

Link zu diesem Kommentar

Das Problem wurde soeben behoben. Mir war nur wichtig, wie man als Administrator schnell, wirksam und ohne viel Aufwand reagieren kann.

Die Netzlaufwerke wurden getrennt, Verschlüsselung somit gestoppt. Der Benutzer und der schadhafte Computer wurde gefunden. Der Computer ist jetzt ausgeschaltet.

Der Bekannte hat

 

-Thor hat weiterer Html-Dateien auf dem Netzlaufwerk erstellt

- Unter Dateieigenschaften > Sichheit > die Besitzrechte angesehen und dort eine bestimmte S-ID gefunden.

- S-ID über Powershell eingegeben und dann kam auch der AD-User heraus

- dann den Computer gefunden, auf dem der AD-User angemeldet war & ausgeschaltet

_______________________________________________________________________
 

Danke für eure Comments

Link zu diesem Kommentar
  • 2 Wochen später...

Wir hatten bei eine Kunden ein ähnliches Problem, allerdings war der Verursacher nicht aufzuspüren ( wir haben nur Vermutungen aber keine Beweise). Backup zurück gespielt, mehrer Tools verschiedenster Hersteller drüberlaufen lassen über einen Zeitraum von mehreren Tagen. Seit dem ist alles wieder ok.

 

Achja, und die Sicherheit wurde noch weiter verschärft.

 

Hier waren befallen, ein Netzlaufwerk und sogar die Logs des Backups. Sonst war komischerweise alles sauber und unangetastet.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...