hachigatsu
king of the bongo
|
Durch die Medien sollte sie ja bereits jeder kennen, aber wie geht es euch mit diesen fiesen teilen? Wir hatten gestern (20.4.2016) den dritten Befall dieses Jahr, allerdings muss dazu gesagt werden das wir noch nie ein Virenproblem in der Firma hatten. Virus eingeschleppt, arbeitet sich von Laufwerk (Netzlaufwerk) zu Laufwerk (von Z nach A) und verschlüsselt sämtliche Inhalte der Ordner. Als Gimik wird noch ein .txt, .html oder .bmp angelegt welches zur Zahlung auffordert. Das ding macht solang weiter bis man den PC vom netz trennt... Zumindest bei einem AD ist das erkennen des Ursprungs relativ einfach, die zusätzlich erstellten files (html, txt oder bmp) tragen den Owner bzw Ersteller ein, so ist es relativ leicht das ding zu erwischen. Wir haben ihn bis dato immer sehr sehr schnell gefunden, eh logisch.. die Leute melden sich wenn sie ihre Daten im Netzwerk nicht mehr öffnen können. Aber dann ist es schon zu spät... Rücksicherung starten Gestern hat es innerhalb von 17 Minuten 13.000 files erwischt. Mussten also wieder vom vortag zurückgesichert werden. Bis dato hatten wir echt noch glück, es wurden keine kritischen Files erwischt. Abteilungslaufwerke, alle-Laufwerke.. Unser Backup ist zuverlässig und flink, passt bis dato. Meine Frage, wie geht ihr damit um, und wie sichert ihr euch ab? Laut sämtlichen Firewall und AV-Herstellern gibt es noch keine Lösung gegen dieses Problem. Wir wissen das die Dinger Alphabetisch vorgehen, also Laufwerke A-Z/Z-A und Ordner... Hatten schon die ideen Dummyordner (A und Z) mit Fake-Inhalt anlegen und sofort eine Benachrichtigung bekommen wenn sich dort etwas bewegt.
|
Umlüx
Huge Metal Fan
|
wir hatten bisher erst einen vorfall. und da hat es nur das persönliche laufwerk des mitarbeiters betroffen welches in minuten wieder hergestellt war. schreibrechte sind ziemlich restriktiv aufgebaut und die maschinen selber sind alle virtualisert. dadurch haben wir die angriffsfläche schonmal eingegrenzt. ich habe meine schäfchen inzwischen schon extrem dafür sensibilisiert. bis hin zum punkt dass ich schon harmlose newsletter weitergeleitet bekomme mit der nachfrage ob das sauber ist die idee mit dem dummyordner find ich allerdings intressant!
|
lalaker
TBS forever
|
Imho hilft da nur MA intensiver schulen und häufiger Backups zu machen.
|
hachigatsu
king of the bongo
|
Imho hilft da nur MA intensiver schulen und häufiger Backups zu machen. Das mit dem MA sorgfältiger schulen ist schwer... Wir hatten bis dato 3x den Befall, 2x die selbe Sekretärin und gestern jemand anders (Abwechslung muss auch mal sein). Das Problem dabei, wir können den Brandherd nicht finden. Durch E-Mails war es nicht, das können wir zu 100% sicher sagen. Wurde geprüft. Bleibt nur das Surfen.. Wir haben aber auch hier alles abgesucht, es wurde nichts herunter geladen, und die geöffneten Seiten sind alle seriös. Beispiel gestern Es wurde nur die Seite von einem Alfa-Autohaus geöffnet, dann ging es los. Beim vorletzten Befall ging es offensichtlich von einer kleinen Fleischerei um die ecke aus. Es ist wahnsinnig schwer jemanden zu sagen das er eigentlich gar nix machen darf, weil offenbar alles böse ist Wir schicken auch wöchentlich mails heraus wo wir die Mitarbeiter darüber aufklären welche bekannten Fake-Mails gerade wieder im speziellen im Umlauf sind, damit sie zusätzlich aufpassen (zb Post und andere Versand-Firmen diese Woche)
Bearbeitet von hachigatsu am 21.04.2016, 09:00
|
XeroXs
doh
|
Blöde Frage.. gscheiter Virenscanner hilft da nix
|
mr.nice.
differential image maker
|
Es hilft schon relativ viel Java und Flash (wenn überhaupt notwendig), PDF Reader, OS und Office, wie auch den Virusscanner aktuell zu halten. Für Firmen empfehle ich zusätzlich netzwerkbasierte content filter mit automatischer Updatefunktion namhafter Hersteller, weil die sehr fleißig böse URLs rausfiltern.
Die Pest kommt nicht nur über Mail-Attachments, sondern auch über drive-by downloads, auch über seriöse Webseiten kann Werbung mit malware eingeblendet werden.
Ein anderes großes Einfallstor sind natürlich USB-Sticks aus Privathaushalten, die die Runde machen.
Bearbeitet von mr.nice. am 21.04.2016, 09:23
|
lagwagon
bierfräser
|
noch blödere Frage: kann man sich Viren/Trojaner/usw. tatsächlich durch das reine Surfen einfangen? Wir dürfen im Job keine USB-Sticks mehr verwenden.
|
mr.nice.
differential image maker
|
Ja, wenn der Browser, oder dessen Plugins angreifbar sind, der Benutzer Administratorrechte hat, oder eine ungepatchte privilege escalation Lücke im Betriebssystem ausgenutzt werden kann.
Hinzukommt, die Verschlüsselungs-Pest kommt auch ohne Admin-Rechte aus, wenn sie es nur auf Userdaten abgesehen hat.
|
lalaker
TBS forever
|
Gratulation, an euren Sys-Admin. System-Sicherheit ist kein Beliebtheitswettbewerb.
Mir ist schon klar, dass manches in der Praxis nicht leicht durchsetzbar/umsetzbar ist, aber man muss sich halt entscheiden, was wichtiger ist.
|
Smut
takeover & ether
|
noch blödere Frage: kann man sich Viren/Trojaner/usw. tatsächlich durch das reine Surfen einfangen? Wir dürfen im Job keine USB-Sticks mehr verwenden. ja. Haben wir täglich. sind immer wieder drive-Bys. Sonst halt die DHL links. Und wenn das nicht funktioniert ist es halt ein docx mit Makros oder ein Zip mit Inhalt - die crypto Viren laufen alle im usermode - sind keine hochwertigen exploits. Gute Kosten / Nutzen-Rechnung.
|
daisho
SHODAN
|
Ja, ich glaube abgesehen von gelegentlichen Mails mit .exe/.vbs/.sowieso Anhang sind die Web Browser am häufigsten betroffen.
Hatte das selbst letztens bei meiner Freundin ALS AUCH bei mir selbst. Chrome Profil wurde verseucht (außerhalb konnte es sich anscheinend nicht verbreiten), Reset des Profils und alles war wieder normal.
|
hachigatsu
king of the bongo
|
Das Problem bei Locky usw hab ich mir von Barracuda und Trendmicro erklären lassen, sie hatten beide die selbe aussage.
Locky /Crypt bla bla.. kommt nicht als datei, wird auch nicht auf der HDD abgelegt, bleibt nur als Fragment im RAM hängen. Als Fragment tut er nix, und wird weder von einer Firewall noch von einem AV-Tool gefunden. Kommen die passenden Fragmente zusammen, startet er los. Er verschwindet sobald der PC einmal den Saft verliert (Ram = Leer)
|
Probmaker
1.0.0.721
|
wir gehen mittlerweile sehr restriktiv an die sache ran: - attachments .doc, .docm, .rtf., .xls., .xlsm, .zip, .rar, .exe werden geblockt - über http selbe dateitypen blockiert über die firewall - alles aktuell halten (java/flash/firefox/chrome) - sensibilisieren, sensibilisieren, sensibilisieren. geht schon fast in richtung angst machen
|
Smut
takeover & ether
|
ist nicht meine Beobachtung. Die dropper findest immer auf der Platte - hab ca. 20 Fälle im letzten halben Jahr analysiert und da war nie einer dieser nicht persistenten - key etc ist natürlich nicht persistent gespeichert Die AV Hersteller sind derzeit einfach nur schlecht. Teilweise schaffen sie es ja nicht mal dass die immer gleichen info/readme .txts einen alert auslösen
|
hachigatsu
king of the bongo
|
Ich hab bis dato alle 3 Infizierten PC's mit mehreren verschiedenen AV-Tools und anderen Programmen geprüft, NIX, gaaaaar nix!
|