"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Crypto, Locky usw... Virenbefall wird heftig

hachigatsu 21.04.2016 - 08:42 30954 174
Posts

hachigatsu

king of the bongo
Registered: Nov 2007
Location: Salzburg
Posts: 5702
Durch die Medien sollte sie ja bereits jeder kennen, aber wie geht es euch mit diesen fiesen teilen?

Wir hatten gestern (20.4.2016) den dritten Befall dieses Jahr, allerdings muss dazu gesagt werden das wir noch nie ein Virenproblem in der Firma hatten.


Virus eingeschleppt, arbeitet sich von Laufwerk (Netzlaufwerk) zu Laufwerk (von Z nach A) und verschlüsselt sämtliche Inhalte der Ordner. Als Gimik wird noch ein .txt, .html oder .bmp angelegt welches zur Zahlung auffordert. Das ding macht solang weiter bis man den PC vom netz trennt...

Zumindest bei einem AD ist das erkennen des Ursprungs relativ einfach, die zusätzlich erstellten files (html, txt oder bmp) tragen den Owner bzw Ersteller ein, so ist es relativ leicht das ding zu erwischen.

Wir haben ihn bis dato immer sehr sehr schnell gefunden, eh logisch.. die Leute melden sich wenn sie ihre Daten im Netzwerk nicht mehr öffnen können. Aber dann ist es schon zu spät... Rücksicherung starten :(

Gestern hat es innerhalb von 17 Minuten 13.000 files erwischt. Mussten also wieder vom vortag zurückgesichert werden.

Bis dato hatten wir echt noch glück, es wurden keine kritischen Files erwischt. Abteilungslaufwerke, alle-Laufwerke.. Unser Backup ist zuverlässig und flink, passt bis dato.



Meine Frage, wie geht ihr damit um, und wie sichert ihr euch ab?
Laut sämtlichen Firewall und AV-Herstellern gibt es noch keine Lösung gegen dieses Problem.

Wir wissen das die Dinger Alphabetisch vorgehen, also Laufwerke A-Z/Z-A und Ordner... Hatten schon die ideen Dummyordner (A und Z) mit Fake-Inhalt anlegen und sofort eine Benachrichtigung bekommen wenn sich dort etwas bewegt.

Umlüx

Huge Metal Fan
Avatar
Registered: Jun 2001
Location: Kärnten
Posts: 8892
wir hatten bisher erst einen vorfall. und da hat es nur das persönliche laufwerk des mitarbeiters betroffen welches in minuten wieder hergestellt war.
schreibrechte sind ziemlich restriktiv aufgebaut und die maschinen selber sind alle virtualisert. dadurch haben wir die angriffsfläche schonmal eingegrenzt.

ich habe meine schäfchen inzwischen schon extrem dafür sensibilisiert. bis hin zum punkt dass ich schon harmlose newsletter weitergeleitet bekomme mit der nachfrage ob das sauber ist :D

die idee mit dem dummyordner find ich allerdings intressant!

lalaker

TBS forever
Avatar
Registered: Apr 2003
Location: Bgld
Posts: 14699
Imho hilft da nur MA intensiver schulen und häufiger Backups zu machen.

hachigatsu

king of the bongo
Registered: Nov 2007
Location: Salzburg
Posts: 5702
Zitat von lalaker
Imho hilft da nur MA intensiver schulen und häufiger Backups zu machen.

Das mit dem MA sorgfältiger schulen ist schwer... Wir hatten bis dato 3x den Befall, 2x die selbe Sekretärin und gestern jemand anders (Abwechslung muss auch mal sein).

Das Problem dabei, wir können den Brandherd nicht finden.

Durch E-Mails war es nicht, das können wir zu 100% sicher sagen. Wurde geprüft.
Bleibt nur das Surfen.. Wir haben aber auch hier alles abgesucht, es wurde nichts herunter geladen, und die geöffneten Seiten sind alle seriös.

Beispiel gestern
Es wurde nur die Seite von einem Alfa-Autohaus geöffnet, dann ging es los.

Beim vorletzten Befall ging es offensichtlich von einer kleinen Fleischerei um die ecke aus. Es ist wahnsinnig schwer jemanden zu sagen das er eigentlich gar nix machen darf, weil offenbar alles böse ist :D

Wir schicken auch wöchentlich mails heraus wo wir die Mitarbeiter darüber aufklären welche bekannten Fake-Mails gerade wieder im speziellen im Umlauf sind, damit sie zusätzlich aufpassen (zb Post und andere Versand-Firmen diese Woche)
Bearbeitet von hachigatsu am 21.04.2016, 09:00

XeroXs

doh
Avatar
Registered: Nov 2000
Location: Lieboch
Posts: 10296
Blöde Frage.. gscheiter Virenscanner hilft da nix :confused:

mr.nice.

endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6287
Es hilft schon relativ viel Java und Flash (wenn überhaupt notwendig), PDF Reader, OS und Office, wie auch den Virusscanner aktuell zu halten. Für Firmen empfehle ich zusätzlich netzwerkbasierte content filter mit automatischer Updatefunktion namhafter Hersteller, weil die sehr fleißig böse URLs rausfiltern.

Die Pest kommt nicht nur über Mail-Attachments, sondern auch über drive-by downloads, auch über seriöse Webseiten kann Werbung mit malware eingeblendet werden.

Ein anderes großes Einfallstor sind natürlich USB-Sticks aus Privathaushalten, die die Runde machen.
Bearbeitet von mr.nice. am 21.04.2016, 09:23

lagwagon

bierfräser
Avatar
Registered: Jun 2003
Location: OÖ/VB
Posts: 2795
noch blödere Frage: kann man sich Viren/Trojaner/usw. tatsächlich durch das reine Surfen einfangen?
Wir dürfen im Job keine USB-Sticks mehr verwenden.

mr.nice.

endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6287
Ja, wenn der Browser, oder dessen Plugins angreifbar sind, der Benutzer Administratorrechte hat, oder eine ungepatchte privilege escalation Lücke im Betriebssystem ausgenutzt werden kann.

Hinzukommt, die Verschlüsselungs-Pest kommt auch ohne Admin-Rechte aus, wenn sie es nur auf Userdaten abgesehen hat.

lalaker

TBS forever
Avatar
Registered: Apr 2003
Location: Bgld
Posts: 14699
Gratulation, an euren Sys-Admin. System-Sicherheit ist kein Beliebtheitswettbewerb.

Mir ist schon klar, dass manches in der Praxis nicht leicht durchsetzbar/umsetzbar ist, aber man muss sich halt entscheiden, was wichtiger ist.

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16606
Zitat von lagwagon
noch blödere Frage: kann man sich Viren/Trojaner/usw. tatsächlich durch das reine Surfen einfangen?
Wir dürfen im Job keine USB-Sticks mehr verwenden.
ja. Haben wir täglich. sind immer wieder drive-Bys. Sonst halt die DHL links. Und wenn das nicht funktioniert ist es halt ein docx mit Makros oder ein Zip mit Inhalt - die crypto Viren laufen alle im usermode - sind keine hochwertigen exploits. Gute Kosten / Nutzen-Rechnung.

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19561
Ja, ich glaube abgesehen von gelegentlichen Mails mit .exe/.vbs/.sowieso Anhang sind die Web Browser am häufigsten betroffen.

Hatte das selbst letztens bei meiner Freundin ALS AUCH bei mir selbst. Chrome Profil wurde verseucht (außerhalb konnte es sich anscheinend nicht verbreiten), Reset des Profils und alles war wieder normal.

hachigatsu

king of the bongo
Registered: Nov 2007
Location: Salzburg
Posts: 5702
Das Problem bei Locky usw hab ich mir von Barracuda und Trendmicro erklären lassen, sie hatten beide die selbe aussage.

Locky /Crypt bla bla.. kommt nicht als datei, wird auch nicht auf der HDD abgelegt, bleibt nur als Fragment im RAM hängen. Als Fragment tut er nix, und wird weder von einer Firewall noch von einem AV-Tool gefunden. Kommen die passenden Fragmente zusammen, startet er los. Er verschwindet sobald der PC einmal den Saft verliert (Ram = Leer)

Probmaker

1.0.0.721
Avatar
Registered: Nov 2003
Location: here
Posts: 5029
wir gehen mittlerweile sehr restriktiv an die sache ran:

- attachments .doc, .docm, .rtf., .xls., .xlsm, .zip, .rar, .exe werden geblockt
- über http selbe dateitypen blockiert über die firewall
- alles aktuell halten (java/flash/firefox/chrome)
- sensibilisieren, sensibilisieren, sensibilisieren. geht schon fast in richtung angst machen :D

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16606
ist nicht meine Beobachtung. Die dropper findest immer auf der Platte - hab ca. 20 Fälle im letzten halben Jahr analysiert und da war nie einer dieser nicht persistenten - key etc ist natürlich nicht persistent gespeichert ;)
Die AV Hersteller sind derzeit einfach nur schlecht. Teilweise schaffen sie es ja nicht mal dass die immer gleichen info/readme .txts einen alert auslösen :bash:

hachigatsu

king of the bongo
Registered: Nov 2007
Location: Salzburg
Posts: 5702
Ich hab bis dato alle 3 Infizierten PC's mit mehreren verschiedenen AV-Tools und anderen Programmen geprüft, NIX, gaaaaar nix!
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz