ComputerBase Menü
Aktuelles

CryptXXX 3.0 (21.5.16)

ElDiablo

ElDiablo

Lt. Commander
Registriert
Juli 2009
Beiträge
1.363
Hallo zusammen,
unser Firmen-Netzwerk hat eine neue Variante vom Win32.CryptXXX erwischt, die sich noch nicht mit dem Kaspersky Tool entschlüsseln lässt. Laut einiger Quellen soll hier auch der Erpresser-Decrypter so seine Probleme haben.

Der Trojaner folgt auch Netzwerkfreigaben und wütet überall wo er darf. Zur Verbreitung kann ich leider noch nichts sagen, vermute aber mal wieder einen unsicheren Mailanhang.

Gibt es hier schon gute Lösungsansätze, um das dauerhaft zu verhindern?
Ich habe schon über PDF-Konvertierung von allen Dateitypen nachgedacht, die Scripte beinhalten können.
Alternative wäre vielleicht pauschal Outlook in einer VM laufen zu lassen, die auch einen eigenen Viewer für Dokumente hat.

Cheers,
El
 
ElDiablo schrieb:
Gibt es hier schon gute Lösungsansätze, um das dauerhaft zu verhindern?
Zum Vergrößern anklicken....

Schulung der Mitarbeiter wäre vielleicht mal angebracht, aber kein 5min-Vortrag, bei dem sie einpennen, sondern eine Veranstaltung, die ihren Gehirnen mal etwas Dampf macht. Ob es so sinnvoll ist, Dokumente in PDFs zu konvertieren, die ihrerseits ebenfalls ein Sicherheitsrisiko darstellen können, sollte man überdenken.

Schlimmstenfalls müssen mehr Restriktionen her. Mailanhänge nur bei verschlüsselten Mails mit digital verfizierten Absendern akzeptieren, Makros grundsätzlich deaktiviert bis auf Benutzerkonten/Plätze, die mit Mailanhängen nicht in Kontakt kommen usw. Und das Wichtigste nach aktuellen Anwendungen und Plugins: Backups, Backups und nochmal Backups.
 
ElDiablo schrieb:
Gibt es hier schon gute Lösungsansätze, um das dauerhaft zu verhindern?l
Zum Vergrößern anklicken....

Windows Scripting Host abschalten, denn wozu sollte ein normaler Benutzer Scripte ausführen müssen?
Code: 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"enabled"="0"

--

Adobe PDF Reader durch PDF-XChange Viewer ersetzen.

--

In den Gruppenrichtlinien die Ausführung von Programmen aus den Temp-Ordnern verhindern.

Computerkonfiguration, Windows Einstellungen, Sicherheitseinstellungen, Richtlinien für Softwareeinschränkung,

Designierte Dateitypen: LNK löschen

Erzwingen: Alle Softwaredateien, Alle Benutzer außer den lokalen Administratoren

Sicherheitsstufen, Nicht erlaubt (rechtsklick, "Als Standard"),

"Zusätzliche Regeln": Pfade hinzufügen:
"c:\Program Files" : nicht eingeschränkt
"c:\Program Files (x86)" : nicht eingeschränkt
"c:\Windows\Temp" : nicht erlaubt
%AppData%\*.exe : nicht erlaubt
%AppData%\*\*.exe
%LocalAppData%\*.exe : nicht erlaubt
%LocalAppData%\*\*.exe : nicht erlaubt
%LocalAppData%\Temp\Rar*\*.exe : nicht erlaubt
%LocalAppData%\Temp\wz*\*.exe : nicht erlaubt
%LocalAppData%\Temp\*.zip\*.exe : nicht erlaubt
%UserProfile%\Lokale Einstellungen\Temp\7z*\*.exe : nicht erlaubt

zusätzlich zu "exe" auch noch jeweils vbs, cmd, bat hinzufügen.

Dann kann sich ein Schädling zwar in die Temp-Ordner runterlaen, ist dort aber trotzdem nicht ausführbar.

---

Programme generell verbieten:

Computerkonfiguration, Windows Einstellungen, Sicherheitseinstellungen, Richtlinien für Softwareeinschränkung, Zusätzliche Regeln
Programm hinzufügen, das gesperrt sein soll.

---

Gewisse berüchtigte Dateien generell verbieten.

Code: 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisallowRun"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"1"="fail.exe"
"2"="ladybi.exe"
"3"="Lah.bat"

Das gilt für "Locky".

---

Ab Enterprise, Ultimate mit Whitelisten und Hashes arbeiten:
"Anwendungssteuerrichtlinien" (Applocker)
Alle Programme, die nicht in der Whitelist drin stehen werden automatisch blockiert.
 
Zuletzt bearbeitet:
@IRON67: Bei 30+ Arbeitsplätzen und tausenden Mails am Tag ist es schwierig, den Kaufleuten die Gefahr jeder Dateiendung zu erläutern.

Scriptings komplett abzuschalten wäre eine Idee. Zumindest wenn es nicht gebraucht wird.
Backups laufen natürlich täglich und der Server ist als VM aufgesetzt und repliziert sich permanent. Wirklich verloren haben wir nichts, aber ärgerlich bleibt sowas, denn den Wirt muss man auch erstmal finden und neu aufsetzen.
 
Ist schon komisch.

Bei mir kommt Avast und löscht den Anhang aus den Mails z.B. bezüglich Locky.

Habt Ihr keine Sicherheitssoftware, die Spam erkennt?
Ergänzung ()

Bezüglich Scripte:
Die erfordern normalerweise eine Signierung.

Offenbar fummeln einige Firmen zu viel an den Standardeinstellungen herum.
 
Ich hab auch Avast immer mit Mailschutz installiert und wenn ich mit Windows Live Mail meine Mails abrufe, checkt da der Avast Mailschutz rein und löscht infizierte Anhänge. Was Locky angeht: ich glaube fast alle namhaften Virenschutz Hersteller haben den mittlerweile in ihren Erkennungen eingepflegt.
 
Trend Micro Business läuft hier im ganzen Netzwerk.
Erkannt hat es weder Locky noch CryptXXX. Bei Locky hätte das Update meine ich ein oder zwei Tage eher kommen müssen.

Danke für die vielen Ideen. Firefox mit Noscript wäre noch eine Option, aber das könnte viele wieder überfordern.
 
Deswegen verstehe ich auch nicht, wieso man Policies pflegen soll.

Wenn man ein vernünftiges Sicherheitstool hat, dann sind solche Restriktionen überflüssig.

Ich habe auch Firmenzugänge, die über Retarus verwaltet werden. Die filtern ebenfalls sehr gründlich.

Solches Policy Gebastel hört sich für mich so an, als ob jemand mal wieder an den wichtigen Ecken spart.
 
Locky hatte an den ersten Tagen laut Virustotal eine Erkennungsquote von knapp 10%. Als ich den Virus im Posteingang hatte, fanden ihn dort meine ich 7 Scanner. Grad wenn der Scanner für "sicher" gehalten wird, clicken die Nutzer ohne vorher nachzudenken.

Ein ordentlicher Virenschutz hilft heute nur bedingt. Grad wenn man durch Antik-Warenwirtschaft und co. viel zu viel im Netzwerk erlauben muss, damit das System funktioniert. Scriptings komplett abschalten wäre eine erste Lösung, die schnell geht.
 
Eine Designschwäche von Windows ist der "Standardbenutzer", der Programme auch dann starten darf, wenn diese nicht im Programm-Ordner liegen, sondern zum Beispiel im Temp-Ordner.

Gruppenrichtlinien, Computerkonfiguration, Windows Einstellungen, Sicherheitseinstellungen, Richtlinien für Softwareeinschränkung,
Sicherheitsstufen,
-> Standardbenutzer (das ist als Standard eingestellt und ein Sicherheitsrisiko)
So ist es sicherer: "Nicht erlaubt" (rechtsklick, "Als Standard")

Ein normaler Benutzer sollte keine ausführbaren Programme runterladen und diese starten können.
Falls er ausführbare Programme bzw Scripte starten muss, dann sollten ihm diese vom Administrator passend eingerichtet werden.
Fremde Programme sollten grundsätzlich verboten sein.

Deswegen sollten Benutzer auch keine Schreibrechte im Programmordner haben.
Deswegen sollten Programme keine Ausführberechtigung außerhalb dieser Programmordner haben.

Das regelt man eben über die Gruppenrichtlinie, die Microsoft schlicht zu lax voreingestellt hat.

Ein beliebiges Programm runterladen zu können und auch einfach so vom beliebigen Ort starten zu können ist wirklich eine sehr dumme Voreinstellung. Erst dadurch werden Drive-by-Infektionen überhaupt ermöglicht.
Drive-by-Speicherung ist erlaubt, aber nicht gleichzeitige Ausführung derselben Datei aus eben diesem Speicherordner.

Solange niemand den Schädling aus dem Speicherordner nicht in einen ausführbaren Programmordner kopiert liegt der Schädling einfach nur tot irgendwo herum.
 
Zuletzt bearbeitet:
Auch Locky benötigt Admin Rechte.

Es hängt also am Admin, die UAC eingeschaltet zu lassen bzw. entsprechende Nutzer einzurichten. Dann braucht man keine Rundumschläge um harmlose Programme zu sperren.
 
ElDiablo schrieb:
@IRON67: Bei 30+ Arbeitsplätzen und tausenden Mails am Tag ist es schwierig, den Kaufleuten die Gefahr jeder Dateiendung zu erläutern.
Zum Vergrößern anklicken....

Das klingt ziemlich lahm. Wie wärs dann mit zwei einbehaltenen Monatsgehältern beim Verursacher und im Wiederholungsfall mit Kündigung? Dann werden sie es vielleicht kapieren.

miac schrieb:
Deswegen verstehe ich auch nicht, wieso man Policies pflegen soll.

Wenn man ein vernünftiges Sicherheitstool hat, dann sind solche Restriktionen überflüssig.
Zum Vergrößern anklicken....

Leider der total falsche Denkansatz. Es gibt kein vernünftiges Sicherheitstool. Aber es gibt sehr viele vernünftige Restriktionen, die - einmal ordentlich eingerichtet und dann gepflegt - wesentlich zuverlässiger fast alle Eventualitäten abdecken als EIN Tool mit all seinen unvermeidlichen Fehlern.
 
Zuletzt bearbeitet:
Wie wärs dann mit zwei einbehaltenen Monatsgehältern beim Verursacher und im Wiederholungsfall mit Kündigung? Dann werden sie es vielleicht kapieren.
Zum Vergrößern anklicken....
Dann wirds sehr einsam in vielen Büros ;-)

Ich denke auf gewisse Rechte können Nutzer gut verzichten. Niemand muss Software selbst installieren.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz