Zum Inhalt springen

Verschlüsselungsviren / Mailanhänge


beernut

Empfohlene Beiträge

Hallo Zusammen,

seit längerer Zeit ist ja vermehrt Verschlüsselungsmalware im Umlauf, die z.B. in an Mails angehängte Officedateien vorhanden ist. Wollte mich hier mal umhören was Eure Meinung zum dem Thema ist, bzw. wie ihr damit z.B. im Unternehmen damit umgeht. Wie kann man damit Umgehen ohne gleich alle Dateinendungen zu blockieren bzw. vom Mailfilter löschen zu lassen...

Würde mcih über Feedback freuen...;)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Also im Normalfall verschlüsseln die Dinger nur Daten worauf der Benutzer der den Virus ausgeführt hat auch direkten Schreibzugriff hat (Netzlaufwerke inbegriffen).

Von daher reicht es eigentlich, wenn der Admin den Benutzern nur wirklich nötige Schreibrechte verpasst und regelmäßig Backups gefahren werden.

Sensible Daten sollten im Normalfall ohnehin durch ein seperates Netz von den Clients mit Internet getrennt werden, dann kann der Virus auch mit diversen Exploits keinen großen Schaden anrichten.

Die betroffenen Clients würde ich einfach vom Netz trennen,platt machen, und das letzte Backup (vor Befall) einspielen.

Damit sollte das Thema im Normalfall gegessen sein.


 

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 2 Wochen später...

Also was ich nun bisher gelesen hatte, werden bei eine infektion mit dem entsprechender Ransomware auch nicht gemappte Netzlaufwerke verschlüsselt, bzw. deren Daten.

Gibt es noch andere Meinungen, auch im hinblick auf die aktuellen Entwicklungen? Z.B. No-script auf allen Client PC´s :P;)

http://www.heise.de/security/meldung/Neue-Masche-Krypto-Trojaner-Locky-ueber-Javascript-Dateien-verbreitet-3113689.html

http://www.heise.de/security/meldung/Infizierte-Joomla-Server-verteilen-Erpressungs-Trojaner-TeslaCrypt-3114184.html

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 5 Minuten schrieb beernut:

Gibt es noch andere Meinungen

Was soll man dazu meinen? Wir als IT-ler stehen zwischen dem Bestreben, den Usern ein vernünftig funktionierendes System (und einen Browser, der mit No-Script verdengelt ist funktioniert nicht vernünftig) zur Verfügung zu stellen und unserem eigenen Interesse, die Daten der Anwender sicher und verfügbar zu halten.

Solange wir Anwender haben, die alles anklicken was bei Drei nicht auf dem Baum ist werden wir NIE sicher sein, dass die Daten, für die wir als IT-ler verantwortlich sind, absolut sicher sind.

Somit als Konklusion: Backup, Backup und nochmal Backup. Ich werde auf jeden Fall die Zeitfenster für einen Shadowcopylauf auf das technisch mögliche Minimum konfigurieren.

Link zu diesem Kommentar
Auf anderen Seiten teilen

zu NoScript: der benötigte Pflegeaufwand für die Whitelist würde den Nutzen komplett vernichten

zu Dateianhängen: die kann man einschränken, aber: wo fängt man an und wo hört man auf?

zu klickfreudigen Anwendern: minimalste Rechte und gelegentliche Sensibilisierung.

Mit all diesen Maßnahmen kann man jedoch das Risiko nur etwas reduzieren, nie ausschließen. Daher wie Chief schon schreibt: Backup. Backup. Backup.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Stimme den meisten hier zu:

Klar das nicht jeder Zugriff auf alle Netzlaufwerke hat und keiner der Benuutzer hat Admin-Rechte.

Java, Flash usw aktuell halten (Ja, es gibt Leute die brauchen das leider noch).

Windows Updates, konfigurierte Firewall, aktueller Virenschutz.

Backup das einmal am Tag angehängt wird, aber sonst eben nicht im Netzwerk hängt (wäre ja Schwachsinn wenn das auch verschlüsselt wird).

Wir haben Office 365, dementsprechend hängt der Exchange bei Microsoft. Wir haben ein Sicherheitsfeature gebucht das es uns erlaubt Endungen zu blockieren, soweit ich weiß sind das alle Office-Dateien die ein Macro haben (.docm .xlsm usw), Batch-Dateien, .reg-Dateien, .exe-Dateien und sicher noch ein paar weitere. Wenn eine Mail blockiert wird bekommt der Absender die Nachricht den Inhalt oder Anhang anzupassen oder uns zu kontaktieren.

Bei diesen Dateiendungen würde ich mal anfangen und über News aktuell halten was gerade "im Trend" ist und das dann blockieren.

Bisher sind wir damit sehr gut gelaufen und laut Statistiken der ausgefilterten Mails hat es sich auch gelohnt.

Auch "allesweg" hat recht, aus dem Malware-Bereich kann ich sagen das es nie einen 100%igen Schutz gibt.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Bestimmte Anhangformate zu blockieren halte ich für zwar effektiv - im Alltag jedoch für ziemlich nervig und störend.
Zur Not wird es dann halt gepackt angehängt, oder die Endung umbenannt und fertig. Sicherer ist es dadurch auch nicht.
Keine Ahnung, ob Makros noch ausgeführt werden können, wenn man eine .xlsm-Datei in .xls umbenennt (da beides mit Excel geöffnet wird und Office das Format vermutlich erkennt, ist es durchaus möglich - auch, da alte Excel-Dateien mit Makros als .xls-Dateien abgespeichert wurden), aber da würde ich doch eher im Office schauen, dass Makros nur aus sicheren Quellen vertraut wird, oder sie generell manuell bestätigt werden müssen. Das ist in meinen Augen definitiv praktikabler, als bestimmte Dateiendungen als Anhang zu verbieten.
Nicht jeder achtet darauf, ob eine Rückmeldung kommt (Mail Delivery?) oder kann diese auch wirklich zuordnen. Als ITler sollte man das zwar können, aber normale User haben damit dann doch diverse Probleme.

Dazu dann halt noch ein sinnvolles Filtern der Mails und Virenscanner mit heuristischer Suche, der auf dem aktuellen Stand ist.

Am besten hilft natürlich immer noch Brain 1.0.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 11 Monate später...

Generell gibt es noch die Möglichkeit eine E-Mail Appliance mit Sandbox zwischen die normale E-Mail Kommunikation zu hängen. Diese führt alle Dateianhänge einmal in einer VM aus und überprüft diese dahingehend auf Aktivität. Ist natürlich auch keine 100%ige Sicherheit kann aber im Gegensatz zum 0815 Virenschutz auch Viren mit unbekannten Signaturen abfangen vorausgesetzt natürlich es ist keine Logik enthalten um die Sandbox auszutricksen.

 

EDIT: Sorry eben erst gesehen, dass der Thread ein Jahr alt ist.

Bearbeitet von OkiDoki
Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...