Windows + Sicherungen Cryptotronjaner sicher machen
Verfasst: 29.07.2018, 06:47
Hi,
ich bin gerade auf der Suche nach einem Konzept wie man einen Rechner der 24/7 erreichbar ist, eingebunden Netzlaufwerke hat und mit weiteren Rechnern verbunden ist, gegen Cryptotrojaner(CT) sichern kann. Der Hintergrund ist, dass der Hauptrechner eines bekannten letztens von so einem CT erwischt wurde es ich feststellen musste, dass der soagar das angebunden Nextcloud Konto vom Rechner fleißig verschlüsselt hat. Ärgerlich war nicht dass es passiert ist, sondern das es solche unvorhersehbaren Auswirkungen hatte. Glück im Unglück, die MS-SQL Datenbank hat es nicht erwischt (Das Herzstück).
Damit er das nächste Mal eine Disaster-Recovery haben kann wollte ich euch mal Fragen, welche Tipps ihr da so hättet.
Nun weiß ich nicht, ob der CT durch einen der offenen Ports, welche für die externe Kommunikation benötigt werden oder einfach ein schwacher Moment im OS der Grund war. Was ich weiß, dass sowas nie wieder passieren soll. Daher habe ich wo es ging nachgebessert und PW's Ports wo es nur geht geändert und die Fritzbox die Nachschaltung aktiviert, da man zwischen 23:00 & 7:00 eh nicht vor Ort ist.
Ob es ein Download von mysteriösen Datein war, kann ich aktuell leider nicht sagen, da ich noch nicht die komplette Geschichte dahinter kenne.
Was ich bisher gelesen habe ist, dass ein CT kein FTP oder SFTP Protokoll kann. Dies würde ich dann wahrscheinlich mal testen, so dass die Tagessicherungen auf ein NAS gehen, welches nicht nativ als Netzlaufwerk eingebunden ist, über SSH oder SFTP gesichert wird.
Wie das Teil draufgekommen ist, weiß ich leider auch nicht, ich habe nur gesehen dass es in der Nacht um 2 Uhr passiert sein muss, da waren zu mindestens die letzten Timestamps der verschlüsselten Dateien (.bid) zu finden.
Für die betroffenen Platten werde ich nun mal auf einen Decrypter warten und dann schauen, dass ich noch den Rest der Daten sichten und ggf. falls nötig sichern oder wiederherstellen kann. Hier denke ich aber eher, dass es vergebe Müh ist.
Habt ihr noch Tipps? Muss man wirklich zu einer dicker Antiviren-Suite greifen? Das System lief ohne Ausfall seit knapp 8 Jahren. Meistens mit den Boardmitteln des OS und etwas Aufmerksamkeit.
Hoffe ich mal das es sein erster und letzter CT war.
VG Psico
ich bin gerade auf der Suche nach einem Konzept wie man einen Rechner der 24/7 erreichbar ist, eingebunden Netzlaufwerke hat und mit weiteren Rechnern verbunden ist, gegen Cryptotrojaner(CT) sichern kann. Der Hintergrund ist, dass der Hauptrechner eines bekannten letztens von so einem CT erwischt wurde es ich feststellen musste, dass der soagar das angebunden Nextcloud Konto vom Rechner fleißig verschlüsselt hat. Ärgerlich war nicht dass es passiert ist, sondern das es solche unvorhersehbaren Auswirkungen hatte. Glück im Unglück, die MS-SQL Datenbank hat es nicht erwischt (Das Herzstück).
Damit er das nächste Mal eine Disaster-Recovery haben kann wollte ich euch mal Fragen, welche Tipps ihr da so hättet.
Nun weiß ich nicht, ob der CT durch einen der offenen Ports, welche für die externe Kommunikation benötigt werden oder einfach ein schwacher Moment im OS der Grund war. Was ich weiß, dass sowas nie wieder passieren soll. Daher habe ich wo es ging nachgebessert und PW's Ports wo es nur geht geändert und die Fritzbox die Nachschaltung aktiviert, da man zwischen 23:00 & 7:00 eh nicht vor Ort ist.
Ob es ein Download von mysteriösen Datein war, kann ich aktuell leider nicht sagen, da ich noch nicht die komplette Geschichte dahinter kenne.
Was ich bisher gelesen habe ist, dass ein CT kein FTP oder SFTP Protokoll kann. Dies würde ich dann wahrscheinlich mal testen, so dass die Tagessicherungen auf ein NAS gehen, welches nicht nativ als Netzlaufwerk eingebunden ist, über SSH oder SFTP gesichert wird.
Wie das Teil draufgekommen ist, weiß ich leider auch nicht, ich habe nur gesehen dass es in der Nacht um 2 Uhr passiert sein muss, da waren zu mindestens die letzten Timestamps der verschlüsselten Dateien (.bid) zu finden.
Für die betroffenen Platten werde ich nun mal auf einen Decrypter warten und dann schauen, dass ich noch den Rest der Daten sichten und ggf. falls nötig sichern oder wiederherstellen kann. Hier denke ich aber eher, dass es vergebe Müh ist.
Habt ihr noch Tipps? Muss man wirklich zu einer dicker Antiviren-Suite greifen? Das System lief ohne Ausfall seit knapp 8 Jahren. Meistens mit den Boardmitteln des OS und etwas Aufmerksamkeit.
Hoffe ich mal das es sein erster und letzter CT war.
VG Psico