Verschlüsselungsviren / Mailanhänge

[beernut]

Hallo Zusammen,

seit längerer Zeit ist ja vermehrt Verschlüsselungsmalware im Umlauf, die z.B. in an Mails angehängte Officedateien vorhanden ist. Wollte mich hier mal umhören was Eure Meinung zum dem Thema ist, bzw. wie ihr damit z.B. im Unternehmen damit umgeht. Wie kann man damit Umgehen ohne gleich alle Dateinendungen zu blockieren bzw. vom Mailfilter löschen zu lassen...

Würde mcih über Feedback freuen...

[QtGUI]

Also im Normalfall verschlüsseln die Dinger nur Daten worauf der Benutzer der den Virus ausgeführt hat auch direkten Schreibzugriff hat (Netzlaufwerke inbegriffen).

Von daher reicht es eigentlich, wenn der Admin den Benutzern nur wirklich nötige Schreibrechte verpasst und regelmäßig Backups gefahren werden.

Sensible Daten sollten im Normalfall ohnehin durch ein seperates Netz von den Clients mit Internet getrennt werden, dann kann der Virus auch mit diversen Exploits keinen großen Schaden anrichten.

Die betroffenen Clients würde ich einfach vom Netz trennen,platt machen, und das letzte Backup (vor Befall) einspielen.

Damit sollte das Thema im Normalfall gegessen sein.

 

[beernut]

Also was ich nun bisher gelesen hatte, werden bei eine infektion mit dem entsprechender Ransomware auch nicht gemappte Netzlaufwerke verschlüsselt, bzw. deren Daten.

Gibt es noch andere Meinungen, auch im hinblick auf die aktuellen Entwicklungen? Z.B. No-script auf allen Client PC´s

http://www.heise.de/security/meldung/Neue-Masche-Krypto-Trojaner-Locky-ueber-Javascript-Dateien-verbreitet-3113689.html

http://www.heise.de/security/meldung/Infizierte-Joomla-Server-verteilen-Erpressungs-Trojaner-TeslaCrypt-3114184.html

 

[Thanks-and-Goodbye]

vor 5 Minuten schrieb beernut:

Gibt es noch andere Meinungen

Was soll man dazu meinen? Wir als IT-ler stehen zwischen dem Bestreben, den Usern ein vernünftig funktionierendes System (und einen Browser, der mit No-Script verdengelt ist funktioniert nicht vernünftig) zur Verfügung zu stellen und unserem eigenen Interesse, die Daten der Anwender sicher und verfügbar zu halten.

Solange wir Anwender haben, die alles anklicken was bei Drei nicht auf dem Baum ist werden wir NIE sicher sein, dass die Daten, für die wir als IT-ler verantwortlich sind, absolut sicher sind.

Somit als Konklusion: Backup, Backup und nochmal Backup. Ich werde auf jeden Fall die Zeitfenster für einen Shadowcopylauf auf das technisch mögliche Minimum konfigurieren.

[allesweg]

zu NoScript: der benötigte Pflegeaufwand für die Whitelist würde den Nutzen komplett vernichten

zu Dateianhängen: die kann man einschränken, aber: wo fängt man an und wo hört man auf?

zu klickfreudigen Anwendern: minimalste Rechte und gelegentliche Sensibilisierung.

Mit all diesen Maßnahmen kann man jedoch das Risiko nur etwas reduzieren, nie ausschließen. Daher wie Chief schon schreibt: Backup. Backup. Backup.

[Tician]

Stimme den meisten hier zu:

Klar das nicht jeder Zugriff auf alle Netzlaufwerke hat und keiner der Benuutzer hat Admin-Rechte.

Java, Flash usw aktuell halten (Ja, es gibt Leute die brauchen das leider noch).

Windows Updates, konfigurierte Firewall, aktueller Virenschutz.

Backup das einmal am Tag angehängt wird, aber sonst eben nicht im Netzwerk hängt (wäre ja Schwachsinn wenn das auch verschlüsselt wird).

Wir haben Office 365, dementsprechend hängt der Exchange bei Microsoft. Wir haben ein Sicherheitsfeature gebucht das es uns erlaubt Endungen zu blockieren, soweit ich weiß sind das alle Office-Dateien die ein Macro haben (.docm .xlsm usw), Batch-Dateien, .reg-Dateien, .exe-Dateien und sicher noch ein paar weitere. Wenn eine Mail blockiert wird bekommt der Absender die Nachricht den Inhalt oder Anhang anzupassen oder uns zu kontaktieren.

Bei diesen Dateiendungen würde ich mal anfangen und über News aktuell halten was gerade "im Trend" ist und das dann blockieren.

Bisher sind wir damit sehr gut gelaufen und laut Statistiken der ausgefilterten Mails hat es sich auch gelohnt.

Auch "allesweg" hat recht, aus dem Malware-Bereich kann ich sagen das es nie einen 100%igen Schutz gibt.

[Crash2001]

Bestimmte Anhangformate zu blockieren halte ich für zwar effektiv - im Alltag jedoch für ziemlich nervig und störend.
Zur Not wird es dann halt gepackt angehängt, oder die Endung umbenannt und fertig. Sicherer ist es dadurch auch nicht.
Keine Ahnung, ob Makros noch ausgeführt werden können, wenn man eine .xlsm-Datei in .xls umbenennt (da beides mit Excel geöffnet wird und Office das Format vermutlich erkennt, ist es durchaus möglich - auch, da alte Excel-Dateien mit Makros als .xls-Dateien abgespeichert wurden), aber da würde ich doch eher im Office schauen, dass Makros nur aus sicheren Quellen vertraut wird, oder sie generell manuell bestätigt werden müssen. Das ist in meinen Augen definitiv praktikabler, als bestimmte Dateiendungen als Anhang zu verbieten.
Nicht jeder achtet darauf, ob eine Rückmeldung kommt (Mail Delivery?) oder kann diese auch wirklich zuordnen. Als ITler sollte man das zwar können, aber normale User haben damit dann doch diverse Probleme.

Dazu dann halt noch ein sinnvolles Filtern der Mails und Virenscanner mit heuristischer Suche, der auf dem aktuellen Stand ist.

Am besten hilft natürlich immer noch Brain 1.0.

[OkiDoki]

Generell gibt es noch die Möglichkeit eine E-Mail Appliance mit Sandbox zwischen die normale E-Mail Kommunikation zu hängen. Diese führt alle Dateianhänge einmal in einer VM aus und überprüft diese dahingehend auf Aktivität. Ist natürlich auch keine 100%ige Sicherheit kann aber im Gegensatz zum 0815 Virenschutz auch Viren mit unbekannten Signaturen abfangen vorausgesetzt natürlich es ist keine Logik enthalten um die Sandbox auszutricksen.

 

EDIT: Sorry eben erst gesehen, dass der Thread ein Jahr alt ist.

Bearbeitet 2. Februar 2017 von OkiDoki