Guten Morgen zusammen, ich bin Administrator in einem Unternehmen aus dem Mittelstand. wir hatten in der letzten Woche besuch von TeslaCrypt 4. Von einem Client aus wurde auf verschiedene Freigaben im Netzwerk zugegriffen und dort die Dateien verschlüsselt. Aktuell konnten wir alles aus Sicherungen wiederherstellen. Unser System steht zu 90% wieder zur Verfügung. Bis aber alles wieder grün ist, werden sicher noch Wochen vergehen. Kann mir bitte jemand einen Kontakt nennen, der mir meine Fragen hinsichtlich der Ransomware und dem Verhalten auf dem verseuchten Client erklären kann? Es geht mir nicht um einen kostenlosen support. Ich möchte mit jemanden sprechen, der Experte in diesem Bereich ist. vielen Dank im voraus Andre

Hallo Andre ,

stelle deine Fragen doch mal ganz allgemein hier ins Forum. Ich denke zu 98,137715% können diese hier schon beantwortet werden.

Hallo Explo,

danke für die Antwort. Gerne diskutiere ich das Tehma ausgiebig im Forum und stelle mich allen Fragen die sich daraus ergeben.
Allerdings bin ich mit dem Thema aktuell so ausgelastet, dass es mir schwerfällt Zeit in Diskussionen zu stecken.

Entschuldige, aber mir ist es jetzt wichtig schnelle und zielgerichtete Antworten zu dem Thema zu erhalten. DAher wäre mir ein direkter, persönlicher Kontakt mit jemanden wichtig, der konkrete Aussagen treffen kann.

Gruß
Andre

Konkret sind es aktuell folgende Fragen:

1. was genau passiert auf dem Client bei einer Infizierung? Dateien, Prozesse, Autostart
2. unser TrendMicro hat nicht angeschlagen, auch ein aktueller Bitdefender hat nicht reagiert. Der Tesla ist schon min 1 Woche in der Version bekannt. Gibt es keinen Scanner, der ihn an der Ausführung verhindert?
3. auf dem befallenen Client ist das Sicherheits-Eventlog zerschossen. Macht das der Tesla?
4. es sind Dateien in Verzeichnissena auf Servern verschlüsselt worden, auf die der gemeine User nur Leserechte hat (u.a. Netlogon, Sysvol auf den Domänen-Controllern). In den Event Logs der Server ist zu sehen, dass sich der infizierte Client und der Administrator der Domäne!!!!! anmeldet. Und diese Tatsache beunruigt mich am meisten, weil ich mir das nicht erklären kann.

Gruß
Andre

1.) wie wär's mal Infos aus entsprechenden News-Seiten wie zB heise.de zu entnehmen? => TeslaCrypt | heise online

2.) Dass Virenscanner neuere malware nicht sofort erkennen ist doch nun ein alter Hut, wirklich lange bekannt. Es kann auch bei manchen durchaus ne Woche dauern bis passende Signaturen für eine konkrete malware da ist.

In der heutigen Zeit kann man sich daher nicht mehr auf signaturbasierte Erkennung verlassen, das ist einfach zu wenig

3.) das nicht auszuschließen - aktuelle Kryptotrojaner löschen ja auch auch Schattenkopien und im Fall von petya wird sogar der MBR manipuliert; das geht natürlich nur mit (lokalen) Adminrechten

4.) dann habt ihr euer Netzwerk und eure Kisten definitiv nicht im Griff. NETLOGON und SYSVOL sind Freigaben, die nur ein Domänenadmin ändern kann, wer kein Domänenadmin ist darf da max. lesen. Aber nix reinschreiben oder Dateien ändern. Da habt ihr irgendwo bei der Benutzer-/Rechteverwaltung geschlampt. Es sei denn einer mit vollen Rechten war dumm genug, direkt auf dem Server hirnlos zu surfen oder zu mailen.

Hallo cosinus,

ich melde mich spät und habe auch lange überlegt, ob ich dir auf deinen Post zur "Hilfe" Antworten sollte.

Die Situation, in der ich mich an dieses Forum gewandt habe war nicht wirklich einfach.
Wir hatten den Befall und haben nach Antworten und nach Hilfe gesucht. Mit dem Rücken zur Wand und der Ungewissheit "was passiert
als nächstes". Das Thema war uns bekannt, wir waren auf Stand. Aber was ist wirklich zu tun, wenn es passiert? Was machst du und wie stellst du sicher,
dass keine weiteren "Schläfer" irgendwo lauern? Welche Tools helfen bei Infektion weiter?

Da bekommen wir von dir den Ratschlag Heise zur Hilfe zu nehmen, die Info, dass Virenscanner immer der Zeit hinterlaufen und das manche
manche Systemeinstellungen nur mit lokalen Adminrechten zu manipulieren sind.

Zum guten Schluss wirfst du uns noch vor, dass wir unsere "Kisten" nicht im Griff haben.

Deine Aussagen sind uns alle gut bekannt. Auch ist uns klar, dass irgendwas schräg ist, wenn mit erhöhten Rechten Sysvol etc
verändert werden.

Das brauchst du uns nicht zu erzählen und schon gar nicht vorzuwerfen.

Auch bei uns arbeiten Menschen - und auch die machen Fehler.

Uns ist es wichtig die schwachstellen und Fehler zu finden und abzustellen - anderen Vorwürfe wegen eines Fehlverhaltens zu machen,
ist für uns und für die letztliche Problemlösung Zeitverschwendung!

Die Anfrage im Forum war für uns ein Weg etwas Klarheit zu bekommen. Etwas detailliertere Antworten zu erhalten, als die allgemeinen
Artikel bei Heise. Vielleicht einen Kontakt zu einem Spezalisten, der uns weiterhelfen kann.

Persönlich finde ich deinen Beitrag wenig hilfreich - fast schon daneben.

Aber man gehört doch öfter zu den 1,862285 % als man denkt.

Nichts für ungut.

Andre

noch ein Wort zu dem Thema:

Danke - Danke an die Admins und die Helfer, die es in ca. 36 Stunden Dauereinsatz geschafft haben, den Betrieb aufrecht zu erhalten.

- Wir haben alle betroffenen Systeme aus Datensicherungen wiederherstellen können.

- Wir haben keine Zahlungen geleistet!


Aktuell arbeiten wir noch die Ereignisse auf - wir wollen Dokumentieren was genau passiert ist bzw. was für Maßnahmen ergriffen wurden.

Zitat:

Zitat von 999wizard

Aber was ist wirklich zu tun, wenn es passiert? Was machst du und wie stellst du sicher,
dass keine weiteren "Schläfer" irgendwo lauern? Welche Tools helfen bei Infektion weiter?

Das tauchte in deinen vier Fragen nun garnicht auf. Du kannst doch nicht herumjammern weil man dir eine nicht gestellte Frage nicht beantwortet.

Zitat:

Zitat von 999wizard

Was machst du und wie stellst du sicher,
dass keine weiteren "Schläfer" irgendwo lauern? Welche Tools helfen bei Infektion weiter?

Dazu musst du pro infizierten Rechner jew einen neuen Strang im entsprechenden Bereich für Analyse und Bereinigung aufmachen. Du hast aber hier im Bereich Überwachung/Datenschutz/Spam gepostet und dementsprechend wird hier darüber diskutiert.

Zitat:

Zitat von 999wizard

Da bekommen wir von dir den Ratschlag Heise zur Hilfe zu nehmen, die Info, dass Virenscanner immer der Zeit hinterlaufen und das manche
manche Systemeinstellungen nur mit lokalen Adminrechten zu manipulieren sind.

Aha - und ich soll woher vorher wissen, dass du sowas nicht hören willst? Woher soll ich wissen, dass du richtige Aussagen nicht hören möchtest und woher weiß ich, dass dir das nicht bewusst ist? Schließlich hast du ja die Aussage gemacht, dass dein Trendmicro nichts gefunden hätte. Und die Erfahrung zeigte bisher sehr oft, dass viele einfach nicht wissen, dass ein Virenscanner niemals alle Schädlinge erkennen kenn oder blenden diese Tatsache gern aus...

Zitat:

Zitat von 999wizard

Zum guten Schluss wirfst du uns noch vor, dass wir unsere "Kisten" nicht im Griff haben.

Dann erkär mir doch mal, wie ein infizierter Client den NETLOGON Share vom DC verändern konnte......nur ein Domänenadmin kann sowas! Oder hast du ne andere Begründung als eine gefährliche Fehlkonfig bei der Rechtevergabe?

Du solltest schleunigst prüfen wer alles zu hohe Rechte hat. Geh insbesondere durch, wer Mitglied in der Gruppe der Domänen-Admins ist...

Zitat:

Zitat von 999wizard

Auch bei uns arbeiten Menschen - und auch die machen Fehler.

Schon klar - als verantwortungsvoller Admin vergibt man aber NIEMALS NIEMALS NIEMALS Domänenadminrechte an user!

Zitat:

Zitat von 999wizard

anderen Vorwürfe wegen eines Fehlverhaltens zu machen, ist für uns und für die letztliche Problemlösung Zeitverschwendung!

Ihr müsst aber bei der Rechtvergabe irgendwo gepennt haben. Das soll weniger ein Vorwurf sein, sondern eine Warnung für die Zukunft und ein Hinweis was falsch gelaufen ist. Denn genau das wolltest du wissen! Aber wenn man es dir dann sagt ist es dir auch nicht recht

Zitat:

Zitat von 999wizard

Etwas detailliertere Antworten zu erhalten, als die allgemeinen Artikel bei Heise.
Persönlich finde ich deinen Beitrag wenig hilfreich - fast schon daneben.

Ich bin auf all deine Fragen eingegangen also hör auf zu jammern!
Zudem hab ich dir erklärt wie du in diese Situation gekommen bist und was du dringend verbessern musst. Verschlüsselte Dateien im Nachhinein durch ein Tool entschlüsseln zu können ist reine Glückssache, es kommt drauf an welcher ransom ausgeführt wurde. Aber ihr hattet ja Backups.

In der Tat. Du bist auf jede meiner Frage eingegangen - ohne jedoch Hilfestellung zu geben.

Wie wir in die Situation gekommen sind und was in Zukunft zu verbessern ist, wissen wir - wie gesagt, wir wollten Hilfe in einem akuten Fall - Belehrungen sind ok, wenn auch konkret bekannt ist, was schief gelaufen ist. Pauschale Aussagen helfen keinem.

"jammern", "herumjammern" etc. ---- willst du helfen oder die Leute blosstellen?

Und schon wieder der Vorwurf der fehlenden Hilfestellung. Ich hab dir Hinweise gegeben. Aber hinterher beschwerst du dich mehrfach, dass man dir eine nicht gestellte Frage nicht beantwortet.

WAS GENAU willst du jetzt? Systeme analysieren und bereinigen? Falls ja, dazu hab ich auch schon geschrieben, dass du das im richtigen Bereich tun musst und nicht in der Datenschutz/Überwachung/Spam Diskussionsecke.

Oder doch was anderes? Du weißt doch was passiert ist und was in Zukunft geändert werden muss.

Ich hab hier auch nicht vor, andere bloßzustellen, aber so ein Jammerposting kann ich einfach nicht leiden.

Geh doch mal in die Praxis:

Du stellst fest, dass eine Freigabe in deinem Neztwerk nur noch verschlüsselte Dateien enthält. In der Freigabe befinden sich 2 Dateien. Eine Textdatei und eine Bitmap.
Darin ist beschrieben wie du dich verhälst, wenn du das Geschriebene nicht verstehst (google translator) oder das weitere Vorgehen zum Entschlüsseln der Dateien..

Während du das liest wird dir klar, dass etwas nicht stimmt. Im Hintergrund durchsucht jemand dein Neztwerk nach Freigaben und verschlüsselt alles was es in die "Finger bekommt"
-- das geht rasend schnell - ca. 50.000 Dateien je Stunde (lt. eigener Erfahrung und Analyse) Natürlich abhängig von div. anderen Faktoren.

Also - was tust du? Was sind deine Schritte, was sind deine Tools die du einsetzen würdest?

sicherlich hast du in meinem ersten Posting gelesen, dass ich nach einem direktem Kontatk suche um meine Fragen loszuwerden.

Das war mein ursprüngliches Anliegen.

Ich wollte keine allgemeinen Fragen stellen, die allgemein beantwortet werden.

Wenn du also mein erstes Posting gelesen hättest, wüsstest du, dass ich nicht auf allgemeine Antworten im Forum aus war, sondern um Konkrete und direkte Antworten gefragt habe.

Mein zweites Posting und die Antwort auf Explos Post hat mein erstes Posting nicht entwertet.

Du kannst es nicht lassen, oder? - Jammerposting? - Hast du es nötig darauf rumzureiten?

Das ist doch recht einfach. Zusätzlich auch mal ne Zusammenfassung wie wir uns organisiert haben.

- ich kann sehen wer die Datei erstellt/geändert hat (Besitzer der Datei) => entsprechender User wird verhört

- falls das nicht hilft schau ich auf dem fileserver nach, welcher User/Computer ne session aktiv auf dieser Freigabe bzw auf diesen verschlüsselten Dateien hat, damit kann ich auch recht gut identifizieren welcher User das ausgeführt hat und wenn ich den User weiß, weiß ich idR auch sofort von welchem Client aus

- idR meldet sich auch ein User sofort per Telefon weil dieser feststellt, dass seine Daten lokal auf seinem Rechner "spinnen" - schon hab ich die Info welcher Client einen ransom hat

- da wir min. immer einen Ersatzrechner parat haben falls etwas ausfällt, kann man den infizierten Rechner einfach schnell wegnehmen und den Ersatz-PC dafür hinstellen, der User kann quasi sofort weiterarbeiten

- den ifizierten Client kann ich dann in Ruhe einfach neu installieren oder meinetwegen auch bereinigen

- nur die wenigstens User haben lokale Adminrechte - aber was auf den lokalen Kisten passiert ist aus Datensicht egal, denn sie haben nie Domänenadminrechte, max. können Dateien in Netzlaufwerken oder auch in nicht gemappte Shares verschlüsselt werden wenn der User dort Schreibrechte hat - da aber Schattenkopien aktiv sind, verliert man max. ein paar Stunden (default: jeden Tag um 7 Uhr morgens und 12 Uhr mittags springt der Schattenkopie-Dienst an, man muss also schlimmstenfalls auf nur ein paar Stunden ältere Versionen zurück)

- es gibt die Arbeitsanweisung ALLES WICHTIGE nur auf den Netzlaufwerken abzulegen, denn aus organisatorischen Gründen wollen wir keine lokalen Rechner täglich sichern!!!

- mit das wichtigste: da die ransoms idR per mail kommen, blockieren wir die Zustellung von Mails mit gefährlichen Dateianhängen: alle Archivformate, alle Officeformate usw - im Prinzip ist nur noch noch PDF erlaubt - Mails die Anhänge mit anderen Formaten/Dateitypen haben werden blockiert und auf Anfrage freigeschaltet

Zitat:

Zitat von 999wizard

sicherlich hast du in meinem ersten Posting gelesen, dass ich nach einem direktem Kontatk suche um meine Fragen loszuwerden.

Das war mein ursprüngliches Anliegen.

Ich wollte keine allgemeinen Fragen stellen, die allgemein beantwortet werden.

Wenn du also mein erstes Posting gelesen hättest, wüsstest du, dass ich nicht auf allgemeine Antworten im Forum aus war, sondern um Konkrete und direkte Antworten gefragt habe.

Mein zweites Posting und die Antwort auf Explos Post hat mein erstes Posting nicht entwertet.

Du kannst es nicht lassen, oder? - Jammerposting? - Hast du es nötig darauf rumzureiten?

Ja und schon wieder jammerst du herum - dein erstes Posting war noch schwammiger als das Posting danach mit vier Fragen.

Also BITTE - wenn du Konkretes wissen willst und dann nix bekommst weil du selbst schwammige und unkonkrete Fragen gestellt hast, dann kannst du dich nun wirklich nicht beschweren.

Einen "direkten" Kontakt in einem Forum suchen? Per PN oder was? Und das in einem Forum, das den Sinn hat sich öffentlich über Postings auszutauchen? Ich glaub wenn dem so ist, hast du den Sinn und Zweck eines Forum nicht verstanden.

was ist denn schwammig an der Frage nach einem direktem Kontakt nach einem Spezialisten in dem Bereich der Ransomware?

Wenn es das falsche Forum ist - warum schreibt du es nicht einfach?

Ein " Hallo - du bist hier nicht richtig - versuch es mal (z.B.) hier...." wäre auch eine Antwort gewesen.

Du könntest dir viel Tastenanschläge sparen, wenn du auf "*jammern" vezichten würdest ;-)

Zitat:

Zitat von 999wizard

was ist denn schwammig an der Frage nach einem direktem Kontakt nach einem Spezialisten in dem Bereich der Ransomware?

Stattdessen hättest du einfach mal konkret deine Fragen schreiben können. Darüber hast du dich ja auch hinterher beschwert. Aber was soll man den Antworten? Auf NICHT gestellte Fragen?

Zitat:

Zitat von 999wizard

Wenn es das falsche Forum ist - warum schreibt du es nicht einfach?

Nochmal: du hast deine vier Fragen gestellt, und dich dann über fehlende Aussagen beschwert. Obwohl du diese Infos nicht erfragt hast. Du bist hier nicht in einem Hellseher Forum.

Dass du deine Systeme bereinigen lassen willst kam auch erst später. Aber du verlangst von mir vorher die Info zu posten, dass du hier evtl. falsch bist...

Zitat:

Zitat von 999wizard

Ein " Hallo - du bist hier nicht richtig - versuch es mal (z.B.) hier...." wäre auch eine Antwort gewesen.

Ja, siehe eben.

Zitat:

Zitat von 999wizard

Du könntest dir viel Tastenanschläge sparen, wenn du auf "*jammern" vezichten würdest ;-)

Ja, ich könnte in der Tat mir viel Ärger ersparen, wenn du weniger herumjammern tätest...
Wie gesagt, einfach mal direkt das Anliegen posten, aber du erwartest offensichtlich, dass ein Helfer deine Gedanken liest um zu wissen was genau du eigentlich willst...

Hallo cosinus,
ein oder zwei Beiträge haben sicher auch Mehrwert für andere - z.B. würde ich gerne deinen Beitrag zum Vorgehen ergänzen.....

Was hälst du davon, wenn wir unsere unterschiedlichen Auffassungen direkt miteinander klären anstatt es öffentlich auszutragen und die Beiträge zu verwässern?

Dein Probleme möchte ich gerne haben. Das TB ist ein Forum. In einem Forum postet man öffentlich, und nicht per PN. Wenn du eine andere Auffassung hast kannst du das auch direkt hier posten.

Rede einfach mal weniger um den Brei herum. Aber du tust es trotzdem ständig und beklagst dich dann warum du nicht die von dir erhofften Infos erhälst. Und das ist auch die Ursache dafür, dass dieser Thread zu den eher unschöneren gehört.

Zu meinem letzten Beitrag hast du dich übrigens noch garnicht geäußert. Du hast gefragt was ich tun würde wenn ich live sehe wie ein Verzeichnis ge-ransom-t wird. Und ich hab dir viele Infos dazu gepostet auf die nun keinerlei Reaktionen mehr von dir folgen.