Vorgehen von Trojaner Petya
 

Hallo,

wie geht z.B. der Petya Trojaner beim verschlüsseln vor? Ich habe einen Linux Server auf dem der Samba Dienst läuft.
Meine Client Rechner sind alle auf Linux.

Dennoch kann es vorkommen das ich mal einen Windows Rechner im Netzwerk habe.
Klar ich kann diesen Abschotten keine Freigabe geben usw. Aber das Spielt jetzt keine Rolle.

Gehen wir mal davon aus das der Windows Rechner eine Freigabe auf das Samba Laufwerk hat und er sich mit z.B. Petya infiziert hat.

Wie geht Petya vor... Fängt er oben in der Verzeichnisstruktur an? Nimmt sich die erste Datei z.B. aaaaaa.doc sind auch versteckte Dateien betroffen?

Ich frage das weil ich habe eine Idee wie man den Schaden gering halten könnte. Mit Linux ist es möglich das Dateisystem zu überwachen ob z.B. eine bestimmte Datei verändert, verschoben usw. wird.

Man könnte dann eine Datei .aaaaa,doc anlegen und diese überwachen. Sollte diese Datei verändert werden wird der Samba Dienst sofort gestoppt und das betroffene Laufwerk per unmount ausgehängt.

Damit hätte der verseuchte Rechner keine Chance mehr die anderen Datei zu verschlüsseln.
Das würde aber nur Sinn ergeben oder besser gesagt funktionieren wenn der Trojaner chronologisch vorgeht.

Lies mal --> http://www.trojaner-board.de/186075-...enfassung.html


Das ist eigentlich irrelevant...denn wichtig zu wissen ist eigentlich nur, dass Kryptotrojaner auch auf SMB-Freigaben losgehen. Wenn ein Windows-Opfer Schreibrechte auf deine sambashares hat, kann es natürlich alle Dateien in diesem share verschlüsseln (bei notpetya ist es eher einer Vernichtung!)

Bis der nächste verschlüsselungstrojaner sich irgendwie anders verhält und die Überwachung nicht mehr greift.

Warum machst du nicht einfach regelmäßig Backups deiner wichtigen Daten? Das musst du doch eh schoin tun für den Fall das Festplatten ausfallen oder man sonst irgendwie versehentlich was löscht.


Es ist im Moment kein wirkliches Kraut gegen diese Krypto-Trojaner gewachsen. Es gibt nur Maßnahmen, um das ganze ein wenig zu erschweren. Microsoft arbeitet zB an einem ransomware Schutz. Der ist anscheinend noch in einer beta Phase und dementsrepchend unzuverlässig. Du kannst auch sowas wie Emsisoft auf allen Windows-Kisten installieren, kostet aber Geld und etwas Zeit bzw Administrationsaufwand. Emsi bietet aber für Windows guten Schutz gegen Krypto-Trojaner mit seinem Verhaltensscanner.

Es wird auch empfohlen, dass uralte SMB1 abzustellen. Wie das geht hab ich da in dem verlinkten Thema gepostet.

EInen Windows-Fileserver hast du nicht oder? Mit dem könnte man den Schaden begrenzen, indem man Schattenkopien aktiviert. Und natürlich zusätzlich regelmäßig Backups macht.

Wieviel Aufwand und Hirnschmalz du da reinstecken willst und musst ist natürlichauch abhängig davon wie wichtig diese ganze Umgebung ist.

Aber alle greifen auf die Dateien zu und verändern Sie... Also würde die Überwachung immer greifen.


Ich habe Backups.

Täglich, Wöchentlich und Monatlich automatisch laufen und getrennt voneinander.
Die Clients haben keine Chance an die Backup Daten zu kommen.

Habe ich bereits abgeschalten

Windows-Fileserver - NIE UND NIMMER IN MEINEM HAUS.
Ich habe den Linux Server und dort mache ich Backups per rsnapshot damit lege ich auf verschiedene Versionen der veränderten Dateien an.

Ich habe die Überwachung mal aktiviert und getestet. Sobald die Datei .aaaaaaa.doc auch nur berührt wird der Samba Dienst sofort gestoppt.

Mit Linux ist das ja kein besonderer Aufwand und zusätzliche Software braucht man auch nicht kaufen.

Naja dann kannst du eigentlich nicht mehr viel verbessern. Vllt noch eins: Windows-Kisten dürfen nur in ein Gastnetz, wer auf die Files zugreifen will muss Linux verwenden :blabla:

Mit der Überwachung meinte ich: die überwachst jetzt auf ein bestimmtes Muster. Was machst du wenn neue Krypto-Trojaner sich anders verhalten und andere Dateinamen verwenden?

Naja dann kannst du eigentlich nicht mehr viel verbessern. Vllt noch eins: Windows-Kisten dürfen nur in ein Gastnetz, wer auf die Files zugreifen will muss Linux verwenden :blabla:

Mit der Überwachung meinte ich: die überwachst jetzt auf ein bestimmtes Muster. Was machst du wenn neue Krypto-Trojaner sich anders verhalten und andere Dateinamen verwenden?

Das hast du falsch verstanden. Ich überwache nicht auf eine bestimmtes Muster.
Ich prüfe ob eine "Köder-Datei" die ich selber NIE anfassen muss und werde verändert wird.
Die Veränderung kann sein umbenennen, überschreiben, verschieben was auch immer sein.

Dann stoppt der Samba Dienst.

Genau das meine ich doch. Woher willst du wissen, dass dein ausgedachter Köder als erstes vom ransom "gefressen" wird? Das vllt von einer bestimmten Variante aber bei späteren ransoms werden erst andere Dateien angegangen...

Dein "Muster" heißt ja sinngemäß "wenn aaaaa.doc verändert wird, dann mach ein systemctl stop smbd" und wie gesagt, ich bin der Meinung, dass dieses Muster irgendwann nicht mehr wirksam sein wird.

Du müsstest deine Bedingung dafür, dass smbd beendet werden soll ständig anpassen.

Petya und Goldeneye Schlüssel veröffentlicht..

wird wohl nicht mehr lange Dauern bis die ersten Tools zum Entschlüsseln da sind

Ist ja schön. Für Firmen ist das aber keine Option zu hoffen, dass es irgendwann Masterschlüssel gibt. Selbst wenn sicher ist, dass die irgendwann die Master-Keys veröffentlichen, keine Firma kann lang auf ihre Daten verzichten :kaffee:

Petya hat ja nicht nur Firmen betroffen und die meisten größeren Firmen machen ja auch regelmäßig tägliche Backups. Gekniffen ist oft der kleine oder mittlere Betrieb der am falschen Ende gespart hat bzw. die IT-Sicherheit nicht ernst genug nimmt.:blabla:

Jeder ohne vernünftiges Backupkonzept war gekniffen. Das hatte große Firmen oder Krankenhäuser nicht ausgeschlossen. :pfeiff:

Am besten die Politiker machen jetzt ein Gesetz, das Verschlüsselung und Löschungen unter Strafe stellt, Todesstrafe durch Vierteilung, dann ist das Thema durch :lach:

Kann man nicht, analog zur Vorratsdatenspeicherung, ein Zwangsbackup durch den Bundestrojaner beim jeweiligen ISP durchsetzen? Wäre doch 'ne Win-Win Situation. :taenzer:

Dann müssten aber auch Firewalls verboten und globale Dateifreigaben auf das gesamte Dateisystem eines jedes Rechners zur Pflicht werden :D

Deshalb habe ich auch geschrieben "die meisten".

Na ja oder man macht es endlich VERBINDLICH für die freie Wirtschaft und nicht immer freiwillig, dass sie ihre Systeme und die der Kunden schützen müssen. Mit hohen Strafen bei Nichteinhaltung und klarer Regelung der Haftungsfrage. Sowas kommt aber NIE mit der Union oder FDP.:schrei:

Die Unternehmen investieren erst dann in Sicherheit, wenn man ihnen die Pistole auf die Brust setzt. Wenn sie nach dem GAU pleite sind, dann können sie ja nicht mehr investieren.:stirn: