CryptoProtect / TeslaCrypt / Locky / Ransomware-Schutz
Der Tesla-Trojaner ist ein Weckruf, dass Daten gesichert werden müssen. Der Schadcode hat es aber nicht auf blinde "Zerstörung" abgesehen sondern auf Erpressung, indem die Daten einfach verschlüsselt werden. Mein Skript CryptoProtect verringert das Risiko, indem ein Administrator auf dem Dateiserver damit alle länger nicht geänderte Dateien mit Rechten versieht, dass Mitglieder einer Gruppe (Idealerweise alle gefährdeten Anwender) die Dateien nur lesen können.
Diese Lösung sollte mit jedem Dateiserver funktionieren, bei dem NTFS-Berechtigungen auf Dateien vergeben werden können. Es sollte sogar mit dem lokalen PC funktionieren, hilft hier aber nichts, wenn der Schadcode administrative Rechte erhalten hat.
Kurzvorstellung per Powerpoint-Video
Kurze Beschreibung der Funktionsweise.
Mehr Details zu Crypto Protect
Weitere Links
- Crypto Trojaner
-
Applocker
Bestimmte Windows-Versionen erlauben die Konfiguration von "Allowlists" für zugelassene Programme, DLLs und Skripte - Bewerbungs-Spam
- Microsoft Defender for Identity |
Microsoft 365
https://www.microsoft.com/en-us/microsoft-365/security/identity-defender - Microsoft Defender for Identity Security
Alert lab tutorial overview | Microsoft Docs
https://docs.microsoft.com/en-us/defender-for-identity/playbook-lab-overview - Detect suspicious activities and
potential attacks with Microsoft Defender
for Identity (cloudguides.com)
https://mslearn.cloudguides.com/guides/Detect%20suspicious%20activities%20and%20potential%20attacks%20with%20Microsoft%20Defender%20for%20Identity - Malware and ransomware protection in
Microsoft 365 - Microsoft Service Assurance
| Microsoft Docs
https://docs.microsoft.com/en-us/compliance/assurance/assurance-malware-and-ransomware-protection - Handling ransomware in Sharepoint Online
- SharePoint | Microsoft Docs
https://docs.microsoft.com/en-us/sharepoint/troubleshoot/security/handling-ransomware-in-sharepoint-online - Windows 10 platform resilience against the
Petya ransomware attack
https://blogs.technet.microsoft.com/mmpc/2017/06/29/windows-10-platform-resilience-against-the-petya-ransomware-attack/ - WannaCrypt ransomware worm targets out-of-date systems
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/ - New ransomware, old techniques: Petya adds worm
capabilities
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/ - EMSISOFT: Free Ransomware Decryption
Tools
https://www.emsisoft.com/ransomware-decryption-tools/ - Erpressungs-Trojaner wie Locky
aussperren - Samba-Server mit fail2ban
zusätzlich sichern
http://www.heise.de/security/artikel/Erpressungs-Trojaner-wie-Locky-aussperren-3120956.html - Locky Verschlüsselungstrojaner – mit
NoSpamProxy kein Thema
https://www.nospamproxy.de/de/locky-verschluesselungstrojaner-mit-nospamproxy-kein-thema/ - CryptoPrevent
https://www.foolishit.com/cryptoprevent-malware-prevention/ - Infizierte Joomla-Server verteilen Erpressungs-Trojaner
TeslaCrypt
http://www.heise.de/newsticker/meldung/Infizierte-Joomla-Server-verteilen-Erpressungs-Trojaner-TeslaCrypt-3114184.html - Krypto-Trojaner Locky: Was tun gegen den Windows-Schädling
http://www.heise.de/newsticker/meldung/Krypto-Trojaner-Locky-Was-tun-gegen-den-Windows-Schaedling-3112408.html - Krypto-Trojaner Locky wütet in Deutschland: Über 5000
Infektionen pro Stunde
http://www.heise.de/newsticker/meldung/Krypto-Trojaner-Locky-wuetet-in-Deutschland-Ueber-5000-Infektionen-pro-Stunde-3111774.html - Erpressungs-Trojaner verschlüsselt mit PGP
http://www.heise.de/newsticker/meldung/Erpressungs-Trojaner-verschluesselt-mit-PGP-3116677.html - NoSpamProxy Blog über Trojanerwelle mit
DOC bzw. XLS Anhang
https://www.nospamproxy.de/de/trojanerwelle-mit-doc-bzw-xls-anhang/ - NoSpamProxy Blog zum gezielten Sperren
von Anhängen
https://www.nospamproxy.de/de/gezieltes-sperren-von-anhaengen/ - Kaspersky Lab kennt derzeit über 60
Modifikationen der Ransomware Locky
http://newsroom.kaspersky.eu/de/texte/detail/article/locky