In diesem Webinar erfahren Sie, was Ransomware ist, und lernen gängige Wege zu Ihrem Schutz kennen; Beispiele aus Fallstudien echter Infektionen und ihrer Behebung (und dem Scheitern!); die Rolle von Backups beim Schutz vor Angriffen. Gleich, ob Sie das erste Mal von Ransomware hören oder ein erfahrener Veteran sind, das hier sind wirklich wichtige Grundlagen.
Ich habe den Foliensatz hochgeladen, und Sie können ihn HIER herunterladen.
Das hängt von der Variante der jeweiligen Ransomware ab, aber gehen Sie allgemein davon aus, dass alles verschlüsselt werden kann, worauf der betroffene Benutzer Zugriff hat. In den meisten Fällen wird es sich dabei um die Dateien auf dem lokalen Computer und den für den Benutzer verbundenen Netzlaufwerken handeln, aber einige Varianten sind intelligent genug, UNC-Pfaden zu folgen und nach nicht verbundenen (aber zugreifbaren) Netzwerkfreigaben zu suchen.
Der beste Weg führt über PowerShell und Ihr RMM-Hilfsprogramm. Die meisten RMM-Hilfsprogramme, wie etwa LabTech oder Kaseya, sind imstande, Skripts per Push an überwachte Endpunkte zu übertragen. Das Koppeln eines geeigneten PowerShell-Skripts mit Ihrem RMM-Hilfsprogramm in dieser Weise sollte zum Ziel führen.
Es gibt Varianten, die so funktionieren, aber die von Luke im Webinar vorgestellten Techniken sollten es Ihnen trotzdem ermöglichen, sie bei einem Ausführungsversuch abzufangen, obwohl sie eine Zeit lang ruhend waren. Sobald dies geschieht, sollten Sie dann in der Lage sein, den Speicherort der angreifenden Datei zu ermitteln und sie zu entfernen.
Die meisten AV-Websites veröffentlichen neu entdeckte Erweiterungen, sodass Sie Ihre Listen auf dem aktuellen Stand halten können. Luke wird im Lauf der nächsten Tage einen eigenen Anschlussbeitrag mit diesen Informationen und Links zu gültigen Quellen für diese Informationen veröffentlichen.
Es würde die Situation jedenfalls erschweren, keine Frage. Es ist keine zu 100 % wirksame Lösung, sie verhindert aber einen großen Teil der Infektionen. Die Kopplung dieser Option mit weiteren Vorsorgemaßnahmen zeigt die stärkste Wirkung.
Das hängt von der Variante der Infektion ab.
Ja und ja. Um Daten innerhalb einer Datenbank zu beeinträchtigen, braucht Ransomware lediglich die MDF-Datei (in Fall von MSSQL) zu verschlüsseln, damit sind alle darin enthaltenen Daten verschlüsselt. Das Gleiche gilt für Anwendungsdateien.
Mir sind viele Anlagen untergekommen, die den Anschein von MS Word-Dokumenten oder PDFs erwecken. Wenn Sie eine wirklich strenge Antivirusrichtlinie implementiert haben, die diese Dokumenttypen sperrt oder das Öffnen von Dokumenten insgesamt einschränkt, wären Sie auf der sicheren Seite, aber bei den meisten kleinen und mittleren Unternehmen sind keine solchen Richtlinien implementiert. Außerdem enthalten E-Mails dann einfach einen Link, was ebenfalls problematisch ist.
Die erste Verteidigungslinie besteht immer in der Schulung der Benutzer und dann im Einsatz von Web- und Spamfiltern. Diese Maßnahmen helfen, das Risiko zu verringern. Wenn Ihre einzige Backup-Methode im Einsatz von Windows-Sicherung und Schattenkopien besteht, ist schon recht deutlich, dass sie gegenüber Ausspähung und Löschung von Backups anfällig ist, wenn Sie für die Backups jedoch eine Drittanbieteranwendung einsetzen, ist dies deutlich schwieriger. Wenn der Angreifer aber darüber hinaus in den Besitz der Administratorrechte gelangt, die für das Ausspähen von Drittanbieter-Backups erforderlich sind, müssen Sie mit allem rechnen.
Das hängt von der Variante der fraglichen Ransomware ab.
Wenn die Ransomware mit einem Konto ausgeführt wird, das Zugriff auf den betreffenden Speicherort hat, verfügt sie höchstwahrscheinlich über diese Fähigkeit.
Ich bin mir nicht sicher, ob es die größte ist, aber es ist vielleicht die in ihrer Ausführung ungewöhnlichste. Seit dem Aufkommen von staatlich unterstützter Schadsoftware, die die Fähigkeit besitzt, an kritischer Infrastruktur von Ländern physische Schäden zu verursachen, würde ich diese Bedrohung größer als die durch Ransomware einstufen.
FSRM wäre in dem Fall keine Hilfe. Sie müssten Softwareeinschränkungen verwenden, wie im Webinar erörtert, und es ist fraglos hilfreich, für die tägliche Arbeit ein Konto zu verwenden, das KEINE lokalen Administratorrechte besitzt.
Der Einfluss auf die Leistung ist ziemlich gering und wahrscheinlich zu vernachlässigen.
Das Problem bei dieser Art Technologie besteht darin, dass sie normalerweise einen Synchronisierungsvorgang auf dem lokalen Computer umfasst. Wenn die lokalen Dateien verschlüsselt sind, werden sie zurück auf den Cloud-Speicherort synchronisiert, da das Applet eine "neue Version" der betroffenen Datei erkannt hat.
Soweit mir bekannt ist, gibt es zurzeit kein Gegenstück zu FSRM unter Linux.
Bitte beachten Sie unsere Produktseite HIER und unsere häufig gestellten Fragen (FAQ) HIER.
Thomas Maurer arbeitet als Cloud-Architekt bei itnetX, einem Consulting- und Engineering-Unternehmen in der Schweiz. Thomas Schwerpunkt sind Microsoft-Technologien, insbesondere die auf Microsoft Cloud-Lösungen basierenden Microsoft Azure, System Center, Office 365, Microsoft Virtualization und Microsoft Datacenter Solutions.
Andy ist ein IT-Experte mit mehr als 15 Jahren Berufserfahrung und den Spezialgebieten Virtualisierung, Massenspeicher, Cloud und Infrastruktur. Tagsüber ist er Technical Evangelist für Altaro und verantwortlich für technische Inhalte und Pre-Sales. Bei Nacht gibt er sein IT-Wissen online oder bei einem kühlen Glas Bier weiter. Er ist Inhaber des Microsoft MVP Awards in Cloud- und Rechenzentrumsverwaltung und eine der wenigen Personen, die außerdem VMware-vExperten sind.