Sammlung: .locky Abwehr für Windows Admins

Moin,

die Ransomware „Locky“, der Dateien im Userkontext verschlüsselt und dann für Summe X das Entschlüsselungsprogramm anbietet, wütet ja derzeit auf der Welt, aber vor allem in Deutschland.

Beruflich versuche ich dem ganzen möglichst viel entgegenzusetzen, denn der Aufwand wenn Locky zugeschlagen hat, ist erheblich höher.

Nun verfolge ich diverse Blogs, vor allem aber Frankysweb sticht heraus, da er viele Ideen für Windows Admins zusammenstellt.

Fangen wir mal vorne an, wichtig ist und das setze ich nun voraus: Updates sind alle überall installiert und Virenscanner sind an den richtigen Stellen eingesetzt und aktuell. Das bedeutet, Viren/Spamfilter am Internetzugang (Proxy) und beim eingehenden Mailverkehr. (Hier hat sich nach meinen Erfahrungen übrigens bewiesen, dass Locky beim Test auf virustotal.com zuerst von Gdata und Microsoft Virenscannern erkannt wurde).

Ihr setzt einen Windows Fileserver oder eine Netapp ein?

Anleitung wie Ihr Dateiendungen sperrt: https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen/

Update mit Powershellscript, welches direkt die Useraccounts die eine der Dateiendungen erstellen wollen, aussperrt: https://www.frankysweb.de/windows-fileserver-vor-ransomware-schuetzen-update/

Auch bei Netapp kann man Dateiendungen sperren: http://www.tobbis-blog.de/netapp-ontap-fileserver-gegen-ransomware-abschotten/

 

So, nun kann das Ding erstmal nichts mehr auf euren Fileshares erstellen, ist aber eventuell noch auf einem Client zugange. Setzt Ihr einen Windows DNS ein? Super, Kochrezept wie Ihr DNS Anfragen via Powershell auswertet und euch Benachrichtigen lasst:

https://www.frankysweb.de/locky-verseuchte-clients-identifizieren/

Hier sei als Tipp gesagt, je nach Größe eures Unternehmens müsst Ihr die Log Größe anpassen, wenn Ihr das Script z.B. Stündlich laufen lasst.

Nun versuchen wir natürlich, das die Clients (auf Schicht 8) das ganze gar nicht erst ausführen, hierzu hat Chefkoch Frank auch ein Rezept erstellt:

https://www.frankysweb.de/clients-vor-infektion-mit-ransomware-schuetzen-locky-cryptolocker/

 

Bei all diesen Sachen sei gesagt: Achtet auf die News, denn die Varianten ändern sich wöchentlich. Mittlerweile kommt Locky wohl auch via JavaScript bzw. verseuchten Joomla Webseiten rein. Hierzu könntet Ihr auf eurem Proxy mit einer Blacklist arbeiten.

Ich versuche derzeit, eine Quelle zu finden, wo Zeitnah aktuelle Zugriffsurls von Locky gepostet werden. Sobald ich sowas gefunden habe, ergänze ich das hier.

[Update 26.02.2016]

Locky wurde nun auseinander genommen und man hat die URLS der C&C Server ermittelt, die im Februar angesprochen werden. Mehr dazu unter:

https://blogs.forcepoint.com/security-labs/locky-ransomware-encrypts-documents-databases-code-bitcoin-wallets-and-more

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.