Thema: Dringend Betroffene gesucht! Trojaner / PHOBOS Ransomware
Einzelnen Beitrag anzeigen
Alt 24.01.2019, 17:16   #9 (permalink)
Killerpixel
Hardware Freak
 
Benutzerbild von Killerpixel
 

Registriert seit: 01.01.2007
Beiträge: 11.498

Killerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz seinKillerpixel kann auf vieles stolz sein
Standard AW: Dringend Betroffene gesucht! Trojaner / PHOBOS Ransomware
Zitat:
Zitat von Joshua Beitrag anzeigen
Moin.

Das zu behaupten ist schon ziemlich krass, ohne Details zu kennen. In 99,9% der Fälle sind es eher User, die so nen ****** triggern, ohne zu ahnen, was sie da tun. Der Admin kann da wenig machen, auch hier gab es das schon, trotz Schulung und allerlei technischer Abwehrmaßnahmen. Solange User das Hirn morgens an der Garderobe abgeben, haste als Admin leider die A....karte.
"Ausgelöst" hats natürlich ein User. Der User hat seinen Fehler aber bemerkt, den Rechner ausgeschaltet und den Admin informiert, bevor mehr als nur sein eigener PC und sein eigenes Netzlaufwerk betroffen waren.

Aber was tat der Gute? Er meldet sich am betroffenen PC mit Credentials des Domänen-Admins an (die übrigens im Netz auf allen Geräten identisch waren, selbst bei solchen die nicht Teil der Domäne sind, hat er extra so angelegt, Faulheit ftw!) um den Fehler zu beseitigen....das von ihm genutzte Passwort ist mittlerweile Running Gag bei uns in der Firma.

Rechner war natürlich noch am Netz. Das "Tool" hatte dann an eine ganze Nacht Zeit, sämtliche Server, Netzwerkspeicher und alle 250 Clients an 15 Standorten komplett zu verschlüsseln. So weit, dass nichts mehr zu starten ging.

Zitat:
[...]so dass die Verschlüsselung leider auch das (einzige) Backup betroffen hat.[...][/qoute]
Es gibt immer mehr als ein Backup, im Zweifel nimmt man halt das Backup vom Vortag und stellt es wieder her. Wenn es das nicht gibt oder der Trojaner das komplette Backup-Archiv mit verschlüsselt hat, weil er eben Zugriff drauf hatte - dann, und nur dann liegt ein böser Fehler im Backup-Konzept vor. Den hätte ein Admin finden/erkennen und Abhilfe schaffen müssen.
Genau so wars. Es gab natürlich mehrere Backup-Stände. Die lagen aber alle auf dem selben NAS, dort auf dem selben Volume und mit den gleichen Credentials zugreifbar. Und die oben genannten Admin-Credentials waren mit Vollzugriff gültig. Das NAS (eine QNAP) wurde vom Virus erst verschlüsselt und dann auf Werkseinstellungen zurückgesetzt.

Ich treff solche Aussagen nicht grundlos. Ich weiß, mit was für Hirnhaufen (aka User) man es leider in der Branche zu tun bekommt. Da sollte man aber als Admin in jedem Fall die letzte Verteidigung sein, anstatt das Hauptproblem überhaupt erst auszulösen.

@ Tweak-IT: vollkommen richtig. Aber selbst wenn man es nicht so "weit" treibt, reicht vernünftiges Haushalten mit Zugängen oft schon, um das allergröbste zu verhindern.
Das Motto der Minensucher: Wer suchet, der findet. Wer drauftritt verschwindet.
Killerpixel ist offline   Mit Zitat antworten
Für diesen Beitrag bedankt sich:
poiu (24.01.2019)