Man-at-Arms
Lt. Junior Grade
- Registriert
- Okt. 2012
- Beiträge
- 401
Kurze Frage: Wie geht man am besten vor, wenn ein kryptolocker im Firmennetzwerk zugeschlagen hat?
Locky im Netzwerk zugeschlagen - was tun?
- Ersteller Man-at-Arms
- Erstellt am
- Registriert
- Okt. 2012
- Beiträge
- 401
und was ist mit den clients, von denen es keine Datensicherung gibt (und die scheinbar auch nicht beeinträchtigt wurden)?
BlubbsDE
Fleet Admiral
- Registriert
- Juni 2011
- Beiträge
- 51.391
Doch, sie werden idR wieder hergestellt. Dieser Krypt Virus, bzw dessen Macher haben wohl eine gewisse Ethik. Wenn Geld fließt, dann fließen auch wieder die Daten unverschlüsselt.
Sicher, wenn die Daten wieder da sind, Rechner neu aufsetzen natürlich.
Sicher, wenn die Daten wieder da sind, Rechner neu aufsetzen natürlich.
A
AdoK
Gast
Nicht zahlen! M.W.n. hat noch niemand wg. Locky und der Bezahlung der geforderten Summe seine Daten wieder bekommen bzw. entschlüsseln können.
Hier hat Locky in der Nachbarkommune zuschlagen können. Auch nach Zahlung eines reichlich hohen 5stelligen Betrags ist nicht ein einziges Bit wiederhergestellt/ entschlüsselt worden!
Vorausgesetzt es gibt eine vernünftige Datensicherungs-/ Backupstrategie, dürfte sich der Schaden wohl in Grenzen halten.
Hier hat Locky in der Nachbarkommune zuschlagen können. Auch nach Zahlung eines reichlich hohen 5stelligen Betrags ist nicht ein einziges Bit wiederhergestellt/ entschlüsselt worden!
Vorausgesetzt es gibt eine vernünftige Datensicherungs-/ Backupstrategie, dürfte sich der Schaden wohl in Grenzen halten.
Zuletzt bearbeitet von einem Moderator:
BlubbsDE
Fleet Admiral
- Registriert
- Juni 2011
- Beiträge
- 51.391
AdoK schrieb:
Ganz im Gegenteil, AdoK.
Nur ein Beispiel.
http://www.heise.de/forum/heise-Sec...t-zu/Wir-haben-gezahlt/posting-24538896/show/
Würde das Bezahlen nichts bringen, wäre das Geschäftsmodell keinen Pfifferling wert. Und würde sich wohl schnell herum sprechen. Wie gesagt, Stadtverwaltungen, Krankenhäuser usw. haben auch schon bezahlt und ihren Schlüssel bekommen.
Das weißt Du aus erster Hand? Bei dem Thema wird gerne verschleiert und die Verantwortung ins Böse Internet geschoben. Ich kenne konkret einen Fall einer Stadtverwaltung, in dem der Schlüssel kam und funktionierte. Wurde natürlich auch nicht in der Lokalpresse so eindeutig kommuniziert.
Aber natürlich gebe ich dem TE keine Garantie dafür, dass es bei ihm klappt.
Zuletzt bearbeitet:
A
AdoK
Gast
Das Bezahlen dient ja nur dazu damit Heinz und Lieschen Müller und auch depperte Admins darauf reinfallen und zahlen. Genauso auch wie hier in der Nachbarkommune wo man ja nur alle 2 Wochen Backups/ Sicherungen gefahren hat und meint(e) durch die Zahlung die Daten wiederhergestellt zu bekommen.
Die Admins da sind da genau so wie Lieschen und Heinz Müller darauf reingefallen. Und Kleinvieh macht ja bekanntlich auch Mist. Und wenn sogar Stadtverwaltungen und ähnliche auf diesen Mist reinfallen und hochqualifizierte Admins meinen sie könnten mit der Bezahlung ihre vermaledeite Situation retten, macht ... macht und werft den Leuten das Geld in den Rachen.
Die Infos habe ich aus erster Hand. Ich kenne einen der Admins persönlich. Ich habe auch Einblick in die Vorgänge gehabt. Genauso wie ich dem hoch dekorierten Admin den Vorwurf gemacht habe, dass seine Backup-/ Datensicherungsstrategie für den Arsch ist/ war. Wie man bei dem anfallenden Datenvolumen man nur alle 2 Wochen die Daten sichert ist mir schleierhaft. Aber er bzw. und seine Kollegen haben daraus gelernt. Jetzt wird 2* täglich gesichert.
Die Admins da sind da genau so wie Lieschen und Heinz Müller darauf reingefallen. Und Kleinvieh macht ja bekanntlich auch Mist. Und wenn sogar Stadtverwaltungen und ähnliche auf diesen Mist reinfallen und hochqualifizierte Admins meinen sie könnten mit der Bezahlung ihre vermaledeite Situation retten, macht ... macht und werft den Leuten das Geld in den Rachen.
Die Infos habe ich aus erster Hand. Ich kenne einen der Admins persönlich. Ich habe auch Einblick in die Vorgänge gehabt. Genauso wie ich dem hoch dekorierten Admin den Vorwurf gemacht habe, dass seine Backup-/ Datensicherungsstrategie für den Arsch ist/ war. Wie man bei dem anfallenden Datenvolumen man nur alle 2 Wochen die Daten sichert ist mir schleierhaft. Aber er bzw. und seine Kollegen haben daraus gelernt. Jetzt wird 2* täglich gesichert.
Zuletzt bearbeitet von einem Moderator:
BlubbsDE
Fleet Admiral
- Registriert
- Juni 2011
- Beiträge
- 51.391
Sicher ist das einzig und alleine ein Problem der Verantwortlichen und deren Sicherheits / Backupstrategie. Genau aus dem Grund werden solche Fälle eben auch nicht in der Lokalpresse besprochen. Und wenn, dann völlig falsch und der Schuldige ist eben das böse Internet.
Aber das ändert nichts daran, ich kenne nur Fälle wo das Bezahlen Erfolg hatte. Nicht das ich das unterstützen wollte. Aber wenn eben das Problem da ist, dann kann es eben eine Lösung sein.
Aber das ändert nichts daran, ich kenne nur Fälle wo das Bezahlen Erfolg hatte. Nicht das ich das unterstützen wollte. Aber wenn eben das Problem da ist, dann kann es eben eine Lösung sein.
ayngush
Commander
- Registriert
- Okt. 2007
- Beiträge
- 2.084
Hallo,
vorausgesetzt es ist ein richtiges Firmennetzwerk, so mit Domäne, Berechtigungen etc. und es ist ein mindestens tägliches Backup der Daten vorhanden:
Client aus dem Netzwerk isolieren (Stecker ziehen) ggf. sauberes Ersatzgerät für Benutzer bereitstellen, jedoch zunächst ohne E-Mail-Zugriff, solange Einfallsweg nicht geklärt ist. Den Betreffenden Client / User müsste man am Besitzer der verschlüsselten Dateien / der Locky-Hinweis-Textdatei erkennen.
Freigabe der betroffenen Netzlaufwerke beenden, kann eh keiner mit arbeiten, soll aber auch niemand damit rumspielen / Dateien löschen etc.
Backup bereit legen.
Dateien der betroffenen Netzlaufwerke auf ein Recovery-System (nicht in das Live-System) zurück spielen.
Nachschauen, ob und was auf dem Server der die Netzlaufwerke zur Verfügung stellt, aus einer ggf. vorhandenen Schattenkopie geholt werden kann. Diese Dateien auch an einen anderen Ort als das betroffene Laufwerk wieder herstellen.
Dann mit Robocopy den Sync aus dem Recovery des Backups und den Daten aus der Schattenkopie durchführen. Das Ergebnis dieser Arbeit sollte dann ein maximal 24 Stunden alter Snapshot der Freigabe abbilden, wenn das der Fall ist (das gilt es zu prüfen), die Verschlüsselten Daten löschen und den Snapshot herstellen.
Freigabe wieder einrichten.
Den "kaputten" Client platt machen und neu aufsetzen.
Parallel den Einfallsweg nachvollziehen / betreffende E-Mails entfernen etc.
(Schreib-)Berechtigungen hinterfragen und überprüfen.
Ein zentrales Sicherheitskonzept für Mail/ Web etc. aufstellen, welches auch seinen Namen verdient hat. Sich da auch mal Expertisen einholen. Es gibt ja entsprechende Konzepte: https://de.wikipedia.org/wiki/Unified_Threat_Management
Den/die User nachschulen.
Erkenntnisse in einer Dokumentation sichern. Diese dem Chef zur Verfügung stellen.
Viel Erfolg
PS: Ein Firmennetzwerk ohne Backup kenne ich nicht bzw. nehme ich nicht für voll/ernst. In einem solchen Fall müsste dann wohl gezahlt werden oder auf die Daten verzichtet werden. Auch, wenn Produktive Daten auf dem Client lagen, der nicht gesichert wird ist das halt der Fall, wäre es ja auch, wenn in so einer Büchse die Platte mal verreckt oder das Laptop geklaut wird etc. Deswegen darf so etwas in einen Firmennetzwerk einfach nicht vorkommen, außer der Firma sind ihre Daten gänzlich egal, dann frage ich mich aber, warum man überhaupt ein Computernetzwerk betreibt... Ich sehe da schon recht schwarz/weiß einfach, weil es bei dem Thema Datensicherheit keine Abstufungen gibt. Entweder etwas ist sicher und gesichert oder eben nicht. Dann kann man sich mit der Wahrscheinlichkeit einer solche Infektion ausrechnen, welches Risiko man zu welchem Preis eingeht. Aber aus Sicht der Daten gibt es nur zwei Sorten: Die gesicherten und die unwichtigen. Das müssen die Verantwortlichen einfach kapieren, da gibt es keine hätte-, könnte-, würde- Abstufung. Als verantwortlicher IT-ler gerät man da, wenn man die Vorgesetzten darüber nicht informiert und trotzdem Kenntnisse hat, dass etwas defizitär ist, in eine Haftungssituation, da man laut Arbeitsrecht dort wenigstens Mittel-Fahrlässig handelt und dann wird ein dadurch entstehender Schaden ggf. zum Teil vom Gehalt abgezogen. Das würde ich mindestens schriftlich mitteilen, wenn man sagt: "Chef, mach Backups und zwar professionell, also, offsite, offline usw." und der sagt "Nö, zu teuer und zu doof die Bandwechselei" - Sorry, da ist man mindestens in einer Informationspflicht im Rahmen der Treuepflicht, als Angestellter um Schaden vom Arbeitgeber abzuwenden. Ganz schmaler Pfad, deswegen schriftlich. Am Ende heißt es sonst nämlich: "Hätten Sie mir das mal vorher gesagt, natürlich hätte ich..."
vorausgesetzt es ist ein richtiges Firmennetzwerk, so mit Domäne, Berechtigungen etc. und es ist ein mindestens tägliches Backup der Daten vorhanden:
Client aus dem Netzwerk isolieren (Stecker ziehen) ggf. sauberes Ersatzgerät für Benutzer bereitstellen, jedoch zunächst ohne E-Mail-Zugriff, solange Einfallsweg nicht geklärt ist. Den Betreffenden Client / User müsste man am Besitzer der verschlüsselten Dateien / der Locky-Hinweis-Textdatei erkennen.
Freigabe der betroffenen Netzlaufwerke beenden, kann eh keiner mit arbeiten, soll aber auch niemand damit rumspielen / Dateien löschen etc.
Backup bereit legen.
Dateien der betroffenen Netzlaufwerke auf ein Recovery-System (nicht in das Live-System) zurück spielen.
Nachschauen, ob und was auf dem Server der die Netzlaufwerke zur Verfügung stellt, aus einer ggf. vorhandenen Schattenkopie geholt werden kann. Diese Dateien auch an einen anderen Ort als das betroffene Laufwerk wieder herstellen.
Dann mit Robocopy den Sync aus dem Recovery des Backups und den Daten aus der Schattenkopie durchführen. Das Ergebnis dieser Arbeit sollte dann ein maximal 24 Stunden alter Snapshot der Freigabe abbilden, wenn das der Fall ist (das gilt es zu prüfen), die Verschlüsselten Daten löschen und den Snapshot herstellen.
Freigabe wieder einrichten.
Den "kaputten" Client platt machen und neu aufsetzen.
Parallel den Einfallsweg nachvollziehen / betreffende E-Mails entfernen etc.
(Schreib-)Berechtigungen hinterfragen und überprüfen.
Ein zentrales Sicherheitskonzept für Mail/ Web etc. aufstellen, welches auch seinen Namen verdient hat. Sich da auch mal Expertisen einholen. Es gibt ja entsprechende Konzepte: https://de.wikipedia.org/wiki/Unified_Threat_Management
Den/die User nachschulen.
Erkenntnisse in einer Dokumentation sichern. Diese dem Chef zur Verfügung stellen.
Viel Erfolg
PS: Ein Firmennetzwerk ohne Backup kenne ich nicht bzw. nehme ich nicht für voll/ernst. In einem solchen Fall müsste dann wohl gezahlt werden oder auf die Daten verzichtet werden. Auch, wenn Produktive Daten auf dem Client lagen, der nicht gesichert wird ist das halt der Fall, wäre es ja auch, wenn in so einer Büchse die Platte mal verreckt oder das Laptop geklaut wird etc. Deswegen darf so etwas in einen Firmennetzwerk einfach nicht vorkommen, außer der Firma sind ihre Daten gänzlich egal, dann frage ich mich aber, warum man überhaupt ein Computernetzwerk betreibt... Ich sehe da schon recht schwarz/weiß einfach, weil es bei dem Thema Datensicherheit keine Abstufungen gibt. Entweder etwas ist sicher und gesichert oder eben nicht. Dann kann man sich mit der Wahrscheinlichkeit einer solche Infektion ausrechnen, welches Risiko man zu welchem Preis eingeht. Aber aus Sicht der Daten gibt es nur zwei Sorten: Die gesicherten und die unwichtigen. Das müssen die Verantwortlichen einfach kapieren, da gibt es keine hätte-, könnte-, würde- Abstufung. Als verantwortlicher IT-ler gerät man da, wenn man die Vorgesetzten darüber nicht informiert und trotzdem Kenntnisse hat, dass etwas defizitär ist, in eine Haftungssituation, da man laut Arbeitsrecht dort wenigstens Mittel-Fahrlässig handelt und dann wird ein dadurch entstehender Schaden ggf. zum Teil vom Gehalt abgezogen. Das würde ich mindestens schriftlich mitteilen, wenn man sagt: "Chef, mach Backups und zwar professionell, also, offsite, offline usw." und der sagt "Nö, zu teuer und zu doof die Bandwechselei" - Sorry, da ist man mindestens in einer Informationspflicht im Rahmen der Treuepflicht, als Angestellter um Schaden vom Arbeitgeber abzuwenden. Ganz schmaler Pfad, deswegen schriftlich. Am Ende heißt es sonst nämlich: "Hätten Sie mir das mal vorher gesagt, natürlich hätte ich..."
Ähnliche Themen
