Wenn ein cryptotrojaner auf dem System ist, dann ist es ihm herzlich egal, ob die HDD eine Laufwerksbuchstaben hat, oder nur "abgemeldet" am Port hängt.
[Sammelthread] HP ProLiant G8 G1610T/G2020T/i3-3240/E3-1220Lv2 MicroServer
- Ersteller Janero
- Erstellt am
besterino
Legende
Das einzige was hilft sind nach Erstellung/Kopiervorgang unveränderliche Daten, eben zum Beispiel ZFS oder mit einem anderen vom (angreifbaren) Hauptsystem unabhängigen Zweitsystem, das die Daten dann auf "Readonly" für alle Nutzer setzt.
Da stellt sich aber die berechtigte Frage wie man damit kontaminiert worden ist! Und eine weitere Frage wäre, ob die von uns ein gesetzten AV-Programme (egal ob ESET, Kaspersky & Co.) diese Bedrohung rechtzeitig erkennen können.
Derzeit sichere ich stets manuell 1x am Tag manuell auf eine ext. USB-HDD und diese wiederum 1x im Monat auf eine 2te ext. USB-HDD. JA, ich bin "paranoid" und das war ich schon vor Snowden, 2013!!!
besterino
Legende
Nein, können sie nicht. Wir haben eine Kombination aus mehreren Scannern auf Clients, Servern und Diensten mit Enterprise Support und da geht trotzdem im Falle des Falles das Neueste Zeug durch. Wir haben daher zusätzlich honeypot-Fileserver aufgestellt, die anschlagen wenn eben Verschlüsselungen anlaufen und können dann schnell schadensbegrenzend reagieren.
Du kennst die drei Grundregeln?
1. Backup!
2. Backup!!
3. Backup!!!
Kommt drauf an...
1. In einer ESXi-VM hat das System nur Zugriff auf Hardware die ihm zugeteilt wurde.
Ein für Krypto-Trojaner eher nicht überwindbare Scenario zur Sicherung von Daten aus einer Windows-VM wäre z.B.
Snapshots von der VM incl. Daten via Hypervisor erstellen.
2. Eine andere Variante wäre eine Linux-VM, die per Cronjob das Datengrab per NFS und ein Backuplaufwerk mounted, ein Backup zieht und beide Laufwerke wieder unmounted.
Natürlich müssten multiple Versionen des Backups vorgehalten werden um auch einen größeren Zeitraum rückwärts gehen zu können.
3. Wenn eine externe Festplatte mit Netzteil verwendet wird, dann kann man das Netzteil an eine Zeitschaltuhr setzen und diese nur zum Zeitpunkt des Backups zum Leben erwecken. Allerdings verhindert das eine Verschlüsselung nur, wenn der Kryptotrojaner später eingehängte Laufwerke nicht nachträglich verschlüsselt.
Ransomware ist nicht auf schnellen Erfolg sondern auf maximalen Schaden aus um nachher möglichst viel Lösegeld zu fordern. Dazu werden die immer ausgefeilter, verschlüsseln zunächst nur alte Daten, verändern Dateinamen nicht mehr, verschlüsseln erkannte Backupquellen bevorzugt etc.
Im Ergebnis ist zum Zeitpunkt der Entdeckung bereits ein großer Schaden eingetreten bzw. Backupsysteme ebenfalls betroffen. Ich sehe da als Ausweg massive readonly Versionierung. Das könnte man mit gestaffelten Backups erreichen die dann Offline verwahrt werden. Das ist aber viel zu langwierig bei Komplettbackup, aufwändig oder kompliziert. Storage Snapshots die garantiert readonly sind und die vom Arbeitsplatz auch als Admin nicht verändert werden können wie z.B. ZFS Snaps oder ähnliche Verfahren auf zentralem Storage sind eine sichere und bewährte Versionierungs-Lösung bei der auch tausende Versionen über einen längeren Zeitraum möglich sind. Windows Shadow Copies oder Storage wo ein Windows User mit Admin Rechten automatisch Zugriff auf Daten.Versionen hat sind da schon wesentlich problematischer. Jede bessere (Windows) Ransomware versucht als erstes die zu löschen.
Im Ergebnis ist zum Zeitpunkt der Entdeckung bereits ein großer Schaden eingetreten bzw. Backupsysteme ebenfalls betroffen. Ich sehe da als Ausweg massive readonly Versionierung. Das könnte man mit gestaffelten Backups erreichen die dann Offline verwahrt werden. Das ist aber viel zu langwierig bei Komplettbackup, aufwändig oder kompliziert. Storage Snapshots die garantiert readonly sind und die vom Arbeitsplatz auch als Admin nicht verändert werden können wie z.B. ZFS Snaps oder ähnliche Verfahren auf zentralem Storage sind eine sichere und bewährte Versionierungs-Lösung bei der auch tausende Versionen über einen längeren Zeitraum möglich sind. Windows Shadow Copies oder Storage wo ein Windows User mit Admin Rechten automatisch Zugriff auf Daten.Versionen hat sind da schon wesentlich problematischer. Jede bessere (Windows) Ransomware versucht als erstes die zu löschen.
Zuletzt bearbeitet:
Ransomware
In der ComputerBILD 24/2016 vom 12.11.2016 gibt`s eine Artikel/eine Werbung für "Der ComputerBILD Erpresser-Viren-Stopper von Abelssoft". Habe den Artikel überflogen, dieses Programm überwacht markierte Daten auf Veränderungen, bei Verdacht erfolgt ein "Shutdown" des Computers. Anbei ist eine DVD, die angeblich die Daten bzw. den befallenden Computer retten und desinfizieren kann.
Ich habe mich mit solchen Tools noch nicht beschäftigt und kann zu deren Wirksamkeitsgrad auch nichts sagen.
In der ComputerBILD 24/2016 vom 12.11.2016 gibt`s eine Artikel/eine Werbung für "Der ComputerBILD Erpresser-Viren-Stopper von Abelssoft". Habe den Artikel überflogen, dieses Programm überwacht markierte Daten auf Veränderungen, bei Verdacht erfolgt ein "Shutdown" des Computers. Anbei ist eine DVD, die angeblich die Daten bzw. den befallenden Computer retten und desinfizieren kann.
Ich habe mich mit solchen Tools noch nicht beschäftigt und kann zu deren Wirksamkeitsgrad auch nichts sagen.
besterino
Legende
Die aktuelle c't hat auch "Notfall-Windows" im Titel und eine CD dabei. Keine Ahnung ob das im konkreten Fall hier hilft...
@ChrisRE84
Was mich interessieren würde, wie ist der Crypto-Trojaner denn auf deinen Würfel gekommen?
Ist er direkt auf den Würfel gelangt (durch einen externen Zugang), oder hast Du mit einen infizierten Clienten dein System verseucht?
Ich weiss das Dir das alles im Moment nicht wirklich weiterhilft (auch alle Kommentare zum Backup)
und hoffe das Du doch noch eine Möglichkeit findest deine Daten wieder herzustellen...
edit..
In der aktuellen C't ist auch beschrieben, wie man feststellen kann welche Ransomware vorliegt...
(Eine infizierte Datei hochladen nach https://id-ransomware.malwarehunterteam.com/)
Was mich interessieren würde, wie ist der Crypto-Trojaner denn auf deinen Würfel gekommen?
Ist er direkt auf den Würfel gelangt (durch einen externen Zugang), oder hast Du mit einen infizierten Clienten dein System verseucht?
Ich weiss das Dir das alles im Moment nicht wirklich weiterhilft (auch alle Kommentare zum Backup)
und hoffe das Du doch noch eine Möglichkeit findest deine Daten wieder herzustellen...
edit..
In der aktuellen C't ist auch beschrieben, wie man feststellen kann welche Ransomware vorliegt...
(Eine infizierte Datei hochladen nach https://id-ransomware.malwarehunterteam.com/)
Zuletzt bearbeitet:
mastersteve1
Enthusiast
- Mitglied seit
- 31.12.2013
- Beiträge
- 180
So wie ich das weis ja! Hab es einfach pauschal gemacht und bin zufrieden! [emoji851]
NEIN!
Ein Downgrade ist nicht mehr erforderlich, denn der Bug wurde behoben. Und ich finde, dass die letzte 6.0er-Version wesentlich besser läuft als der Vorgänger mit Zwangsdowngrade.
ChrisRE84
Enthusiast
- Mitglied seit
- 19.10.2005
- Beiträge
- 127
@HansM57
Das wüsste ich auch gerne!
Habe insgesamt zwei PCs, einmal einen Laptop und einen Desktop-PC. Am Letzteren bin ich hauptsächlich und mache dort Papierkram, eMails, Zocken usw.. Am Laptop ist nur meine Freundin und die klickt nichts an, das weiß ich, weil sie im Internet seeeehr vorsichtig ist.
Ich habe auch keine Ahnung, wie ich herausfinden kann, wie der Crypto-Trojaner Zugriff auf den Würfel bekommen hat. Ich sehe nur, dass eben alle Dokumente als .WALLET-Datei da sind ( u.a. .doc, .pdf und Bilder ).
Auf deiner verlinkten Seite habe ich schon geschaut, da kommt die Meldung, dass z.Zt. keine Entschlüsslung bekannt sei.
Erklären kann ich mir das nur so, dass die Verknüpfung benutzt wurde. Habe im Windows-Explorer unter Eigene Dateien eine Verknüpfung erstellt, die auf die Dokumente am Würfel verweist. Jetzt kann man natürlich fragen, warum in Gottes Namen hast du Dokumente auf dem Würfel, aber das ist eigl. ganz einfach erklärt: Ich sitze ab und an auch mal am Laptop und wollte die Daten von jedem PC zu Hause aus abrufen können und daran arbeiten. Daher habe ich diese auf den Würfel gelagert.
Sicherheitstechnisch habe ich lediglich die Windows-Firewall an und der betroffene User ( mit den verschlüsselten Dokumenten ) ist auch kein Admin, sondern normaler User. Allerdings ist an dem Desktop-PC mein User ( über den wohl der Crypto-Trojaner Zugroff bekam ) Admin, das werde ich aber nach der Neuinstallation ändern!
Meine Frage ich jetzt, kann ich z.B. die verschlüsselten Dateien auf einem alten USB-Stick kopieren, erstmal in die Schublade legen und hoffen, ob evtl. später mal ein Tool kommt, dass diese Verschlüsselung knacken kann? Oder brauche ich mir diese Arbeit gar nicht machen?
Es ist aber dann sicher, wenn ich die Festplatten auf dem Würfel bei der Win10-Installation formatiere, dass dann alles wieder sauber ist?! Oder sollte ich lieber die Partitionen auf den Festplatte löschen und neu anlegen?
Dann wäre mir noch wichtig, welche Sicherheitssoftware sollte ich auf dem Würfel installieren ( neben der Windows-Firewall ), um diese Sachen zu verhindern? Reicht da ESET AntiVirus oder sollte es schon das Internet-Security bzw. Smart Security Premium-Paket sein? Oder würdet ihr ganz andere Software empfehlen?
Ich werde ebenfalls die Remote-Option für den jetzt betroffenen User deaktivieren, sodass ich nur noch per Remote auf den Admin-User komme ( der ja keine Eigenen Dateien auf dem Würfel hat ). Oder ist das egal, da der Admin ja auch auf das Verzeichnis der anderen User hat.
Und ich werde meine DynDNS-Adresse ändern, zur Sicherheit, da darüber mein eMail-Server ( Tobit.David ) erreichbar ist und das auch von außen!
Eigentlich dachte ich, der Würfel ist ausreichend gesichert, da er am Switch hängt und dieser wiederrum an der FRITZ!Box 7490. Also er ist nicht direkt 'nackt' am Netz.
Backups werde ich jetzt alle 1-2 Tage per USB-Stick manuell machen und diesen danach wieder abziehen!
Die kontaminierten Dateien separat zu sichern um diese ggf. später wiederherstellen zu können ist keine schlechte Idee ... mach das, vll. gibt`s in naher Zukunft ne Lösung.
Den Datenträger würde ich unter Linux mit "GParted" komplett platt machen und wenn man so "paranoid" ist wie ich diesen mindestens einmal komplett mit einem Tool überschreiben lassen! JA, muss man nicht zwingend, aber sicher ist sicher und JA, dass das u.U. eins, zwei Tage dauern kann weiß ich aus eigener Erfahrung. Anmerkung: desinfec`t ist eine gute Linux-Distribution, leistet mir gute Gesellschaft.
Die Firewall von Windows ... *hustet* ... dazu sage ich lieber nix! Wenn du keine/n "richtige/n" Hardware-Firewall/VPN-Router vor den Würfel klemmst, dann solltest du dir eine VM mit Sophos UTM einrichten. Ich weiß zwar nicht wo genau der Unterschied zwischen Internet Security & Smart Security Premium liegt, aber den Firewalls von solchen Komplett-Paketen vertraue ich mehr als Microsoft.
- - - Updated - - -
Ob du nun Eset, Kaspersky oder Sophos nimmst scheint wohl bei dieser Art von Bedrohung keine all zu große Rolle zu spielen.
Zuletzt bearbeitet:
ChrisRE84
Enthusiast
- Mitglied seit
- 19.10.2005
- Beiträge
- 127
Naja, mit dem Überschreiben über 1-2 Tage, ist das wirklich notwendig? Wollte den Würfel so schnell wie möglich wieder fit machen ( allein wegen dem eMail-Server ).
Ist die FRITZ!Box 7490 keine Hardware-Firewall? Aber ich denke, der Angriff kam über meinen Desktop-PC, wo sich der Hacker dann einfach an dem Link zum Würfel bedient hat ( interne IP ) und dort dann seine Verschlüsselung rausgehauen hat. An der FRITZ! hängt noch ein DLink Switch und dort ist dann der Würfel und auch alle andere PCs und Geräte mit LAN dran.
Ist es wirklich notwendig, im internen Netzwerk ( z.B. vom Desktop-PC oder Laptop ) per VPN auf den Würfel zuzugreifen? Reicht das nicht einfach per Remote?
Bzgl. Sophos UTM: Kann ich dieses Tool nicht einfach ganz normal auf Windows 10 installieren ( natürlich nach dem Neuaufsetzen ) und das diese Software dann bei jedem Hochfahren automatisch mit hochfährt? Mit VMs kenne ich mich 1. null aus und 2. habe ich da noch nie etwas mit gemacht. 3. Habe ich auch nicht mehr wie die 4GB RAM im Würfel.
----
Was gibt es denn sonst noch für Möglichkeiten, den Würfel einfach aber effektiv zu schützen bzw. wie haben andere User hier ihren Würfel gesichert, wenn dieser am Netz hängt?
Aber wie Ollmann schon sagte, ist bzgl. des Crypto-Trojaners wohl keine Sicherung sicher genug...
Ist die FRITZ!Box 7490 keine Hardware-Firewall? Aber ich denke, der Angriff kam über meinen Desktop-PC, wo sich der Hacker dann einfach an dem Link zum Würfel bedient hat ( interne IP ) und dort dann seine Verschlüsselung rausgehauen hat. An der FRITZ! hängt noch ein DLink Switch und dort ist dann der Würfel und auch alle andere PCs und Geräte mit LAN dran.
Ist es wirklich notwendig, im internen Netzwerk ( z.B. vom Desktop-PC oder Laptop ) per VPN auf den Würfel zuzugreifen? Reicht das nicht einfach per Remote?
Bzgl. Sophos UTM: Kann ich dieses Tool nicht einfach ganz normal auf Windows 10 installieren ( natürlich nach dem Neuaufsetzen ) und das diese Software dann bei jedem Hochfahren automatisch mit hochfährt? Mit VMs kenne ich mich 1. null aus und 2. habe ich da noch nie etwas mit gemacht. 3. Habe ich auch nicht mehr wie die 4GB RAM im Würfel.
----
Was gibt es denn sonst noch für Möglichkeiten, den Würfel einfach aber effektiv zu schützen bzw. wie haben andere User hier ihren Würfel gesichert, wenn dieser am Netz hängt?
Aber wie Ollmann schon sagte, ist bzgl. des Crypto-Trojaners wohl keine Sicherung sicher genug...
Zuletzt bearbeitet:
Sind alle Dateien auf dem Würfel verschlüsselt oder nur die, die über die Windowsfreigabe erreichbar waren?
(mit Verknüpfung meinst du eine SMB Freigabe?).
Wie Ollmann schon schrieb, ist es keine schlechte Idee die verschlüsselten Dateien auszulagern um sie später eventuell
wieder herzustellen.
Ich bin der Meinung, das du erstmal den "Angriffsweg" herausfinden musst bevor du deine Systeme neu aufsetzt.
Edit:
Sind irgendwelche Dateien auf deinem PC oder auf dem Laptop deiner Freundin verschlüsselt?
Zuletzt bearbeitet:
besterino
Legende
Ich vermute mal "falschen" Link oder Datei angeklickt/geöffnet.
Dass man persönlich konkretes Ziel eines Hackerangriffs war, halte ich für sehr unwahrscheinlich, gerade bei den Verschlüsselungstrojanern, so wohl auch bei diesem:
"Via an Exploit kit, Dll file attack, malicious JavaScript or a drive-by download of the malware itself in an obfuscated manner" (Quelle: New Dharma Ransomware – Remove and Restore .wallet Files - SensorsTechForum.com)
Dass man persönlich konkretes Ziel eines Hackerangriffs war, halte ich für sehr unwahrscheinlich, gerade bei den Verschlüsselungstrojanern, so wohl auch bei diesem:
"Via an Exploit kit, Dll file attack, malicious JavaScript or a drive-by download of the malware itself in an obfuscated manner" (Quelle: New Dharma Ransomware – Remove and Restore .wallet Files - SensorsTechForum.com)
ChrisRE84
Enthusiast
- Mitglied seit
- 19.10.2005
- Beiträge
- 127
Also es sind hauptsächlich Daten im User-Verzeichnis betroffen, wie halt .doc und .pdf-Dateien. Dort waren auch ein paar Bilder dabei, die ebenfalls verschlüsselt wurden.
Ich habe zwei User auf dem Würfel: Einmal den Admin ( dieses User-Verzeichnis ist komplett frei von Verschlüsselungen! ) und eben mein User-Verzeichnis, wo sämtliche Daten und Verzeichnisse betroffen sind.
Es sind aber auch Log-Files auf C: betroffen, die z.B. von Intel automatisch erstellt werden ( onBoard-Grafik ), diese sind zwar völlig unwichtig, wurden aber verschlüsselt. Genauso wie das Verzeichnis von meinem Canon Drucker-Treiber auf C:. Auch das wurde komplett verschlüsselt, obwohl das lediglich der Treiber für den Drucker ist, also eigl. völlig wertloser Kram.
Von dem Streaming-Server Serviio wurde das komplette Verzeichnis verschlüsselt. Da war zwar nichts drauf, aber alles davon ist infiziert. Microsoft OneDrive-Verzeichnis des einen Users auch.
Allerdings wurde die Datei 'ntuser.ini' verschlüsselt, diese ist im User-Verzeichnis ( also in diesem Falle: C:\Users\Betroffener User ). Die Ordner unter C:\Users\Öffentlich sind zwar ebenfalls komplett verschlüsselt, da war allerdings nichts abgelegt.
Vom Firefox wurden ebenfalls die Daten im AppData-Ordner des Users unbrauchbar gemacht.
Ebenfalls komisch ist, auf der HDD mit dem Mail-Server wurde das Verzeichnis des Mail-Servers selbst nicht verschlüsselt ( dort, wo die eMails eingehen und verteilt werden ), jedoch der Client schon. Und die Verschlüsselungs-Meldung kam nur bei einem User, nicht aber bei dem Admin-User selbst. Es waren auch die Bild- und Textdatei, die beim Anmelden im Autostart sind ( habe ich oben angehängt ) nur bei einem User.
Ansonsten kann ich nichts erkennen, wie und vor allem wodurch der Angreifer kam. Alle User sind mit Kennwörtern geschützt ( bei der Anmeldung in Windows selbst ).
Was 'sein kann', ich mir aber nicht vorstellen kann, dass der Angriff durch eine eMail ausgelöst wurde. Aber wie ich schon sagte, verdächtige eMails lösche ich sofort und öffne niemals einen Anhang ( schon gar keine .exe oder .pdf, dessen Absender ich nicht kenne ). Daher verstehe ich das absolut nicht.
Mir ist auch aufgefallen, dass der Desktop-PC scheinbar nicht betroffen ist, da dort nicht eine einzige Datei verschlüsselt ist. Am Würfel habe ich eine Systemwiederherstellung gemacht auf 2 Tage vor dem Angriff. Dort war das eMail Client-Verzeichnis wieder unverschlüsselt ( nicht das eMail Server-Verzeichnis! ), heute schaue ich in das selbe Verzeichnis und es ist wieder mit .WALLET-Dateien verschlüsselt.
Auf dem Würfel war auch Java installiert, evtl. war das ein Eintritts-Tor. Ansonsten wüsste ich wirklich nicht, was die Einladung gewesen sein könnte!
---
Wie Ollmann mir schon schrieb, wäre eine Hardware-Firewall evtl. interessant. Aber kann ich diese Einfach zwischen den Würfel klemmen und diese Firewall dann an die FRITZ!Box? Momentan ist der Würfel am Switch, wo alle LAN-Geräte im Haus dran hängen und dieser Switch ist an der FRITZ!Box. Würde es gehen, dass ich an den zweiten LAN-Anschluss der FRITZ! dann die Hardware-Firewall klemme und dort dann nur den Würfel? Ist dieser dann weiterhin so erreichbar wie bisher oder muss da was konfiguriert / eingestellt werden? Oder wird diese Hardware-Firewall einfach wie der DLink-Switch aktuell einfach nur angeklemmt und der Rest wird automatisch abgefiltert?
Habe da von 'https://www.alternate.de/Netgear/FVS318G-v2-Firewall/html/product/1183452?' eine recht günstige Firewall gefunden, wenn diese ausreichend wäre?!
Kenne mich in der Materie aber überhaupt nicht aus, da ich das noch nie benötigt habe. Bisher reichte immer die FRITZ!Box + Switch und ich hatte auch so einen Fall noch nie erleben müssen. Bisher war das Schlimmste mal vor ein paar Jahren ein Virus auf dem Desktop-PC, der aber wohl von einer unseriösen Seite kam. Seitdem war ich immer doppelt vorsichtig, was lade ich von wo herunter - und seit dem hatte ich auch nichts weiteres mehr auf den Rechnern ( bis auf ein paar Cookies ).
Mit VPN habe ich mal experimentiert, allerdings verlief die Anmeldung über die FRITZ!Box und vom iPhone klappte das auch ganz gut, aber wie das per PC geht habe ich nicht hinbekommen. Ist es auch wirklich nötig im eigenen Netzwerk mit VPN auf den Würfel zu gehen? Der eMail-Server läuft über die Mail-App des iPhones und wird per SSL-Verschlüsselung angesprochen.
---
Was ich in der Ereignisanzeige noch gefunden habe, sind diese Aufzeichnungen zum Zeitpunkt der Verschlüsselungen ( gibt noch mehr Einträge, aber ich habe keine Ahnung, was da passiert ist ):
Anhang anzeigen 1.txt Anhang anzeigen 2.txt Anhang anzeigen 3.txt Anhang anzeigen 4.txt
Ich habe zwei User auf dem Würfel: Einmal den Admin ( dieses User-Verzeichnis ist komplett frei von Verschlüsselungen! ) und eben mein User-Verzeichnis, wo sämtliche Daten und Verzeichnisse betroffen sind.
Es sind aber auch Log-Files auf C: betroffen, die z.B. von Intel automatisch erstellt werden ( onBoard-Grafik ), diese sind zwar völlig unwichtig, wurden aber verschlüsselt. Genauso wie das Verzeichnis von meinem Canon Drucker-Treiber auf C:. Auch das wurde komplett verschlüsselt, obwohl das lediglich der Treiber für den Drucker ist, also eigl. völlig wertloser Kram.
Von dem Streaming-Server Serviio wurde das komplette Verzeichnis verschlüsselt. Da war zwar nichts drauf, aber alles davon ist infiziert. Microsoft OneDrive-Verzeichnis des einen Users auch.
Allerdings wurde die Datei 'ntuser.ini' verschlüsselt, diese ist im User-Verzeichnis ( also in diesem Falle: C:\Users\Betroffener User ). Die Ordner unter C:\Users\Öffentlich sind zwar ebenfalls komplett verschlüsselt, da war allerdings nichts abgelegt.
Vom Firefox wurden ebenfalls die Daten im AppData-Ordner des Users unbrauchbar gemacht.
Ebenfalls komisch ist, auf der HDD mit dem Mail-Server wurde das Verzeichnis des Mail-Servers selbst nicht verschlüsselt ( dort, wo die eMails eingehen und verteilt werden ), jedoch der Client schon. Und die Verschlüsselungs-Meldung kam nur bei einem User, nicht aber bei dem Admin-User selbst. Es waren auch die Bild- und Textdatei, die beim Anmelden im Autostart sind ( habe ich oben angehängt ) nur bei einem User.
Ansonsten kann ich nichts erkennen, wie und vor allem wodurch der Angreifer kam. Alle User sind mit Kennwörtern geschützt ( bei der Anmeldung in Windows selbst ).
Was 'sein kann', ich mir aber nicht vorstellen kann, dass der Angriff durch eine eMail ausgelöst wurde. Aber wie ich schon sagte, verdächtige eMails lösche ich sofort und öffne niemals einen Anhang ( schon gar keine .exe oder .pdf, dessen Absender ich nicht kenne ). Daher verstehe ich das absolut nicht.
Mir ist auch aufgefallen, dass der Desktop-PC scheinbar nicht betroffen ist, da dort nicht eine einzige Datei verschlüsselt ist. Am Würfel habe ich eine Systemwiederherstellung gemacht auf 2 Tage vor dem Angriff. Dort war das eMail Client-Verzeichnis wieder unverschlüsselt ( nicht das eMail Server-Verzeichnis! ), heute schaue ich in das selbe Verzeichnis und es ist wieder mit .WALLET-Dateien verschlüsselt.
Auf dem Würfel war auch Java installiert, evtl. war das ein Eintritts-Tor. Ansonsten wüsste ich wirklich nicht, was die Einladung gewesen sein könnte!
---
Wie Ollmann mir schon schrieb, wäre eine Hardware-Firewall evtl. interessant. Aber kann ich diese Einfach zwischen den Würfel klemmen und diese Firewall dann an die FRITZ!Box? Momentan ist der Würfel am Switch, wo alle LAN-Geräte im Haus dran hängen und dieser Switch ist an der FRITZ!Box. Würde es gehen, dass ich an den zweiten LAN-Anschluss der FRITZ! dann die Hardware-Firewall klemme und dort dann nur den Würfel? Ist dieser dann weiterhin so erreichbar wie bisher oder muss da was konfiguriert / eingestellt werden? Oder wird diese Hardware-Firewall einfach wie der DLink-Switch aktuell einfach nur angeklemmt und der Rest wird automatisch abgefiltert?
Habe da von 'https://www.alternate.de/Netgear/FVS318G-v2-Firewall/html/product/1183452?' eine recht günstige Firewall gefunden, wenn diese ausreichend wäre?!
Kenne mich in der Materie aber überhaupt nicht aus, da ich das noch nie benötigt habe. Bisher reichte immer die FRITZ!Box + Switch und ich hatte auch so einen Fall noch nie erleben müssen. Bisher war das Schlimmste mal vor ein paar Jahren ein Virus auf dem Desktop-PC, der aber wohl von einer unseriösen Seite kam. Seitdem war ich immer doppelt vorsichtig, was lade ich von wo herunter - und seit dem hatte ich auch nichts weiteres mehr auf den Rechnern ( bis auf ein paar Cookies ).
Mit VPN habe ich mal experimentiert, allerdings verlief die Anmeldung über die FRITZ!Box und vom iPhone klappte das auch ganz gut, aber wie das per PC geht habe ich nicht hinbekommen. Ist es auch wirklich nötig im eigenen Netzwerk mit VPN auf den Würfel zu gehen? Der eMail-Server läuft über die Mail-App des iPhones und wird per SSL-Verschlüsselung angesprochen.
---
Was ich in der Ereignisanzeige noch gefunden habe, sind diese Aufzeichnungen zum Zeitpunkt der Verschlüsselungen ( gibt noch mehr Einträge, aber ich habe keine Ahnung, was da passiert ist ):
Anhang anzeigen 1.txt Anhang anzeigen 2.txt Anhang anzeigen 3.txt Anhang anzeigen 4.txt
Zuletzt bearbeitet:
LichtiF
Enthusiast
Bei uns in der Firma sind nur Port 80 und 443 offen über Proxyserver aber trotzdem schaffen die es bei uns sich Trojaner einzufangen also wirklich sicher ist man nur wenn man Brain einschaltet bevor mal Emails mit Anhängen von unbekannten öffnet 
ChrisRE84
Enthusiast
- Mitglied seit
- 19.10.2005
- Beiträge
- 127
Wie gesagt, mir ist nicht bekannt, dass ich eine solche eMail oder gar Anhang geöffnet habe!
Da bin ich schon immer sehr vorsichtig gewesen.
Und genutzt wird nur Port 443, einer für den MS-Remote, 267 und noch zwei andere für iLO.
Da bin ich schon immer sehr vorsichtig gewesen.
Und genutzt wird nur Port 443, einer für den MS-Remote, 267 und noch zwei andere für iLO.
Zuletzt bearbeitet:
MicroCane
Experte
Bei uns in der Firma sind nur Port 80 und 443 offen über Proxyserver aber trotzdem schaffen die es bei uns sich Trojaner einzufangen also wirklich sicher ist man nur wenn man Brain einschaltet bevor mal Emails mit Anhängen von unbekannten öffnet
Und wie kommen dann Mails rein :P?
besterino
Legende
Das wird hier langsam aber echt Offtopic und hat mit "homeservern" nichts und mit dem Gen8 noch weniger zu tun. Mach doch einen separaten Fred auf, von mir aus auch in diesem Unterforum, wenn es denn um halbwegs professionellen Malwareschutz geht (z.B. auf 'nem Server-OS) und nicht nur um die Billo-Client-Protection. Ansonsten ist das Thema woanders (z.B. hier: Netzwerke, Security und Internet) deutlich besser aufgehoben.
Ich war auch bisher eher Anhänger der Fraktion Mir-kann-das-nicht-passieren-weil-ich-vorsichtig-bin.
Andererseits musste ich in letzter Zeit feststellen, dass die Sicht ein wenig blauäugig ist, denn eine Infektion an sich
1. muss absolut nicht von mir abhängig sein (fall ich nicht alleiniger Nutzer bin),
2. kann nichtsdestotrotz von mir unbeabsichtigt ausgelöst werden (es reicht ein falscher Klick oder eine falsche Taste),
3. wird eben auch (bei erfahreneren Nutzern sehr wahrscheinlich sogar) durch Bugs wie die eine kurzfristig gefundene Zero-Day-Lücke in Firefox herbeigeführt (auch wenn man täglich auf dem neuesten Stand ist).
Damit will ich nicht behaupten, dass man auf eine vernünftige Firewall/AVScanner verzichten kann oder soll. Es hilft halt bei den üblichen/typischen (durch Heuristik mehr oder weniger vorhersehbaren) Fällen. Unter einem aktiven/aktuellen Exploit wird man dennoch leiden, für den Fall, dass man keine Sicherheitsvorkehrungen getroffen hat. Und genau hier würde ich immer an erster Stelle ansetzen. In der Realität gibt es ja leider nicht die Möglichkeit Schattenkopien/Snapshots anzulegen, falls mal eingebrochen wird, in der IT-Welt dagegen, finde ich ist genau das der "Segen". Solange meine Schattenkopien/Snapshots angelegt werden und relevante Daten über (im Idealfall Offline-) Backups langfristig gesichert sind habe ich wenigstens im Fall einer Infektion bessere Karten. Ich muss natürlich schnellstmöglich die Lücke finden, bin aber nicht gezwungen alles plattzumachen oder auf ein Entschlüsselungstool zu hoffen. Der Impact ist relativ überschaubar und je nach System bzw. Konfiguration minimal.
Sorry für's Abdriften...
LichtiF
Enthusiast
Über zentrale Emailgateways und wir haben schon lange keinen Exchange mehr hier ist alles Zentralisiert im Rechenzentrum des Landes
Meinte damit nur den Zugriff ins Internet der ist darauf beschränkt.
Hey Tgt79
Danke für deine Antwort.
Ich habe nun mal die SCSI Controller angepasst und auch die Platten auf eigene Knotenpunkte gesetzt. Anbei die Screenshots
Leider war das noch nicht des Rätsels Lösung. Ich habe auch mal versucht von beiden Platten auf die SSD zu kopieren. Geschwindigkeit ist die gleiche.
Hast du vielleicht noch eine Idee, woran das liegen könnte? Oder habe ich das womöglich falsch eingestellt?
Ist zwar nicht ganz das was ich meinte (SCSI 0:0 ... 0:3 anstatt 0:0 ... 3:0 und den parallel ganz raus), sollte aber keinen Unterschied machen. Mir ist bei deinen hdparm werten allerdings noch aufgefallen, dass deine buffered reads ziemlich niedrig sind. ist das immernoch der fall? Ansonsten würde mir noch generell abgeschaltener/write-through cache im b120i oder misaligned filesystem einfallen, oder rsync ist mit --verbose ausgabe einfach extrem langsam (kann ich z.Zt. leider nicht testen). Wie sieht den normales Kopieren von der Geschwindigkeit aus?
Die hdparm Ergebnisse sind nun etwas besser:
Ich habe mal "pv" genutzt um zu schauen ob es an rsync liegt. Sind leider auch nur 20MiB/s.
Wie kann ich den abgeschaltenden Write Through cache überprüfen?
irgendwo im SmartStorageAdministrator (ssa). Ich arbeite i.d.R. nur mit den großen MSA's, deswegen kann ich das jetzt nicht aus dem Kopf sagen. Müsste ungefähr da sein wo du den Platten Cache aktiviert hast
Edit: irgendjemand hier der weiß wo die Cache-Settings im SSA sind?
Edit: irgendjemand hier der weiß wo die Cache-Settings im SSA sind?
Zuletzt bearbeitet:
Moin,
würde mal gern wissen ob die Leistungsfähigkeit meines Systems so in Ordnung ist. Habe ein wenig experimentiert und bin jetzt zufrieden - aber vielleicht gibt es ja noch Luft nach oben.
Platte 1 SSD an ODD im Pseudo-RAID0:
root@ucs:~# dd if=/dev/zero of=/root/test bs=4M count=1024 oflag=dsync
1024+0 Datensätze ein
1024+0 Datensätze aus
4294967296 Bytes (4,3 GB) kopiert, 21,0608 s, 204 MB/s
root@ucs:~# hdparm -tT --direct /dev/sda
/dev/sda:
Timing O_DIRECT cached reads: 1206 MB in 2.00 seconds = 602.09 MB/sec
Timing O_DIRECT disk reads: 798 MB in 3.01 seconds = 265.27 MB/sec
Platte 2: 4*2TB SAS-HDD im RAID10 (P410+512MB):
root@ucs:~# dd if=/dev/zero of=/srv/media/test bs=4M count=1024 oflag=dsync
1024+0 Datensätze ein
1024+0 Datensätze aus
4294967296 Bytes (4,3 GB) kopiert, 38,4378 s, 112 MB/s
root@ucs:~# hdparm -tT --direct /dev/sdb
/dev/sdb:
Timing O_DIRECT cached reads: 530 MB in 2.00 seconds = 264.57 MB/sec
Timing O_DIRECT disk reads: 788 MB in 3.01 seconds = 262.17 MB/sec
Bin gespannt...
würde mal gern wissen ob die Leistungsfähigkeit meines Systems so in Ordnung ist. Habe ein wenig experimentiert und bin jetzt zufrieden - aber vielleicht gibt es ja noch Luft nach oben.
Platte 1 SSD an ODD im Pseudo-RAID0:
root@ucs:~# dd if=/dev/zero of=/root/test bs=4M count=1024 oflag=dsync
1024+0 Datensätze ein
1024+0 Datensätze aus
4294967296 Bytes (4,3 GB) kopiert, 21,0608 s, 204 MB/s
root@ucs:~# hdparm -tT --direct /dev/sda
/dev/sda:
Timing O_DIRECT cached reads: 1206 MB in 2.00 seconds = 602.09 MB/sec
Timing O_DIRECT disk reads: 798 MB in 3.01 seconds = 265.27 MB/sec
Platte 2: 4*2TB SAS-HDD im RAID10 (P410+512MB):
root@ucs:~# dd if=/dev/zero of=/srv/media/test bs=4M count=1024 oflag=dsync
1024+0 Datensätze ein
1024+0 Datensätze aus
4294967296 Bytes (4,3 GB) kopiert, 38,4378 s, 112 MB/s
root@ucs:~# hdparm -tT --direct /dev/sdb
/dev/sdb:
Timing O_DIRECT cached reads: 530 MB in 2.00 seconds = 264.57 MB/sec
Timing O_DIRECT disk reads: 788 MB in 3.01 seconds = 262.17 MB/sec
Bin gespannt...
