Zurück   Trojaner-Board > Malware entfernen > Überwachung, Datenschutz und Spam

Überwachung, Datenschutz und Spam: Vorgehen von Trojaner Petya

Windows 7 Fragen zu Verschlüsselung, Spam, Datenschutz & co. sind hier erwünscht. Hier geht es um Abwehr von Keyloggern oder aderen Spionagesoftware wie Spyware und Adware. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen.

Antwort
Alt 03.07.2017, 18:01   #1
LinuxerHF
 
Vorgehen von Trojaner Petya - Standard

Vorgehen von Trojaner Petya



Hallo,

wie geht z.B. der Petya Trojaner beim verschlüsseln vor? Ich habe einen Linux Server auf dem der Samba Dienst läuft.
Meine Client Rechner sind alle auf Linux.

Dennoch kann es vorkommen das ich mal einen Windows Rechner im Netzwerk habe.
Klar ich kann diesen Abschotten keine Freigabe geben usw. Aber das Spielt jetzt keine Rolle.

Gehen wir mal davon aus das der Windows Rechner eine Freigabe auf das Samba Laufwerk hat und er sich mit z.B. Petya infiziert hat.

Wie geht Petya vor... Fängt er oben in der Verzeichnisstruktur an? Nimmt sich die erste Datei z.B. aaaaaa.doc sind auch versteckte Dateien betroffen?

Ich frage das weil ich habe eine Idee wie man den Schaden gering halten könnte. Mit Linux ist es möglich das Dateisystem zu überwachen ob z.B. eine bestimmte Datei verändert, verschoben usw. wird.

Man könnte dann eine Datei .aaaaa,doc anlegen und diese überwachen. Sollte diese Datei verändert werden wird der Samba Dienst sofort gestoppt und das betroffene Laufwerk per unmount ausgehängt.

Damit hätte der verseuchte Rechner keine Chance mehr die anderen Datei zu verschlüsseln.
Das würde aber nur Sinn ergeben oder besser gesagt funktionieren wenn der Trojaner chronologisch vorgeht.

Alt 04.07.2017, 00:51   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vorgehen von Trojaner Petya - Standard

Vorgehen von Trojaner Petya



Lies mal --> http://www.trojaner-board.de/186075-...enfassung.html


Zitat:
Wie geht Petya vor... Fängt er oben in der Verzeichnisstruktur an? Nimmt sich die erste Datei z.B. aaaaaa.doc sind auch versteckte Dateien betroffen?
Das ist eigentlich irrelevant...denn wichtig zu wissen ist eigentlich nur, dass Kryptotrojaner auch auf SMB-Freigaben losgehen. Wenn ein Windows-Opfer Schreibrechte auf deine sambashares hat, kann es natürlich alle Dateien in diesem share verschlüsseln (bei notpetya ist es eher einer Vernichtung!)

Zitat:
Damit hätte der verseuchte Rechner keine Chance mehr die anderen Datei zu verschlüsseln.
Bis der nächste verschlüsselungstrojaner sich irgendwie anders verhält und die Überwachung nicht mehr greift.

Warum machst du nicht einfach regelmäßig Backups deiner wichtigen Daten? Das musst du doch eh schoin tun für den Fall das Festplatten ausfallen oder man sonst irgendwie versehentlich was löscht.


Es ist im Moment kein wirkliches Kraut gegen diese Krypto-Trojaner gewachsen. Es gibt nur Maßnahmen, um das ganze ein wenig zu erschweren. Microsoft arbeitet zB an einem ransomware Schutz. Der ist anscheinend noch in einer beta Phase und dementsrepchend unzuverlässig. Du kannst auch sowas wie Emsisoft auf allen Windows-Kisten installieren, kostet aber Geld und etwas Zeit bzw Administrationsaufwand. Emsi bietet aber für Windows guten Schutz gegen Krypto-Trojaner mit seinem Verhaltensscanner.

Es wird auch empfohlen, dass uralte SMB1 abzustellen. Wie das geht hab ich da in dem verlinkten Thema gepostet.

EInen Windows-Fileserver hast du nicht oder? Mit dem könnte man den Schaden begrenzen, indem man Schattenkopien aktiviert. Und natürlich zusätzlich regelmäßig Backups macht.

Wieviel Aufwand und Hirnschmalz du da reinstecken willst und musst ist natürlichauch abhängig davon wie wichtig diese ganze Umgebung ist.
__________________

__________________

Alt 04.07.2017, 16:53   #3
LinuxerHF
 
Vorgehen von Trojaner Petya - Standard

Vorgehen von Trojaner Petya



Zitat:
Bis der nächste verschlüsselungstrojaner sich irgendwie anders verhält und die Überwachung nicht mehr greift.
Aber alle greifen auf die Dateien zu und verändern Sie... Also würde die Überwachung immer greifen.


Zitat:
Warum machst du nicht einfach regelmäßig Backups deiner wichtigen Daten? Das musst du doch eh schoin tun für den Fall das Festplatten ausfallen oder man sonst irgendwie versehentlich was löscht.
Ich habe Backups.

Täglich, Wöchentlich und Monatlich automatisch laufen und getrennt voneinander.
Die Clients haben keine Chance an die Backup Daten zu kommen.

Zitat:
Es wird auch empfohlen, dass uralte SMB1 abzustellen.
Habe ich bereits abgeschalten

Zitat:
EInen Windows-Fileserver hast du nicht oder? Mit dem könnte man den Schaden begrenzen, indem man Schattenkopien aktiviert.
Windows-Fileserver - NIE UND NIMMER IN MEINEM HAUS.
Ich habe den Linux Server und dort mache ich Backups per rsnapshot damit lege ich auf verschiedene Versionen der veränderten Dateien an.

Ich habe die Überwachung mal aktiviert und getestet. Sobald die Datei .aaaaaaa.doc auch nur berührt wird der Samba Dienst sofort gestoppt.

Mit Linux ist das ja kein besonderer Aufwand und zusätzliche Software braucht man auch nicht kaufen.
__________________

Alt 04.07.2017, 18:09   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vorgehen von Trojaner Petya - Standard

Vorgehen von Trojaner Petya



Naja dann kannst du eigentlich nicht mehr viel verbessern. Vllt noch eins: Windows-Kisten dürfen nur in ein Gastnetz, wer auf die Files zugreifen will muss Linux verwenden

Mit der Überwachung meinte ich: die überwachst jetzt auf ein bestimmtes Muster. Was machst du wenn neue Krypto-Trojaner sich anders verhalten und andere Dateinamen verwenden?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 04.07.2017, 18:09   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vorgehen von Trojaner Petya - Standard

Vorgehen von Trojaner Petya



Naja dann kannst du eigentlich nicht mehr viel verbessern. Vllt noch eins: Windows-Kisten dürfen nur in ein Gastnetz, wer auf die Files zugreifen will muss Linux verwenden

Mit der Überwachung meinte ich: die überwachst jetzt auf ein bestimmtes Muster. Was machst du wenn neue Krypto-Trojaner sich anders verhalten und andere Dateinamen verwenden?

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 04.07.2017, 19:28   #6
LinuxerHF
 
Vorgehen von Trojaner Petya - Standard

Vorgehen von Trojaner Petya



Zitat:
Mit der Überwachung meinte ich: die überwachst jetzt auf ein bestimmtes Muster. Was machst du wenn neue Krypto-Trojaner sich anders verhalten und andere Dateinamen verwenden?
Das hast du falsch verstanden. Ich überwache nicht auf eine bestimmtes Muster.
Ich prüfe ob eine "Köder-Datei" die ich selber NIE anfassen muss und werde verändert wird.
Die Veränderung kann sein umbenennen, überschreiben, verschieben was auch immer sein.

Dann stoppt der Samba Dienst.

Alt 04.07.2017, 21:32   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vorgehen von Trojaner Petya - Standard

Vorgehen von Trojaner Petya



Genau das meine ich doch. Woher willst du wissen, dass dein ausgedachter Köder als erstes vom ransom "gefressen" wird? Das vllt von einer bestimmten Variante aber bei späteren ransoms werden erst andere Dateien angegangen...

Dein "Muster" heißt ja sinngemäß "wenn aaaaa.doc verändert wird, dann mach ein systemctl stop smbd" und wie gesagt, ich bin der Meinung, dass dieses Muster irgendwann nicht mehr wirksam sein wird.

Du müsstest deine Bedingung dafür, dass smbd beendet werden soll ständig anpassen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.07.2017, 07:15   #8
Ghost1975
 
Vorgehen von Trojaner Petya - Standard

Vorgehen von Trojaner Petya



Petya und Goldeneye Schlüssel veröffentlicht..

wird wohl nicht mehr lange Dauern bis die ersten Tools zum Entschlüsseln da sind

Alt 11.07.2017, 09:34   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vorgehen von Trojaner Petya - Standard

Vorgehen von Trojaner Petya



Zitat:
Zitat von Ghost1975 Beitrag anzeigen
Petya und Goldeneye Schlüssel veröffentlicht..

wird wohl nicht mehr lange Dauern bis die ersten Tools zum Entschlüsseln da sind
Ist ja schön. Für Firmen ist das aber keine Option zu hoffen, dass es irgendwann Masterschlüssel gibt. Selbst wenn sicher ist, dass die irgendwann die Master-Keys veröffentlichen, keine Firma kann lang auf ihre Daten verzichten
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.07.2017, 18:18   #10
Darklord666
 
Vorgehen von Trojaner Petya - Standard

Vorgehen von Trojaner Petya



Petya hat ja nicht nur Firmen betroffen und die meisten größeren Firmen machen ja auch regelmäßig tägliche Backups. Gekniffen ist oft der kleine oder mittlere Betrieb der am falschen Ende gespart hat bzw. die IT-Sicherheit nicht ernst genug nimmt.

Alt 12.07.2017, 00:56   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vorgehen von Trojaner Petya - Standard

Vorgehen von Trojaner Petya



Jeder ohne vernünftiges Backupkonzept war gekniffen. Das hatte große Firmen oder Krankenhäuser nicht ausgeschlossen.

Am besten die Politiker machen jetzt ein Gesetz, das Verschlüsselung und Löschungen unter Strafe stellt, Todesstrafe durch Vierteilung, dann ist das Thema durch
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 12.07.2017, 09:32   #12
Nyte
 
Vorgehen von Trojaner Petya - Standard

Vorgehen von Trojaner Petya



Kann man nicht, analog zur Vorratsdatenspeicherung, ein Zwangsbackup durch den Bundestrojaner beim jeweiligen ISP durchsetzen? Wäre doch 'ne Win-Win Situation.
__________________
Cheers,
Nyte

Coffee junkie and Blogger with a good sense of humor.

Alt 12.07.2017, 11:00   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vorgehen von Trojaner Petya - Standard

Vorgehen von Trojaner Petya



Dann müssten aber auch Firewalls verboten und globale Dateifreigaben auf das gesamte Dateisystem eines jedes Rechners zur Pflicht werden
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 12.07.2017, 17:10   #14
Darklord666
 
Vorgehen von Trojaner Petya - Standard

Vorgehen von Trojaner Petya



Zitat:
Zitat von cosinus Beitrag anzeigen
Jeder ohne vernünftiges Backupkonzept war gekniffen. Das hatte große Firmen oder Krankenhäuser nicht ausgeschlossen.
Deshalb habe ich auch geschrieben "die meisten".

Zitat:
Zitat von cosinus Beitrag anzeigen
Am besten die Politiker machen jetzt ein Gesetz, das Verschlüsselung und Löschungen unter Strafe stellt, Todesstrafe durch Vierteilung, dann ist das Thema durch
Na ja oder man macht es endlich VERBINDLICH für die freie Wirtschaft und nicht immer freiwillig, dass sie ihre Systeme und die der Kunden schützen müssen. Mit hohen Strafen bei Nichteinhaltung und klarer Regelung der Haftungsfrage. Sowas kommt aber NIE mit der Union oder FDP.

Die Unternehmen investieren erst dann in Sicherheit, wenn man ihnen die Pistole auf die Brust setzt. Wenn sie nach dem GAU pleite sind, dann können sie ja nicht mehr investieren.

Antwort

Themen zu Vorgehen von Trojaner Petya
anderen, besser, bestimmte, client, datei, dateien, dienst, frage, funktionieren, fängt, gestoppt, infiziert, laufwerk, linux, netzwerk, rechner, server, spiel, trojaner, verschlüsseln, verschoben, versteckte, versteckte dateien, verändert, windows



Ähnliche Themen: Vorgehen von Trojaner Petya


  1. Neues Mist Ding, Ransomware Petya verschlüsselt die Festplatte
    Diskussionsforum - 13.04.2016 (26)
  2. Erpressungs-Trojaner Petya geknackt, Passwort-Generator veröffentlicht
    Nachrichten - 11.04.2016 (0)
  3. Erpressungs-Trojaner Petya: Neue Infektionswelle rollt an, Verschlüsselung bisher nicht knackbar
    Nachrichten - 01.04.2016 (0)
  4. Abmahnung nach Petya
    Plagegeister aller Art und deren Bekämpfung - 30.03.2016 (5)
  5. Petya: Den Erpressungs-Trojaner stoppen, bevor er die Festplatten verschlüsselt
    Nachrichten - 29.03.2016 (0)
  6. Erpressungs-Trojaner Petya riegelt den gesamten Rechner ab
    Nachrichten - 24.03.2016 (0)
  7. Neuer Postbank Trojaner. Wie muss ich vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 14.11.2014 (31)
  8. BKA Trojaner blockiert meinen Computer - Vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 17.02.2014 (3)
  9. Trojaner Bundespolizei, wie muss ich vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 23.06.2013 (19)
  10. GVU-Trojaner: PC wieder entsperrt, weiteres Vorgehen?
    Log-Analyse und Auswertung - 20.04.2013 (13)
  11. Welches Vorgehen nach BKA Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 21.11.2012 (13)
  12. AKM Trojaner hat mich erwischt, wie vorgehen?
    Log-Analyse und Auswertung - 23.07.2012 (3)
  13. Vorgehen beim Verschlüsselungs-Trojaner ?
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (1)
  14. Vorgehen beim Verschlüsselungs-Trojaner - Bitte um Hilfestellung
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (6)
  15. BKA-Trojaner: Wie vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 25.04.2012 (13)
  16. BKa Trojaner eigefangen,wie soll ich vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 02.02.2012 (7)
  17. Vorgehen bei Tan-Trojaner (TR/Hiloti ?)
    Plagegeister aller Art und deren Bekämpfung - 13.05.2011 (31)

Zum Thema Vorgehen von Trojaner Petya - Hallo, wie geht z.B. der Petya Trojaner beim verschlüsseln vor? Ich habe einen Linux Server auf dem der Samba Dienst läuft. Meine Client Rechner sind alle auf Linux. Dennoch kann - Vorgehen von Trojaner Petya...
Archiv
Du betrachtest: Vorgehen von Trojaner Petya auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.