Jump to content
masterroot

Locky - Status bei Kaspersky

Recommended Posts

Hallo zusammen

 

Vielleicht bin ich nur ungeschickt mit suchen, aber ich habe nicht wirklich ein Statement von Kaspersky zu Locky (dem Krypto-Trojaner) gefunden.

 

Erkennt Kaspersky den? Wenn ja welche Versionen?

Gibts sonstige Tools / Empfehlungen für/gegen Locky?

 

Für Windows Fileserver Schutz hab ich was für euch (wenn externe Links soweit erlaubt sind)

https://www.frankysweb.de/windows-fileserve...cker-schuetzen/

 

lg

root

Share this post


Link to post
Vielleicht bin ich nur ungeschickt mit suchen, aber ich habe nicht wirklich ein Statement von Kaspersky zu Locky (dem Krypto-Trojaner) gefunden.

 

Erkennt Kaspersky den? Wenn ja welche Versionen?

Gibts sonstige Tools / Empfehlungen für/gegen Locky?

 

Für Windows Fileserver Schutz hab ich was für euch (wenn externe Links soweit erlaubt sind)

https://www.frankysweb.de/windows-fileserve...cker-schuetzen/

 

Hallo root,

 

warum sollte es zu Locky ein Statement geben?

 

Hier finden sich Virenbekämpfungs- und Decryptor- Tools (sofern verfügbar)

http://support.kaspersky.com/viruses/utility

http://support.kaspersky.com/de/viruses/utility

 

Zu Begin der Locky-Infektionen war Kaspersky einer der wenigen Scanner, der den Schadcode erkannt und geblockt hat, wie in einem Heise-Artikel zu lesen war:

https://www.virustotal.com/en/file/5e945c1d...sis/1455638481/

http://www.heise.de/security/meldung/Erpre...zu-3104069.html

 

Da sich Schadcode aber in der Regel sehr schnell verändert ist das nur eine Momentaufnahme.

 

Weitere Quellen mit Informationen zur Virenbekämpfung:

http://support.kaspersky.com/viruses/disinfection

http://support.kaspersky.com/viruses

 

Hier finden sich auch Anleitungen/Empfehlungen zu Cryptoware/Ransomware, z. B.:

http://support.kaspersky.com/viruses/common/10952

 

Daraus der weiterführende Link zu KES10:

http://support.kaspersky.com/10905

 

Und noch eine Info:

Kaspersky Security 10 für Windows Server (Bisher: Kaspersky Anti-Virus für Windows Server Enterprise Edition) ist als TR für Anfang März angekündigt, Commercial Release wird dann vermutlich 1-2 Wochen später sein: Dieses Produkt kommt mit einem Anti-Cryptor-Modul das auf dem Server freigegebene Ordner vor Verschlüsselung schützt.

Der Schutz schlägt an, nachdem 2 bis 3 Dateien verschlüsselt wurden, also sehr schnell.

Nachteil: die Funktion wird nur mit Advanced/Total bzw. Storage-Lizenzierung zur Verfügung stehen.

 

Grüße

Alex

 

 

Share this post


Link to post
Und noch eine Info:

Kaspersky Security 10 für Windows Server (Bisher: Kaspersky Anti-Virus für Windows Server Enterprise Edition) ist als TR für Anfang März angekündigt, Commercial Release wird dann vermutlich 1-2 Wochen später sein: Dieses Produkt kommt mit einem Anti-Cryptor-Modul das auf dem Server freigegebene Ordner vor Verschlüsselung schützt.

Der Schutz schlägt an, nachdem 2 bis 3 Dateien verschlüsselt wurden, also sehr schnell.

Nachteil: die Funktion wird nur mit Advanced/Total bzw. Storage-Lizenzierung zur Verfügung stehen.

 

Grüße

Alex

 

Bei meinem Chef hält sich hartnäckig die Meinung, dass die KES 10 auch für Server supi geeignet wäre. Gibts da schon mehr Infos was die KS 10 für Server für Vorteile gegenüber einer KES 10 auf Servern bietet?

Share this post


Link to post
Bei meinem Chef hält sich hartnäckig die Meinung, dass die KES 10 auch für Server supi geeignet wäre. Gibts da schon mehr Infos was die KS 10 für Server für Vorteile gegenüber einer KES 10 auf Servern bietet?

Hi,

 

klar - hier die Vorteile WSEE/KSWS vs KES auf einem Server:

 

* Support Windows Server Datacenter, Windows Server Core, Storage Server, Hyper-V Server - http://support.kaspersky.com/wsee8#requirements

* Support Terminal Server (Microsoft, Citrix Presentation Server/XenApp/XenDesktop) - http://support.kaspersky.com/wsee8#requirements

* Support Storages (EMC Celerra/VNX/Isilon, NetApp, Hitachi NAS, IBM NAS, Oracle ZFS, ICAP) - http://support.kaspersky.com/wsee8#requirements

* Support HSM Systeme

* Support von Clustern

* Möglichkeit zum Anpassen der verwendeten "Worker-Processes"

* KEIN Reboot nach dem Update - eins der wichtigsten Argumente

 

Das wären so die meisten Vorteile vom bisherigen WSEE vs KES. Nachteil aktuell kein KSN Support im WSEE integriert.

Mit dem Release des KSWS wird dieser aber auch KSN Support anbieten, sowie darüber hinaus Application Control und das Anti-Cryptor Modul um die Windows Shares gegen Ransomware zu schützen. Ebenfalls kommt eine komplette AD-Integration, die es erlaubt für einzelne Optionen des KSWS für bestimmte User/Gruppen frei zu geben (ähnlich RBAC).

 

Ansonsten gilt für das Topic das was alexcad geschrieben hat.

 

Gruß,

dawinci

Share this post


Link to post

Hallo

 

Ich häng mich da mal mit an, da es doch auch Locki bzw. generell Viren die Daten verschlüsseln betrifft.

 

Kann das neue Anti-Crypt Feature auch NetApp Laufwerksfreigaben überwachen/schützen?

 

MFG

Markus

Share this post


Link to post
Kann das neue Anti-Crypt Feature auch NetApp Laufwerksfreigaben überwachen/schützen?

Nein. Mit dem KSWS10 Release werden (bisher) nur Daten innerhalb lokaler Windows Shares auf dem "geschützten" Server gegen Verschlüsselung geschützt.

Warum? - Weil es leider keine Standardschnittstelle gibt, die den Einsatz der Technologie auch plattformübergreifend möglich machen könnte.

 

Dennoch sind wir in Kontakt mit verschiedenen Herstellern um ebenfalls die Integration in solche Systeme zu ermöglichen. Dies ist leider, nach aktuellem Stand, aber noch Zukunftsmusik.

Share this post


Link to post

Gibt es noch weitere Empfehlungen seitens Kaspersky besonders was den SChutz von Backups betrifft?

 

Die gesicherten Daten jeweils auf einem Medium aufzubewahren, das nicht am Netz hängt ist für viele Unternehmen denke ich nicht unbedingt machbar. Gibt es da noch andere Möglichkeiten?

Share this post


Link to post
Die gesicherten Daten jeweils auf einem Medium aufzubewahren, das nicht am Netz hängt ist für viele Unternehmen denke ich nicht unbedingt machbar.

 

Das ist jetzt nicht dein Ernst?

 

Das ist nicht nur "best practice", nur auf diese Art wird man den gesetzlichen Vorgaben gerecht. Bitte denkt daran: Für Vermögensschäden, die auf fahrlässiges Verhalten z. B. bzgl. Virenschutz und Backup beruhen zahlt keine Versicherung und die Geschäftsleitung/-Führung ist in vollem Umfang privat haftbar. Da hilft auch keine GmbH oder dergleichen. Und GF/GL wird das immer auf den Admin abwälzen.

 

Eine rechtskonforme Datensicherung ist ja jetzt auch nicht so schwer. Externe Festplatte oder Bandsicherung und immer mind. ein Satz in einem Datenschutzsafe oder außer Haus.

 

Grüße

Alex

Share this post


Link to post

Hi

 

Danke für die Antwort.

 

Bei VirusTotal steht nur, Kaspersky erkennts.

Gilt das nur für die KES10 ?

Haben noch KES 8.1.0.1042 bzw. WSEE 8.0.2.213 im Einsatz, und wollte wissen, ob ich da auf der sicheren Seite bin.

 

Danke

Share this post


Link to post
Hi

 

Danke für die Antwort.

 

Bei VirusTotal steht nur, Kaspersky erkennts.

Gilt das nur für die KES10 ?

Haben noch KES 8.1.0.1042 bzw. WSEE 8.0.2.213 im Einsatz, und wollte wissen, ob ich da auf der sicheren Seite bin.

 

Danke

 

Leider kann ich dir nicht sagen welche Scan-Engine bei VirusTotal eingesetzt wird. Aber wie schon geschrieben: "Da sich Schadcode aber in der Regel sehr schnell verändert ist das nur eine Momentaufnahme."

So erfolgte am Anfang die Verteilung über infizierte Word-Dokumenten, inzwischen wohl über Javascripte, s. http://www.heise.de/security/meldung/Neue-...et-3113689.html

Wie sich am übermittelten Link in der Tabelle von VirusTotal erkennen lässt, hat ja aber auch der proaktive Schutz (Aktivitätsmonitor) angeschlagen. Locky wurde also nicht anhand der Signaturen erkannt.

 

Resümee: es gibt leider keine sichere Seite. Als Admin kann man nur sein Bestes geben: Systeme Patchen bzw. Sicherheitslücken schließen, User sensibilisieren (Schwerstarbeit), für Backup und guten Virenschutz sorgen, ...

 

Grüße

Alex

Share this post


Link to post

Hi,

 

ich vermute mal dass generell die Virenscanner mit sowas wie Locky Probleme haben. Der gute Locky kommt überwiegend über infizierte Word oder Excel Dateien daher. In diesen Dateien befindet sich aber so gesehen kein Schadcode, sondern eine Makro (vbs Script) mit einem Aufruf diverse exe Dateien (z.B. fail.exe) aus dem Internet zu laden.

Diese bringen dann das übel zum laufen. Hat man kein Internet oder zumindest keine Berechtigung um ausführbare Dateien herunter zu laden wird es für Locky schon schwerer. Wird halt am Gateway in den meisten Unternehmen nicht konsequent durchgeführt. So sind zumindest meine Erfahrungen...

 

Man könnte z.B. mit dem Kaspersky Secure Mailgateway Emails mit Word,Excel Dateien oder ausführbare Dateien direkt blocken. Dann bekommt der User gar nicht die Möglichkeit die infizierte Datei zu öffnen weil sie bereits vor dem Mailserver angefangen werden.

 

Gruß,

Penny

 

 

 

 

 

Share this post


Link to post

Hallo zusammen,

 

der Locky macht auch uns große Sorgen.

Wir habe derzeit "einen" mutmaßlichen Fall. Dieser wird gerade genauer analysiert - da handelt es sich vermutlich um einen der älteren Locky Versionen.

Der Schaden ist glücklicherweise nur auf den Arbeitsplatzrechner begrenzt.

 

Diesbezüglich kam dann ein neunmalkluger Kollege ums Eck geschissen und meine dass die von uns eingesetzte KES 10

Version doch folgendes können müsste:

 

Der KES Client soll nach *.locky Dateien suchen und dann bei einem Fund sofort eine Meldung schicken.

Klingt auf den ersten Blick ja nicht doof, aber ich ha keinen Schimmer wie das von statten gehen soll.

Habe mir mal die Richtlinien angeschaut.

 

Die einzelnen Features der Arbeitsplatz-Pberwachung (Programmkontrolle) wurde nicht mitinstalliert, weil die Nutzung nie vorgesehen war (obowhl ich draufhingewiesen habe).

Jetzt könnte sich diese Beschränktheit rechen...Ist Euch bekannt, ob so etwas möglich ist - sprich eine Meldung wenn der KES Client auf einen *.locky Datei trifft....

 

Danke schon mal.

 

VG

Thorsten

Share this post


Link to post
...der Locky macht auch uns große Sorgen.

Wir habe derzeit "einen" mutmaßlichen Fall. Dieser wird gerade genauer analysiert - da handelt es sich vermutlich um einen der älteren Locky Versionen.

Der Schaden ist glücklicherweise nur auf den Arbeitsplatzrechner begrenzt.

 

Diesbezüglich kam dann ein neunmalkluger Kollege ums Eck geschissen und meine dass die von uns eingesetzte KES 10

Version doch folgendes können müsste:

 

Der KES Client soll nach *.locky Dateien suchen und dann bei einem Fund sofort eine Meldung schicken.

Klingt auf den ersten Blick ja nicht doof, aber ich ha keinen Schimmer wie das von statten gehen soll.

Habe mir mal die Richtlinien angeschaut.

 

Die einzelnen Features der Arbeitsplatz-Pberwachung (Programmkontrolle) wurde nicht mitinstalliert, weil die Nutzung nie vorgesehen war (obowhl ich draufhingewiesen habe).

Jetzt könnte sich diese Beschränktheit rechen...Ist Euch bekannt, ob so etwas möglich ist - sprich eine Meldung wenn der KES Client auf einen *.locky Datei trifft....

 

Hallo Thorsten,

 

ganz ehrlich: das ist meiner Meinung nach eine völlig sinnfreie Idee. Schadcode verändert sich permanent und Locky ist nur einer von zig Verschlüsselungstrojanern. Du müsstest hunderte Datei-Endungen überwachen - und wärst für zukünftige Bedrohungen erst nicht gerüstet.

 

Mir fällt auch keine Möglichkeit ein, das mit KES zu realisieren. Wäre das, was im verlinkten Artikel im ersten Beitrag von root für den Microsoft-Fileserver beschrieben wird.

Ein sehr wirksames Modul von KES ist hier sicher die Aktivitätskontrolle für Programme. Ihr solltet schauen, dass ihr diese Funktion (und auch die anderen Module) an den Start bekommt.

 

Grüße

Alex

Edited by alexcad

Share this post


Link to post

Hi,

 

korrigiert mich wenn ich falsch liege, aber wenn auf dem System .locky Dateien vorhanden sind, ist es dann nicht schon zu spät?

Das sind doch dann meine Daten die verschlüsselt wurden.

 

Die Funde die wir untersucht haben, kamen über Makros z.B. Word oder Excel Dateien. Hier wird ein VBScript ausgeführt und eine fail.exe heruntergeladen von gehackten Servern.

Mittlerweile sind wohl auch Javascripte unterwegs wie alexcad schon beschrieben hat.

 

Die Programmkontrolle kann aber gegen Ransomeware helfen. Kaspersky hat das schon vor längerem hier beschrieben:

 

http://support.kaspersky.com/de/10905#block2

 

 

 

 

 

 

 

Share this post


Link to post

Hallo,

 

hat jemand bereits erfahrung mit der Programmkontrolle?

Bekannte Stolpersteine oder Fehler?

 

Wie viel Aufwand ist das ca. vorallem auf langer Sicht gesehen?

Share this post


Link to post
Das ist jetzt nicht dein Ernst?

 

Das ist nicht nur "best practice", nur auf diese Art wird man den gesetzlichen Vorgaben gerecht. Bitte denkt daran: Für Vermögensschäden, die auf fahrlässiges Verhalten z. B. bzgl. Virenschutz und Backup beruhen zahlt keine Versicherung und die Geschäftsleitung/-Führung ist in vollem Umfang privat haftbar. Da hilft auch keine GmbH oder dergleichen. Und GF/GL wird das immer auf den Admin abwälzen.

 

Eine rechtskonforme Datensicherung ist ja jetzt auch nicht so schwer. Externe Festplatte oder Bandsicherung und immer mind. ein Satz in einem Datenschutzsafe oder außer Haus.

 

Grüße

Alex

 

Doch ist es. Da Backup nicht meinem Herrschaftsfeld unterliegt und rechtskonform hier sowieso ein Fremdwort ist. Genau wie ein Datenschutzsafe oder "Best Practice". Hier werden STandardeinstellungen als best practice verstanden. Wenn du die Begebenheiten hier kennen würdest, würde es dich wohl vom Stuhl hauen was alles so falsch gemacht werden kann. Deshalb frag ich auch. Und zwar im vollen Ernst.

Share this post


Link to post
Doch ist es. Da Backup nicht meinem Herrschaftsfeld unterliegt und rechtskonform hier sowieso ein Fremdwort ist. Genau wie ein Datenschutzsafe oder "Best Practice". Hier werden STandardeinstellungen als best practice verstanden.

Deshalb frag ich auch. Und zwar im vollen Ernst.

 

Ich hoffe, mein Statement kam nicht zu schroff rüber - war nicht so gemeint.

 

Wird auf Band gesichert? Darauf haben Verschlüsselungstrojaner ja keinen Zugriff. Zumindest bisher gab es noch keinen, der das versucht hätte - und ist auch eher unwahrscheinlich, dass es noch kommt.

 

Bei Sicherung auf externe Platten wäre auch hier die "Aktivitätskontrolle für Programme" eine gute Schutzmöglichkeit, s. http://support.kaspersky.com/10905

wie schon in Beitrag #2 und von Penny gepostet.

 

Die rechtlichen Aspekte betreffen natürlich in diesem Fall Deutschland. Hier ist es aber tatsächlich so wie beschrieben: die Verantwortlichen sind voll haftbar, Haftungsbegrenzungen durch eventl. Gesellschaftsformen greifen hier nicht.

Und die Geschäftsführung wird sich immer darauf berufen, dass hier der IT-Abteilung vertraut wurde.

 

Als Admin steht man immer mit einem Fuß im Gefängnis :ai:

 

Grüße

Alex

Edited by alexcad

Share this post


Link to post

Inzwischen wurde der Webcast zur Produkt-Vorstellung von "Kaspersky Security 10 for Windows Server" (ehemaliger WSEE8) online gestellt:

 

Schaut auch das an, ist echt beeindruckend. Auch das Anti-Cryptor-Modul wird sehr anschaulich präsentiert. Commercial Release dauert aber noch ein paar Tage.

 

Grüße

Alex

Edited by alexcad

Share this post


Link to post

Ich hatte das Vergnügen, mir das Ganze Live auf der CeBit anzuschauen. Es macht einen wirklich guten Eindruck. Bleibt zu hoffen, dass das Commercial Release schnellstmöglich folgt... ;)

Share this post


Link to post

Anscheinend überwacht das Anti-Cryptor-Modul aber nur Verschlüsselungen über Netzwerkverbindungen: https://forum.kaspersky.com/index.php?showtopic=342632

 

Also werden damit nur Clients vom Server ausgesperrt, die versuchen Dateien auf Netzlaufwerken/freigaben zu verschlüsseln.

 

Lokale Verschlüsselungsprozesse werden dann nicht unterbrochen - für unseren Fileserver ok da sich dort außer mir keine User lokal einloggen, aber für RDP/Terminal-Server kein ausreichender Schutz.

Edited by fubbi

Share this post


Link to post
Lokale Verschlüsselungsprozesse werden dann nicht unterbrochen - für unseren Fileserver ok da sich dort außer mir keine User lokal einloggen, aber für RDP/Terminal-Server kein ausreichender Schutz.

 

Das lässt sich aber mit der ebenfalls neuen "Applications Launch Control" (Kontrolle des Programmstarts) gut fassen. Schau dir mal den Webcast an, s. o.

Mit dem Test-Modus und dem automatischen Regelgenerator per Aufgabe lässt sich das ideal für TS einsetzen.

 

Grüße

Alex

Share this post


Link to post

Seit Montag ist die TR von "Kaspersky Security 10 for Windows Server" verfügbar - bis zur Commercial Release kann es also nicht mehr lange dauern.

 

Grüße

Alex

 

Share this post


Link to post

Auf dem FTP-Server liegt sie schon seit gestern... Ich weis aber nicht, ob dass bereits das Commercial Release ist. :unsure:

Share this post


Link to post
Auf dem FTP-Server liegt sie schon seit gestern... Ich weis aber nicht, ob dass bereits das Commercial Release ist. :unsure:

 

Laut meiner Info ist das die TR. Hat mich auch gewundert, dass die auf einem öffentlich zugänglichen FTP liegt.

Allerdings soll seit heute die CR zur Verfügung stehen. Ich denke, wir können davon ausgehen, dass es sich bei der Version auf dem FTP-Server bereits um die finale Version handelt.

 

http://products.kaspersky-labs.com/english...renterprise10.0

http://products.kaspersky-labs.com/russian...renterprise10.0

http://products.kaspersky-labs.com/german/...renterprise10.0

http://products.kaspersky-labs.com/french/...renterprise10.0

 

 

Grüße

Alex

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.