Fileserver vor Locky, Teslacrypt und Co schützen

Wie jedem Admin bekannt sein sollte kursieren mittlerweile einige Verschlüsselungstrojaner, die bei Ausführung bestimmte Dateien verschlüsseln. Ist der Trojaner erst einmal ausgeführt, so wird der Benutzer damit erpresst einen bestimmten Geldbetrag zu bezahlen, um den Entschlüsselungskey zu bekommen. Für Unternehmen kann dies kritisch werden, wenn durch ein Versehen eines Benutzers auf einmal der gesamte Fileserver verschlüsselt ist. Aufgabe der Admins ist es deshalb hier vorzusorgen bzw. Abhilfe zu schaffen, damit dieser Status nicht eintreten wird.

Wie kann man das erreichen?

a) Sensibilisierung der Benutzer, suspekte E-Mails nicht zu öffnen bzw. nicht auf deren Anhänge oder Links zu klicken
 
b) Überprüfung der Virenscanner auf aktuelle Signaturen
 
c) Pflege des Antispam-Systems, damit suspekte E-Mails nicht beim Benutzer landen, bzw. E-Mails mit Office-Makrodokumenten blockieren/in Quarantäne packen
 
d) Überprüfen der Einstellungen der Makrosicherheit in Office-Produkten
 
e) Zugriff der Benutzer auf Fileserver mit Berechtigungen einschränken, dadurch können nur zugreifbare Dateien verändert werden
 
f) Benutzern keine Adminrechte auf den Systemen geben
 
g) Einsatz von aktueller Software, wie z.B. Browser oder Office-Produkten die Schutzmechanismen besitzen, wie z.B. Smartscreen-Filter oder Sandboxing
 
h) Überprüfen der Funktion der Datensicherung/Schattenkopien
 

 

Einer der größten Fehler ist es im schlimmsten Fall die Schuld auf den Benutzer zu schieben, vorher sollte man sich überlegen, ob man als Admin einen guten Job gemacht und wirklich alles versucht hat, um die Ausführung des Trojaners zu verhindern. Wichtigster Punkt aus obiger Liste ist für mich aber Punkt a, denn dieser ist letztendlich entscheidend, ob der Benutzer den Link bzw. den Anhang öffnet. Ein Antivirussystem oder eine Filterliste sind nur so gut, wie diese auch gepflegt wird und diese arbeiten nach match oder nicht-match. Ein Mensch kann allerdings zweifeln, ob es sich bei dieser E-Mail um Spam/Malware handelt.

Wie es einem in Leben eines Admins so geht, kommt dann doch irgendwann der Anruf mit der Nachricht: “Ich habe hier eine Meldung die mich auffordert Geld zu überweisen, damit ich an meine Dateien komme. Was soll ich tun?” In diesem Fall den Benutzer sofort anweisen den Stromstecker des Rechners zu ziehen. Den der Trojaner ist jetzt bereits an der Arbeit und verschlüsselt im Kontext des Benutzers fröhlich jede Datei die er zwischen die Finger bekommt und auf die dieser Rechte besitzt. Jetzt kann man als Admin nur hoffen, dass die Datensicherung auch funktioniert, denn eine einfache Entschlüsselung gibt es nicht, außer Geld für die Entschlüsselung zu bezahlen.

Nachdem ich meinen ersten Fall live miterleben durfte, bei dem zum Glück nicht viele Dateien davon betroffen waren und die Wiederherstellung dank Schattenkopien möglich war, habe ich mir ausführlicher Gedanken darüber gemacht. Es war zum Glück nicht mein Netzwerk, aber trotzdem schreckt einen dies ab. Der Ansatz meiner Gedanken war es zu verhindern, dass der Trojaner die Dateien verändern kann. Schaut man sich die Vorgehensweise der Trojaner an, so wird die Datei verschlüsselt z.B. mit der Dateiendung .encrypted oder .locky abgespeichert. Dies muss man doch irgendwie abfangen können? Nach etwas Überlegen bin ich dann schließlich auf eine Möglichkeit gestoßen 🙂

Windows Server beinhaltet des Ressourcen-Manager für Dateiserver, über den man z.B. Quotas festlegen kann oder sich eine Auswertung über die Speichernutzung geben lassen kann. Ein weiterer Punkt ist die Dateiprüfungsverwaltung, durch die festgelegt werden kann, welche Dateien auf einem Fileserver abgelegt werden dürfen, um so z.B. zu verhindern, dass ein Benutzer seine private MP3-Sammlung auf dem Server ablegt. Diese Funktion kann man sich zu nutze machen, um den Trojaner daran zu hindern seine verschlüsselte Datei auf dem Server abzulegen. Was muss ich dazu tun?

Zunächst muss die Rollenfunktion Ressourcen-Manager für Dateiserver installiert werden. Dies kann man über den Assistenten im Servermanager oder per Powershell erledigen.Ist die Rollenfunktion installiert, so findet man diese unter Systemsteuerung->Verwaltung auf dem Server.

cryptofile1
Unter dem Konten Dateiprüfungsverwaltung findet man die drei Punkte Dateiprüfung, Dateiprüfungsvorlagen und Dateigruppen. Zunächst benötigt man eine Dateigruppe, in der man alle Dateiendungen hinterlegt, die man verweigern möchte. Dazu den Knoten Dateigruppen auswählen und rechts im Aktionsbereich die Aufgabe Dateigruppe erstellen auswählen.

cryptofile2

Zunächst muss der Dateigruppen ein Name vergeben werden und danach unter den Einzuschließenden Dateien die Dateiendungen hinzugefügt werden, welche verhindert werden sollen. Ist die Dateigruppe erstellt, so kann zum nächsten Schritt übergegangen werden und die Dateigruppe in einer Dateiprüfungsvorlage zu hinterlegen. Dazu den Knoten Dateiprüfungsvorlagen auswählen und aus dem Aktionsbereich die Aufgabe Dateiprüfungsvorlage erstellen ausführen.

cryptofile3

Der Vorlage einen Namen vergeben, damit diese eindeutig zu identifizieren ist und unter Dateigruppen die soeben erstellte Dateigruppe Malware auswählen. Unter der Option Prüfungstyp kann man festlegen, wie die Überprüfung auf unerwünschte Dateien funktionieren soll. Man hat hier die Möglichkeit zwischen Aktiv und Passiv zu wählen. Damit der Trojaner keine Chance hat die verschlüsselten Dateien zu erstellen muss hier die Option Aktiv gewählt werden, denn diese Verhindert, dass die Datei auf dem Fileserver erstellt werden kann. Passiv würde hier z.B. nur informativ ins Ereignisprotokoll schreiben. Eine gute Idee ist es z.B. den Admin beim Auftreten eines solchen Ereignisses per E-Mail zu benachrichtigen, dies kann ebenfalls in der Vorlage hinterlegt werden. Auf diesen Schritt möchte ich hier aber nicht tiefer eingehen. Sobald die Vorlage erstellt ist, kann diese für die Überwachung aktiviert werden. Dazu links den Knoten Dateiprüfungen auswählen und unter Aktionen auf die Aufgabe Dateiprüfung erstellen klicken. Dadurch wird eine neue Überwachung für den Fileserver erstellt.

cryptofile4

Zunächst muss unter Dateiprüfungspfad der Pfad auf dem Fileserver angegeben werden, welcher überwacht werden soll. In diesem Beispiel ist es der Pfad D:\Daten, wodurch auch die darunterliegenden Ordner geschützt werden. Die vorhin erstellte Vorlage muss unter Eigenschaften aus dieser Dateiprüfungsvorlage übernehmen ausgewählt werden. Nach Anlage der Dateiprüfung ist die Überwachung aktiv und verhindert somit die Erstellung von Dateien mit den hinterlegten Dateiendungen. Sollten zu einem späteren Zeitpunkt weitere Dateiendungen hinzukommen, so müssen diese nur der Dateigruppe hinzugefügt werden.

Versucht nun der Trojaner die Dateien verschlüsselt abzuspeichern, so wird dies durch die Dateiprüfung auf dem Fileserver verhindert. Testen kann man dies ganz einfach, indem man eine Datei erstellt und versucht diese in Texdokument.txt.locky umzubenennen. Man erhält dann folgende Fehlermeldung:

cryptofile5

Diese Methode ist natürlich keine Wunderwaffe oder ein Allheilmittel gegen Cryptotrojaner, aber kann in der Reihe der Abwehrmachanismen ein weiteres Glied darstellen. Wie vorhin schon erwähnt ist der wichtigste Punkt die Sensibilisierung der Benutzer.

 

 

leave your comment

Sicherheitsabfrage: * Time limit is exhausted. Please reload CAPTCHA.