1 / 22 RBSrv_noRansomware | Version 1.0
Besuchen Sie uns im Internet unter
http://www.vobs.at/rb © 2016 Schulmediencenter des Landes Vorarlberg
IT-Regionalbetreuer des Landes Vorarlberg
Autor: Erich Vonach
6900 Bregenz, Römerstraße 15
Alle Rechte vorbehalten
RBSrv_noRansomware
Vorbemerkungen Die hier gewählte Vorgangsweise stellt keinen 100%igen Schutz vor Ransomwarangriffen dar, da sich
die Angriffs-Varianten sehr rasch ändern.
Sollte also ein Crypto-Trojaner (Erpressungs-Trokaner) seinen Weg ins Schulnetz gefunden haben, so
empfiehlt sich die im Anhang zu findende Vorgangsweise “Leider doch erwischt”
To Do halbautomatisch Funktioniert auf allen Standardschulservern ab Windows 2008 (R2).
Kopie des heruntergeladenen Paketes (RBSrv_noRansomware.zip) nach beispielsweise C:\Temp
auf den Server.
Entpacken der Datei
Ausführen der Datei copy_Ransomware.bat
o Welche Änderungen am System vorgenommen werden, kann im Kapitel Kampf der
Ransomware – „Ich lass mich ungern erpressen“ nachgelesen werden. Im Anhang sind
außerdem die Einstellungen der Tasks nachzulesen.
o Folgende Einstiegsmeldung erscheint:
Bearbeiten der Einstellungen von AllePCs in der Gruppenrichtlinienverwaltung
2 / 22 RBSrv_noRansomware | Version 1.0
Computerkonfiguration Richtlinien Administrative Vorlagen Windows Komponenten
Windows PowerShell (Skriptausführung aktivieren: Aktiviert)
Erstellen einer Dateiprüfung im Ressourcen-Manager für Dateiserver
Windows Server 2012 (R2) Windows Server 2008 (R2)
Servermanager Tools Ressourcen-Manager
für Dateiserver
Start Verwaltung Ressourcen-Manager für
Dateiserver
Es können selbstverständlich auch mehrere Dateiprüfungspfade festgelegt werden:
3 / 22 RBSrv_noRansomware | Version 1.0
Optionen für den Ressourcenmanager
Einstellung in der Firewall
IPFire Netzwerk URL-Filter
o Ergänzung der Blacklist um die im Anhang gelistetenEinträge (siehe Ransomware-Tracker)
o Sperre ausführbarer Dateien
Wichtig:
Die IP-Adressen des Servers (nicht
unbedingt von DCSchule und Host)
müssen ungefiltert bleiben.
4 / 22 RBSrv_noRansomware | Version 1.0
Kampf der Ransomware „Ich lass mich ungern erpressen“
Vorarlberger Standardschulinstallation
Autor: Martin Köb
Besuchen Sie uns im Internet
http://www.vobs.at/rb
© 2016 Schulmediencenter des Landes Vorarlberg
© IT-Regionalbetreuer des Landes Vorarlberg
6900 Bregenz , Römerstraße 15
Alle Rechte vorbehalten
5 / 22 RBSrv_noRansomware | Version 1.0
Inhalt
1. Vorbemerkung ................................................................................................................................... 6
2. Implementierung auf unseren Servern ........................................................................................... 7 2.1. PowerShell Scriptausführung zulassen .......................................................................................... 7 2.2. Ordner erstellen ............................................................................................................................... 7 2.2.1. Server 2008 (R2) ............................................................................................................................ 7 2.2.2. Server 2012 (R2) ............................................................................................................................ 7 2.3. Skriptdateien .................................................................................................................................... 7 2.4. Implementierung ............................................................................................................................ 7 2.4.1. Dateigruppe ................................................................................................................................. 7 2.4.2. Dateiprüfungsvorlage .................................................................................................................. 7 2.4.3. Dateiprüfung ................................................................................................................................. 8 2.4.4. Ergebnis ........................................................................................................................................ 10 2.4.5. E-Mailbenachrichtigung, wenn Ereignis ID 8215 erzeugt wird............................................. 11
3. Anhang ............................................................................................................................................. 14 3.1. Ransomware-Dateiendungen .................................................................................................... 14 3.2. Blacklist-Einträge für die Firewall ................................................................................................. 16 3.3. Leider doch erwischt … ............................................................................................................... 22
6 / 22 RBSrv_noRansomware | Version 1.0
1. Vorbemerkung Quellen:
https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen
https://www.frankysweb.de/windows-fileserver-vor-ransomware-schuetzen-update/
https://www.lanwerker.de/support/lan-tipps.html (Server 2008)
Laut obigen Quellen wird ein etwas anderer Ansatz ausgeführt:
Eine Liste von bekannten Datei-Endungen und Dateien, die bei der Verschlüsselung erzeugt
werden, wird als Dateigruppe angelegt.
Ich habe diese Dateigruppe einfach ‚Ransomware‘ genannt.
Bei der anzulegenden Dateiprüfung wir diese Dateiliste als Kriterium einbezogen, sodass alle der Liste
entsprechenden Dateien nicht gespeichert werden können.
Die Dateiprüfung lege ich auch als Vorlage an, damit schnell eine Prüfung für die
gewünschten Laufwerke / Shares erzeugt werden kann.
Im Artikel wird beim Versuch, eine solche Datei zu erzeugen, auch ein cmd –Befehlt ausgeführt,
dieser wiederum ruft einen Powershell Befehl auf (diese Vorgangsweise ist notwendig, damit
nicht UAC das Ganze verhindert).
Was macht der Powershell Befehl?
a. Ein Anwendungs-Ereignis mit der ID 8215 erzeugen
b. Einen Eintrag in ein Logfile schreiben: user und Verzeichnis, in das der Schreibversuch
gemacht wurde)
c. Share für diesen User sperren, indem auf diese Freigabe dem User die Rechte auf die
Freigabe verweigert werden.
Das Freigabe entziehen, hat bei mir nicht geklappt. Das andere schon, deshalb habe ich das
Powershell script eine wenig geändert – es wird „nur“ noch a und b ausgeführt.
d. Zusätzlich lasse ich mir aber über den RB-Commandline-Mailer die Ereignis-ID auslesen und ein
Mail mit Text „ACHTUNG: Möglicherweise Ransomware“ schicken.
Es ist sehr mühsam, auf jedem Server diese Liste, die natürlich laufend ergänzt werden kann und soll,
zu erzeugen, deshalb mache ich das über einen Befehl auf der Kommandozeile.
7 / 22 RBSrv_noRansomware | Version 1.0
2. Implementierung auf unseren Servern
2.1. PowerShell Scriptausführung zulassen
GPO Alle PCs
Computerkonfiguration Richtlinien Administrative Vorlagen Windows Komponenten
Windows PowerShell (Skriptausführung aktivieren: Aktiviert)
2.2. Ordner erstellen
2.2.1. Server 2008 (R2)
H:\Setup$\_Administrator\Ransomware
2.2.2. Server 2012 (R2)
D:\Install\Setup$\_Administrator\Ransomware
2.3. Skriptdateien
In diesen Ordner werden folgende Skripts kopiert (jeweils zum Serverbetriebssystem passend)
block-smbshare.cmd
block-smbshare.ps1
ransomware_filegroup.xml
ransomware_template.xml
optional: subinacl.msi
2.4. Implementierung
2.4.1. Dateigruppe
In diesem Ordner wird (mit Administratorenrechten) ein Kommandozeilenfenster geöffnet
filescrn filegroup i /file:ransomware_filegroup.xml /filegroup:Ransomware
Damit wird die Dateiliste importiert und als Ransomware bezeichnet
2.4.2. Dateiprüfungsvorlage
filescrn t i /file:ransomware_template.xml /template:Ransomware
8 / 22 RBSrv_noRansomware | Version 1.0
Hier wird eine Dateiprüfungsvorlage (‚Ransomware‘) importiert, auf deren Basis dann
Dateiprüfungen erstellt werden können, die die beschriebenen Kommandos auslösen.
2.4.3. Dateiprüfung
Jetzt legt man die Dateiprüfung auf Basis der Vorlage an, die für die richtigen Einstellungen sorgt:
2.4.3.1. Windows 2008 (R2)
sinnvolles Beispiel
9 / 22 RBSrv_noRansomware | Version 1.0
2.4.3.2. Windows 2012 (R2)
Das Senden einer E-Mail aus dem Ressourcenmanager direkt habe ich nicht geschafft,
deshalb (weiter unten) der Ansatz über den RB- Commandline-Mailer)
In den Optionen des Ressourcen-Managers werden jetzt noch die Limits für Ereignisprotokollbe-
nachrichtigungen und Befehlsbenachrichtigungen aufgehoben
sinnvolles Beispiel
C:\Windows\System32\cmd.exe
/c "\\server\_Setup$\_Administrator\Ransomware\block-smbshare.cmd"
10 / 22 RBSrv_noRansomware | Version 1.0
2.4.4. Ergebnis
Will ein User (oder natürlich die Schadsoftware!) eine Datei aus der Dateiliste erzeugen, so wird
a) dieses verhindert:
b) die Ereignis ID 8215 erzeugt
c) in c:\scripts\logfile.csv ein Eintrag erstellt
RBSrv_noRansomware | Version 1.0 11 / 22
2.4.5. E-Mailbenachrichtigung, wenn Ereignis ID 8215 erzeugt wird
2.4.5.1. Task erstellen
RBSrv_noRansomware | Version 1.0 12 / 22
Der Text kann natürlich beliebig gestaltet werden!
Dann wird man auch noch per Mail verständigt:
\\server\apps\Allgemein\RBCLM\rbclm.exe
/e " !! Möglicherweise Ransomware - Angriff !!"
RBSrv_noRansomware | Version 1.0 13 / 22
Einstellung in der Firewall
IPFire Netzwerk URL-Filter
Ergänzung der Blacklist um die im Anhang gelistetenEinträge (siehe Ransomware-Tracker)
Sperre ausführbarer Dateien
Wichtig:
Die IP-Adressen des Servers (nicht
unbedingt von DCSchule und Host)
müssen ungefiltert bleiben.
RBSrv_noRansomware | Version 1.0 14 / 22
3. Anhang
3.1. Ransomware-Dateiendungen
Die Liste der nicht erlaubten Dateitypen und Dateien entspricht in etwa der im Artikel, etwas
ergänzt um einige Kandidaten
!RecOveR!-jkaaa++.htm
!RecOveR!-jkaaa++.Png
!RecOveR!-ymfrn++.htm
!RecOveR!-ymfrn++.Png
!RecOveR!-ymfrn++.txt
*.0x0
*.1999
*.aaa
*.abc
*.bleep
*.ccc
*.crinf
*.crjoker
*.crypt
*.crypto
*.CTB2
*.CTBL
*.ecc
*.EnCiPhErEd
*.encoderpass
*.encrypted
*.encrypted
*.encryptedRSA
*.exx
*.ezz
*.good
*.HA3
*.k
*.key
*.keybtc@inbox_com
*.lcky
*.LeChiffre
*.locked
*.locky
*.LOL!
*.magic
*.micro
*.Micro
*.OMG!
*.pzdc
*.R16M01D05
*.r5a
*.RDM
*.RRK
*.SUPERCRYPT
*.toxcrypt
RBSrv_noRansomware | Version 1.0 15 / 22
*.ttt
*.vault
*.vvv
*.xrtn
*.XTBL
*.xxx
*.xyz
*.zzz
_crypt
_how_recover.txt
_Locky_recover_instructions.txt
_RECoVERY_+iqjpk.html
_RECoVERY_+iqjpk.png
_RECoVERY_+iqjpk.txt
_secret_code.txt
About_Files.txt
Coin.Locker.txt
DECRYPT_INSTRUCTION.TXT
DECRYPT_INSTRUCTIONS.TXT
DecryptAllFiles.txt
DecryptAllFiles.txt
encryptor_raas_readme_liesmich.txt
FILESAREGONE.TXT
HELLOTHERE.TXT
Help_Decrypt.txt
help_decrypt_your_files.html
HELP_RECOVER_FILES.txt
help_recover_instructions+*.txt
HELP_RESTORE_FILES.txt
HELP_TO_DECRYPT_YOUR_FILES.txt
HELP_TO_SAVE_FILES.txt
HELP_TO_SAVE_FILES.txt
HELP_YOUR_FILES.TXT
HELPDECRYPT.TXT
HELPDECYPRT_YOUR_FILES.HTML
HOW_TO_DECRYPT_FILES.TXT
How_To_Recover_Files.txt
howrecover+*.txt
howto_recover_file.txt
Howto_Restore_FILES.TXT
HowtoRESTORE_FILES.txt
HowtoRestore_FILES.txt
IAMREADYTOPAY.TXT
IHAVEYOURSECRET.KEY
INSTRUCCIONES_DESCIFRADO.TXT
Read.txt DECRYPT_ReadMe.TXT
ReadDecryptFilesHere.txt
READTHISNOW!!!.TXT
recoverfile*.txt
RECOVERY_FILE*.txt
RECOVERY_FILE.TXT
RBSrv_noRansomware | Version 1.0 16 / 22
RECOVERY_FILES.txt
RECOVERY_KEY.txt
recoveryfile*.txt
recoveryfile*.txt
restorefiles.txt
SECRET.KEY
SECRETIDHERE.KEY
wie_zum_Wiederherstellen_von_Dateien.html
wie_zum_Wiederherstellen_von_Dateien.txt
YOUR_FILES.HTML
YOUR_FILES.url
3.2. Blacklist-Einträge für die Firewall 25z5g623wpqpdwis.onion.to
2bdfb.spinakrosa.at
2gdb4.leoraorage.at
32kl2rwsjvqjeui7.onion.cab
32kl2rwsjvqjeui7.onion.to
32kl2rwsjvqjeui7.tor2web.org
3qbyaoohkcqkzrz6.bestxprice.ch
3qbyaoohkcqkzrz6.livecamshow.ch
3qbyaoohkcqkzrz6.torclassik.li
3qbyaoohkcqkzrz6.torcommunity.ch
3qbyaoohkcqkzrz6.tordonator.li
3qbyaoohkcqkzrz6.tordoor.li
3qbyaoohkcqkzrz6.torgate.es
3qbyaoohkcqkzrz6.torgateway.li
3qbyaoohkcqkzrz6.tormain.li
3qbyaoohkcqkzrz6.tormaster.ch
3qbyaoohkcqkzrz6.tormaster.fr
3qbyaoohkcqkzrz6.torplanet.eu
3qbyaoohkcqkzrz6.torprovider.li
3qbyaoohkcqkzrz6.torreactor.li
3qbyaoohkcqkzrz6.torstation.li
5rport45vcdef345adfkksawe.bematvocal.at
6dtxgqam4crv6rr6.onion.cab
6g4ds.froekuge.com
74nfnjhlq45nkgws4hbdbk45wekfjhqw4talefgnv.curryfort.at
88fga.ketteaero.com
8b4bb47tiaolhy4uhhlfaqerg.sofarany.at
94dbhbj3l4blaeyfgl7q45glbaer.giponfeste.at
974gfbjhb23hbfkyfaby3byqlyuebvly5q254y.mendilobo.com
9hrds.wolfcrap.at
a64gfdsjhb4htbiwaysbdvukyft5q.zobodine.at
accemfsqovkd.pw
ahsqbeospcdrngfv.info
ampjsppmftmfdblpt.info
aq3ef.goimocoa.at
as3ws.fopyirr.com
b4youfred5485jgsa3453f.italazudda.com
barjhxoye.info
bfd45u8ehdklrfqwlhbhjbgqw.niptana.at
blxbymhjva.info
bnjhx.eu
bqbbsfdw.be
bwpegsfa.info
cudcfybkk.pw
cxlgwofgrjfoaa.info
d34fa.lasmeio.com
dd7bsndhr45nfksdnkferfer.javakale.at
dkoipg.pw
dltvwp.it
dwytqrgblrynsgtew.org
egovrxvuspxck.be
f4dsbjhb45wfiuqeib4fkqeg.meccaledgy.at
fitga.ru
fl43s.toabolt.at
fnarsipfqe.pw
g4dhhg53jsdjnnkjwjrfyiouh3o4u4th.vinerteen.com
gfcuxnaek.ru
RBSrv_noRansomware | Version 1.0 17 / 22
gfkuwflbhsjdabnu4nfukerfqwlfwr4rw.ringbalor.com
gitybdjgbxd.nl
glhxgchhfemcjgr.pw
gsebqsi.ru
gvludcvhcrjwmgq.in
gwbak.nickymaru.com
gwe32fdr74bhfsyujb34gfszfv.zatcurr.com
h3ds4.maconslab.com
h5nuwefkuh134ljngkasdbasfg.corolbugan.com
hmndhdbscgru.pw
hrfgd74nfksjdcnnklnwefvdsf.materdunst.com
i3ezlvkoi7fwyood.onion.to
i3ezlvkoi7fwyood.tor2web.org
i5ndw.titlecorta.at
ibf4d.ukegaub.at
irhng84nfaslbv243ljtblwqjrb.pinnafaon.at
irudhkunrlfu25fhkaqw34blr5qlby4tgq43t.orrisbirth.com
jghbktqepe.pw
jxqdry.ru
k34ew.keyedgell.com
k3cxd.pileanoted.com
k47d3.proporr.com
k4restportgonst34d23r.oftpony.at
kbv5s.kylepasse.at
kcdfajaxngiff.info
kh5jfnvkk5twerfnku5twuilrnglnuw45yhlw.vealsithe.com
kkd47eh4hdjshb5t.angortra.at
kkr4hbwdklf234bfl84uoqleflqwrfqwuelfh.brazabaya.com
kpybuhnosdrm.in
kqlxtqptsmys.in
kypsuw.pw
lpholfnvwbukqwye.onion.cab
lpholfnvwbukqwye.onion.to
luvenxj.uk
nhhyxorxbxarxe.org
nn54djhfnrnm4dnjnerfsd.replylaten.at
nnrtsdf34dsjhb23rsdf.spannflow.com
nwcpgymgh.work
o4dm3.leaama.at
odgtnkmq.pw
oehknf74ohqlfnpq9rhfgcq93g.hateflux.com
omeaswslhgdw.xyz
p54dhkus4tlkfashdb6vjetgsdfg.greetingshere.at
plfbvdrpvsm.pw
po4dbsjbneljhrlbvaueqrgveatv.bonmawp.at
prest54538hnksjn4kjfwdbhwere.hotchunman.com
pts764gt354fder34fsqw45gdfsavadfgsfg.kraskula.com
pvwinlrmwvccuo.eu
rbg4hfbilrf7to452p89hrfq.boonmower.com
rzss2zfue73dfvmj.onlinerpgame.ch
rzss2zfue73dfvmj.truewargame.ch
sdwempsovemtr.yt
sondr5344ygfweyjbfkw4fhsefv.heliofetch.at
sqrgvbgfyya.org
stgg5jv6mqiibmax.torcreator.li
stgg5jv6mqiibmax.torpoint.ch
svkjhguk.ru
swfqg.in
t54ndnku456ngkwsudqer.wallymac.com
tes543berda73i48fsdfsd.keratadze.at
tt54rfdjhb34rfbnknaerg.milerteddy.com
twbers4hmi6dc65f.onion.cab
twbers4hmi6dc65f.onion.to
twbers4hmi6dc65f.tor2web.org
u54bbnhf354fbkh254tbkhjbgy8258gnkwerg.tahaplap.com
uhgmnigjpf.biz
uhhvhjqowpgopq.xyz
uhufnlsad7bhf4ykqfbevmxergwrth.himfinn.com
uiredn4njfsa4234bafb32ygjdawfvs.frascuft.com
uj5nj.onanwhit.com
uxvvm.us
vewrb.italisumo.at
vrvis6ndra5jeggj.livegaming.ch
vrvis6ndra5jeggj.livewargaming.ch
vrvis6ndra5jeggj.onlinebattlefield.ch
w6bfg4hahn5bfnlsafgchkvg5fwsfvrt.hareuna.at
RBSrv_noRansomware | Version 1.0 18 / 22
wdvxeval.ru
wor4d.slewirk.at
xfyubqmldwvuyar.yt
xyhhuxa.be
ytrest84y5i456hghadefdsd.pontogrot.com
ywjgjvpuyitnbiw.info
yyre45dbvn2nhbefbmh.begumvelic.at
estudiobarco.com.ar
jambola.com
oregonreversemortgage.com
gibdd.ws
anoukdelecluse.nl
marciogerhardtsouza.com.br
www.decorandoimoveis.com
openroadsolutions.com
tusrecetas.net
trion.com.ph
hamilton150.co.nz
takaram.ir
americancorner.udp.cl
dichiro.com
challengestrata.com.au
beyondthedog.net
lazymoosestamping.com
maternalserenity.co.uk
www.vishvagujarat.com
cursos.feyda.net
igatha.com
best-service.jp
viralcrazies.com
double-wing.de
eatside.es
domaine-cassillac.com
definitionen.de
recaswine.ro
ecocalsots.com
nupleta.com.br
national-drafting.com
haarsaloncindy.nl
takatei.com
feuerwehr-stadt-riesa.de
www.hanoiguidedtours.com
www.rippedknees.co.uk
paintituppottery.com
ecolux-comfort.com
www.granmarquise.com.br
konyavakfi.nl
abdal.com.ua
building.msu.ac.th
frame3d.de
autohaus-seevetal.com
bisofit.com
www.healthstafftravel.com.au
aditaborai.com.br
theassemblyguy.co.nz
www.001edizioni.com
madisonbootcamps.com
millsmanagement.nl
nonnuoccaobang.com
italyprego.com
www.kadinweb.net
www.plexipr.com
www.bishopbell.co.uk
studiolegalecsb.it
smartnote.co
dechehang.com
www.feddoctor.com
portret-tekening.nl
ascortimisoara.ro
8vs.com
glitchygaming.com
grochowina.net
tcblog.de
dining-bar.com
london-escorts-agency.org.uk
event-travel.co.uk
RBSrv_noRansomware | Version 1.0 19 / 22
jadwalpialadunia.in
aspectdesigns.com.au
inspirenetworks.in
cheapshirts.us
patrianossa.com.br
silstop.pl
portalmaismidia.com.br
procrediti.com.ua
www.gjscomputerservices.com.au
ilovesport.kiev.ua
babylicious.ie
fun-pop.com
d3mpd.fe.uns.ac.id
icsot.na.its.ac.id
emprende21.es
kuruyaprak.com
arttoday.sk
7-eleven-handbags.com
balkanium.altervista.org
avancarvisual.com.br
anime-tuner.square7.ch
www.taoblu.com
www.weddingsonthefrenchriviera.com
markossolomon.com
jauregia.net
artsabc.com
blessingshealthuk.com
anybug.net
alushtadom.com
4turka.com
lorangeriedelareine.fr
thinktrimbebeautiful.com.au
baby.teasso.com
helcel.com
loseweightwithmysite.com
onguso.com
silocot.com
gooseart.com
bluedreambd.com
colinmccarthynfl.com
43nutrientes.com
naomihawkins.com
getdiscounts.org
traditions-and-custom.com
closerdaybyday.info
coldheartedny.com
helpdesk.keldon.info
addagapublicschool.com
thejonesact.com
theoneflooring.com
studiosundaytv.com
goldberg-share.com
hotcasinogames.org
mahmutersan.com.tr
forms.net.in
kknk-shop.dev.onnetdigital.com
casasembargada.com
csskol.org
grosirkecantikan.com
naturstein-schubert.de
vtc360.com
starsoftheworld.org
holishit.in
minteee.com
asianbooty.net
strategicdisaster.info
www.affiliateproductes.com
affiliateproductes.com
videoaminproduktion.de
mcgroupuae.com
pilfingr.com
setprosports.info
marvel-games.com
maxmpl.com
samuday.org
diwali2k15.in
RBSrv_noRansomware | Version 1.0 20 / 22
masterlegue.com
toolaria.com
tradinbow.com
mkis.org
commonsenseprotection.com
classemgmt.testbada.com
exaltation.info
resumosdenovela.net
shampooherbal.com
joshsawyerdesign.com
hmgame.net
marketathart.com
esbook.com
prodocument.co.uk
esbook.com
nlhomegarden.com
emmy2015.com
kel52.com
controlfreaknetworks.com
shirongfeng.cn
sappmtraining.com
vtechshop.net
multibrandphone.com
tele-channel.com
specializedaccess.co.uk
ahlanmedicalcentre.com
cam-itour.info
www.informaticauno.net
drcordoba.com
iheartshop.net
csucanuevo.csuca.org
newculturemediablog.com
saludaonline.com
tmfilms.net
conspec.us
goktugyeli.com
iqinternal.com
fisioactivo.com
serbiotecnicos.com
onegiantstore.com
dustinhansenbook.com
ptlchemicaltrading.com
opravnatramvaji.cz
worldisonefamily.info
stacon.eu
music.mbsaeger.com
imagescroll.com
hongsi.com
biocarbon.com.ec
heizhuangym.com
surrogacyandadoption.com
jessforkicks.com
lutheranph.com
snibi.se
www.big-cola.com
salesandmarketing101.net
ikstrade.co.kr
salaeigroup.com
iglesiaelrenacer.com
dongxinh.com
dustywinslow.com
lovemydress.pl
ekop.org
mosaudit.com
yoyoeventos.com
iicsdrd.com
dunyamuzelerimuzesi.com
westhollywooddentaloffice.com
zavidovodom.com
southinstrument.org
wefindco.com
westhollywooddentaloffice.com
surusegitimmerkezi.com
toysfortheneedyandaid.org
worldinoneplace.info
wor4d.slewirk.at
RBSrv_noRansomware | Version 1.0 21 / 22
kbv5s.kylepasse.at
k47d3.proporr.com
k3cxd.pileanoted.com
ibf4d.ukegaub.at
o4dm3.leaama.at
as3ws.fopyirr.com
aq3ef.goimocoa.at
h3ds4.maconslab.com
k34ew.keyedgell.com
fl43s.toabolt.at
i5ndw.titlecorta.at
d34fa.lasmeio.com
2bdfb.spinakrosa.at
88fga.ketteaero.com
uj5nj.onanwhit.com
2gdb4.leoraorage.at
6g4ds.froekuge.com
9hrds.wolfcrap.at
vewrb.italisumo.at
gwbak.nickymaru.com
8b4bb47tiaolhy4uhhlfaqerg.sofarany.at
irudhkunrlfu25fhkaqw34blr5qlby4tgq43t.orrisbirth.com
g4dhhg53jsdjnnkjwjrfyiouh3o4u4th.vinerteen.com
74nfnjhlq45nkgws4hbdbk45wekfjhqw4talefgnv.curryfort.at
94dbhbj3l4blaeyfgl7q45glbaer.giponfeste.at
uhufnlsad7bhf4ykqfbevmxergwrth.himfinn.com
h5nuwefkuh134ljngkasdbasfg.corolbugan.com
p54dhkus4tlkfashdb6vjetgsdfg.greetingshere.at
f4dsbjhb45wfiuqeib4fkqeg.meccaledgy.at
kkr4hbwdklf234bfl84uoqleflqwrfqwuelfh.brazabaya.com
974gfbjhb23hbfkyfaby3byqlyuebvly5q254y.mendilobo.com
a64gfdsjhb4htbiwaysbdvukyft5q.zobodine.at
bfd45u8ehdklrfqwlhbhjbgqw.niptana.at
kh5jfnvkk5twerfnku5twuilrnglnuw45yhlw.vealsithe.com
irhng84nfaslbv243ljtblwqjrb.pinnafaon.at
rbg4hfbilrf7to452p89hrfq.boonmower.com
t54ndnku456ngkwsudqer.wallymac.com
hrfgd74nfksjdcnnklnwefvdsf.materdunst.com
w6bfg4hahn5bfnlsafgchkvg5fwsfvrt.hareuna.at
po4dbsjbneljhrlbvaueqrgveatv.bonmawp.at
u54bbnhf354fbkh254tbkhjbgy8258gnkwerg.tahaplap.com
oehknf74ohqlfnpq9rhfgcq93g.hateflux.com
gfkuwflbhsjdabnu4nfukerfqwlfwr4rw.ringbalor.com
pts764gt354fder34fsqw45gdfsavadfgsfg.kraskula.com
sondr5344ygfweyjbfkw4fhsefv.heliofetch.at
uiredn4njfsa4234bafb32ygjdawfvs.frascuft.com
yyre45dbvn2nhbefbmh.begumvelic.at
tes543berda73i48fsdfsd.keratadze.at
gwe32fdr74bhfsyujb34gfszfv.zatcurr.com
kkd47eh4hdjshb5t.angortra.at
tt54rfdjhb34rfbnknaerg.milerteddy.com
nnrtsdf34dsjhb23rsdf.spannflow.com
ytrest84y5i456hghadefdsd.pontogrot.com
nn54djhfnrnm4dnjnerfsd.replylaten.at
dd7bsndhr45nfksdnkferfer.javakale.at
k4restportgonst34d23r.oftpony.at
5rport45vcdef345adfkksawe.bematvocal.at
b4youfred5485jgsa3453f.italazudda.com
prest54538hnksjn4kjfwdbhwere.hotchunman.com
RBSrv_noRansomware | Version 1.0 22 / 22
3.3. Leider doch erwischt …
Sofort alle Netzwerkclients herunterfahren (ohne Rücksicht auf ev. gerade arbeitende
KollegInnen – Krypto-Trojaner arbeiten im angemeldeten Benutzerkontext).
Sollte das Herunterfahren der Netzwerkclients nicht rasch automatisiert erfolgen können, sofort
den Server herunterfahren (wiederum ohne Rücksicht auf angemeldete Benutzer)
Der Server darf erst wieder hochgefahren werden, wenn sichergestellt ist, dass kein Benutzer
angemeldet ist.
Suche nach verschlüsselten Dateien.
Eruieren, wer Besitzer dieser Dateien ist Löschen des betroffenen Benutzerprofils am Server
(NICHT der Daten!) und natürlich entsprechende Information an den auslösenden User geben.
In allen Ordnern, auf die der Benutzer Zugriff hat, können Daten verschlüsselt wirden sein.
Löschen der lokalen Roamingprofile (Administrations-Verknüpfung am Serverdesktop). Ein
zweimaliger Neustart der Netzwerkclients (ohne Benutzeranmeldung) ist erforderlich.
Restaurieren der betroffenen Daten aus der Datensicherung und/oder herausfinden, ob es für
den Trojaner eine (kostenlose) Entschlüsselungsmöglichkeit gibt.
Erst nach Abschluss dieser Arbeiten, stehen die Rechner den KollegInnen wieder zur Verfügung.