Download pdf - Vorbemerkungen To Do halbautomatisch · 9 / 22 RBSrv_noRansomware | Version 1.0 2.4.3.2. Windows 2012 (R2) Das Senden einer E-Mail aus dem Ressourcenmanager direkt habe ich nicht

1 / 22 RBSrv_noRansomware | Version 1.0

Besuchen Sie uns im Internet unter

http://www.vobs.at/rb © 2016 Schulmediencenter des Landes Vorarlberg

IT-Regionalbetreuer des Landes Vorarlberg

Autor: Erich Vonach

6900 Bregenz, Römerstraße 15

Alle Rechte vorbehalten

RBSrv_noRansomware

Vorbemerkungen Die hier gewählte Vorgangsweise stellt keinen 100%igen Schutz vor Ransomwarangriffen dar, da sich

die Angriffs-Varianten sehr rasch ändern.

Sollte also ein Crypto-Trojaner (Erpressungs-Trokaner) seinen Weg ins Schulnetz gefunden haben, so

empfiehlt sich die im Anhang zu findende Vorgangsweise “Leider doch erwischt”

To Do halbautomatisch Funktioniert auf allen Standardschulservern ab Windows 2008 (R2).

Kopie des heruntergeladenen Paketes (RBSrv_noRansomware.zip) nach beispielsweise C:\Temp

auf den Server.

Entpacken der Datei

Ausführen der Datei copy_Ransomware.bat

o Welche Änderungen am System vorgenommen werden, kann im Kapitel Kampf der

Ransomware – „Ich lass mich ungern erpressen“ nachgelesen werden. Im Anhang sind

außerdem die Einstellungen der Tasks nachzulesen.

o Folgende Einstiegsmeldung erscheint:

Bearbeiten der Einstellungen von AllePCs in der Gruppenrichtlinienverwaltung

http://www.vobs.at/rb


Computerkonfiguration Richtlinien Administrative Vorlagen Windows Komponenten

Windows PowerShell (Skriptausführung aktivieren: Aktiviert)

Erstellen einer Dateiprüfung im Ressourcen-Manager für Dateiserver

Windows Server 2012 (R2) Windows Server 2008 (R2)

Servermanager Tools Ressourcen-Manager

für Dateiserver

Start Verwaltung Ressourcen-Manager für

Dateiserver

Es können selbstverständlich auch mehrere Dateiprüfungspfade festgelegt werden:


Optionen für den Ressourcenmanager

Einstellung in der Firewall

IPFire Netzwerk URL-Filter

o Ergänzung der Blacklist um die im Anhang gelistetenEinträge (siehe Ransomware-Tracker)

o Sperre ausführbarer Dateien

Wichtig:

Die IP-Adressen des Servers (nicht

unbedingt von DCSchule und Host)

müssen ungefiltert bleiben.

https://ransomwaretracker.abuse.ch/


Kampf der Ransomware „Ich lass mich ungern erpressen“

Vorarlberger Standardschulinstallation

Autor: Martin Köb

Besuchen Sie uns im Internet

http://www.vobs.at/rb

© 2016 Schulmediencenter des Landes Vorarlberg

© IT-Regionalbetreuer des Landes Vorarlberg

6900 Bregenz , Römerstraße 15

Alle Rechte vorbehalten


Inhalt

1. Vorbemerkung ................................................................................................................................... 6

2. Implementierung auf unseren Servern ........................................................................................... 7 2.1. PowerShell Scriptausführung zulassen .......................................................................................... 7 2.2. Ordner erstellen ............................................................................................................................... 7 2.2.1. Server 2008 (R2) ............................................................................................................................ 7 2.2.2. Server 2012 (R2) ............................................................................................................................ 7 2.3. Skriptdateien .................................................................................................................................... 7 2.4. Implementierung ............................................................................................................................ 7 2.4.1. Dateigruppe ................................................................................................................................. 7 2.4.2. Dateiprüfungsvorlage .................................................................................................................. 7 2.4.3. Dateiprüfung ................................................................................................................................. 8 2.4.4. Ergebnis ........................................................................................................................................ 10 2.4.5. E-Mailbenachrichtigung, wenn Ereignis ID 8215 erzeugt wird............................................. 11

3. Anhang ............................................................................................................................................. 14 3.1. Ransomware-Dateiendungen .................................................................................................... 14 3.2. Blacklist-Einträge für die Firewall ................................................................................................. 16 3.3. Leider doch erwischt … ............................................................................................................... 22


1. Vorbemerkung Quellen:

https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locker-schuetzen

https://www.frankysweb.de/windows-fileserver-vor-ransomware-schuetzen-update/

https://www.lanwerker.de/support/lan-tipps.html (Server 2008)

Laut obigen Quellen wird ein etwas anderer Ansatz ausgeführt:

Eine Liste von bekannten Datei-Endungen und Dateien, die bei der Verschlüsselung erzeugt

werden, wird als Dateigruppe angelegt.

Ich habe diese Dateigruppe einfach ‚Ransomware‘ genannt.

Bei der anzulegenden Dateiprüfung wir diese Dateiliste als Kriterium einbezogen, sodass alle der Liste

entsprechenden Dateien nicht gespeichert werden können.

Die Dateiprüfung lege ich auch als Vorlage an, damit schnell eine Prüfung für die

gewünschten Laufwerke / Shares erzeugt werden kann.

Im Artikel wird beim Versuch, eine solche Datei zu erzeugen, auch ein cmd –Befehlt ausgeführt,

dieser wiederum ruft einen Powershell Befehl auf (diese Vorgangsweise ist notwendig, damit

nicht UAC das Ganze verhindert).

Was macht der Powershell Befehl?

a. Ein Anwendungs-Ereignis mit der ID 8215 erzeugen

b. Einen Eintrag in ein Logfile schreiben: user und Verzeichnis, in das der Schreibversuch

gemacht wurde)

c. Share für diesen User sperren, indem auf diese Freigabe dem User die Rechte auf die

Freigabe verweigert werden.

Das Freigabe entziehen, hat bei mir nicht geklappt. Das andere schon, deshalb habe ich das

Powershell script eine wenig geändert – es wird „nur“ noch a und b ausgeführt.

d. Zusätzlich lasse ich mir aber über den RB-Commandline-Mailer die Ereignis-ID auslesen und ein

Mail mit Text „ACHTUNG: Möglicherweise Ransomware“ schicken.

Es ist sehr mühsam, auf jedem Server diese Liste, die natürlich laufend ergänzt werden kann und soll,

zu erzeugen, deshalb mache ich das über einen Befehl auf der Kommandozeile.





https://www.lanwerker.de/support/lan-tipps.html

http://www.vobs.at/fileadmin/user_upload/itservice/downloads/rb_tools/rb_clm/RBCLM-Tasks_v1.4.exe


2. Implementierung auf unseren Servern

2.1. PowerShell Scriptausführung zulassen

GPO Alle PCs

Computerkonfiguration Richtlinien Administrative Vorlagen Windows Komponenten

Windows PowerShell (Skriptausführung aktivieren: Aktiviert)

2.2. Ordner erstellen

2.2.1. Server 2008 (R2)

H:\Setup$\_Administrator\Ransomware

2.2.2. Server 2012 (R2)

D:\Install\Setup$\_Administrator\Ransomware

2.3. Skriptdateien

In diesen Ordner werden folgende Skripts kopiert (jeweils zum Serverbetriebssystem passend)

block-smbshare.cmd

block-smbshare.ps1

ransomware_filegroup.xml

ransomware_template.xml

optional: subinacl.msi

2.4. Implementierung

2.4.1. Dateigruppe

In diesem Ordner wird (mit Administratorenrechten) ein Kommandozeilenfenster geöffnet

filescrn filegroup i /file:ransomware_filegroup.xml /filegroup:Ransomware

Damit wird die Dateiliste importiert und als Ransomware bezeichnet

2.4.2. Dateiprüfungsvorlage

filescrn t i /file:ransomware_template.xml /template:Ransomware


Hier wird eine Dateiprüfungsvorlage (‚Ransomware‘) importiert, auf deren Basis dann

Dateiprüfungen erstellt werden können, die die beschriebenen Kommandos auslösen.

2.4.3. Dateiprüfung

Jetzt legt man die Dateiprüfung auf Basis der Vorlage an, die für die richtigen Einstellungen sorgt:

2.4.3.1. Windows 2008 (R2)

sinnvolles Beispiel


2.4.3.2. Windows 2012 (R2)

Das Senden einer E-Mail aus dem Ressourcenmanager direkt habe ich nicht geschafft,

deshalb (weiter unten) der Ansatz über den RB- Commandline-Mailer)

In den Optionen des Ressourcen-Managers werden jetzt noch die Limits für Ereignisprotokollbe-

nachrichtigungen und Befehlsbenachrichtigungen aufgehoben

sinnvolles Beispiel

C:\Windows\System32\cmd.exe

/c "\\server\_Setup$\_Administrator\Ransomware\block-smbshare.cmd"




2.4.4. Ergebnis

Will ein User (oder natürlich die Schadsoftware!) eine Datei aus der Dateiliste erzeugen, so wird

a) dieses verhindert:

b) die Ereignis ID 8215 erzeugt

c) in c:\scripts\logfile.csv ein Eintrag erstellt

RBSrv_noRansomware | Version 1.0 11 / 22

2.4.5. E-Mailbenachrichtigung, wenn Ereignis ID 8215 erzeugt wird

2.4.5.1. Task erstellen


Der Text kann natürlich beliebig gestaltet werden!

Dann wird man auch noch per Mail verständigt:

\\server\apps\Allgemein\RBCLM\rbclm.exe

/e " !! Möglicherweise Ransomware - Angriff !!"


Einstellung in der Firewall

IPFire Netzwerk URL-Filter

Ergänzung der Blacklist um die im Anhang gelistetenEinträge (siehe Ransomware-Tracker)

Sperre ausführbarer Dateien

Wichtig:

Die IP-Adressen des Servers (nicht

unbedingt von DCSchule und Host)

müssen ungefiltert bleiben.

https://ransomwaretracker.abuse.ch/


3. Anhang

3.1. Ransomware-Dateiendungen

Die Liste der nicht erlaubten Dateitypen und Dateien entspricht in etwa der im Artikel, etwas

ergänzt um einige Kandidaten

!RecOveR!-jkaaa++.htm

!RecOveR!-jkaaa++.Png

!RecOveR!-ymfrn++.htm

!RecOveR!-ymfrn++.Png

!RecOveR!-ymfrn++.txt

*.0x0

*.1999

*.aaa

*.abc

*.bleep

*.ccc

*.crinf

*.crjoker

*.crypt

*.crypto

*.CTB2

*.CTBL

*.ecc

*.EnCiPhErEd

*.encoderpass

*.encrypted

*.encrypted

*.encryptedRSA

*.exx

*.ezz

*.good

*.HA3

*.k

*.key

*.keybtc@inbox_com

*.lcky

*.LeChiffre

*.locked

*.locky

*.LOL!

*.magic

*.micro

*.Micro

*.OMG!

*.pzdc

*.R16M01D05

*.r5a

*.RDM

*.RRK

*.SUPERCRYPT

*.toxcrypt


*.ttt

*.vault

*.vvv

*.xrtn

*.XTBL

*.xxx

*.xyz

*.zzz

_crypt

_how_recover.txt

_Locky_recover_instructions.txt

_RECoVERY_+iqjpk.html

_RECoVERY_+iqjpk.png

_RECoVERY_+iqjpk.txt

_secret_code.txt

About_Files.txt

Coin.Locker.txt

DECRYPT_INSTRUCTION.TXT

DECRYPT_INSTRUCTIONS.TXT

DecryptAllFiles.txt

DecryptAllFiles.txt

encryptor_raas_readme_liesmich.txt

FILESAREGONE.TXT

HELLOTHERE.TXT

Help_Decrypt.txt

help_decrypt_your_files.html

HELP_RECOVER_FILES.txt

help_recover_instructions+*.txt

HELP_RESTORE_FILES.txt

HELP_TO_DECRYPT_YOUR_FILES.txt

HELP_TO_SAVE_FILES.txt

HELP_TO_SAVE_FILES.txt

HELP_YOUR_FILES.TXT

HELPDECRYPT.TXT

HELPDECYPRT_YOUR_FILES.HTML

HOW_TO_DECRYPT_FILES.TXT

How_To_Recover_Files.txt

howrecover+*.txt

howto_recover_file.txt

Howto_Restore_FILES.TXT

HowtoRESTORE_FILES.txt

HowtoRestore_FILES.txt

IAMREADYTOPAY.TXT

IHAVEYOURSECRET.KEY

INSTRUCCIONES_DESCIFRADO.TXT

Read.txt DECRYPT_ReadMe.TXT

ReadDecryptFilesHere.txt

READTHISNOW!!!.TXT

recoverfile*.txt

RECOVERY_FILE*.txt

RECOVERY_FILE.TXT


RECOVERY_FILES.txt

RECOVERY_KEY.txt

recoveryfile*.txt

recoveryfile*.txt

restorefiles.txt

SECRET.KEY

SECRETIDHERE.KEY

wie_zum_Wiederherstellen_von_Dateien.html

wie_zum_Wiederherstellen_von_Dateien.txt

YOUR_FILES.HTML

YOUR_FILES.url

3.2. Blacklist-Einträge für die Firewall 25z5g623wpqpdwis.onion.to

2bdfb.spinakrosa.at

2gdb4.leoraorage.at

32kl2rwsjvqjeui7.onion.cab

32kl2rwsjvqjeui7.onion.to

32kl2rwsjvqjeui7.tor2web.org

3qbyaoohkcqkzrz6.bestxprice.ch

3qbyaoohkcqkzrz6.livecamshow.ch

3qbyaoohkcqkzrz6.torclassik.li

3qbyaoohkcqkzrz6.torcommunity.ch

3qbyaoohkcqkzrz6.tordonator.li

3qbyaoohkcqkzrz6.tordoor.li

3qbyaoohkcqkzrz6.torgate.es

3qbyaoohkcqkzrz6.torgateway.li

3qbyaoohkcqkzrz6.tormain.li

3qbyaoohkcqkzrz6.tormaster.ch

3qbyaoohkcqkzrz6.tormaster.fr

3qbyaoohkcqkzrz6.torplanet.eu

3qbyaoohkcqkzrz6.torprovider.li

3qbyaoohkcqkzrz6.torreactor.li

3qbyaoohkcqkzrz6.torstation.li

5rport45vcdef345adfkksawe.bematvocal.at

6dtxgqam4crv6rr6.onion.cab

6g4ds.froekuge.com

74nfnjhlq45nkgws4hbdbk45wekfjhqw4talefgnv.curryfort.at

88fga.ketteaero.com

8b4bb47tiaolhy4uhhlfaqerg.sofarany.at

94dbhbj3l4blaeyfgl7q45glbaer.giponfeste.at

974gfbjhb23hbfkyfaby3byqlyuebvly5q254y.mendilobo.com

9hrds.wolfcrap.at

a64gfdsjhb4htbiwaysbdvukyft5q.zobodine.at

accemfsqovkd.pw

ahsqbeospcdrngfv.info

ampjsppmftmfdblpt.info

aq3ef.goimocoa.at

as3ws.fopyirr.com

b4youfred5485jgsa3453f.italazudda.com

barjhxoye.info

bfd45u8ehdklrfqwlhbhjbgqw.niptana.at

blxbymhjva.info

bnjhx.eu

bqbbsfdw.be

bwpegsfa.info

cudcfybkk.pw

cxlgwofgrjfoaa.info

d34fa.lasmeio.com

dd7bsndhr45nfksdnkferfer.javakale.at

dkoipg.pw

dltvwp.it

dwytqrgblrynsgtew.org

egovrxvuspxck.be

f4dsbjhb45wfiuqeib4fkqeg.meccaledgy.at

fitga.ru

fl43s.toabolt.at

fnarsipfqe.pw

g4dhhg53jsdjnnkjwjrfyiouh3o4u4th.vinerteen.com

gfcuxnaek.ru


gfkuwflbhsjdabnu4nfukerfqwlfwr4rw.ringbalor.com

gitybdjgbxd.nl

glhxgchhfemcjgr.pw

gsebqsi.ru

gvludcvhcrjwmgq.in

gwbak.nickymaru.com

gwe32fdr74bhfsyujb34gfszfv.zatcurr.com

h3ds4.maconslab.com

h5nuwefkuh134ljngkasdbasfg.corolbugan.com

hmndhdbscgru.pw

hrfgd74nfksjdcnnklnwefvdsf.materdunst.com

i3ezlvkoi7fwyood.onion.to

i3ezlvkoi7fwyood.tor2web.org

i5ndw.titlecorta.at

ibf4d.ukegaub.at

irhng84nfaslbv243ljtblwqjrb.pinnafaon.at

irudhkunrlfu25fhkaqw34blr5qlby4tgq43t.orrisbirth.com

jghbktqepe.pw

jxqdry.ru

k34ew.keyedgell.com

k3cxd.pileanoted.com

k47d3.proporr.com

k4restportgonst34d23r.oftpony.at

kbv5s.kylepasse.at

kcdfajaxngiff.info

kh5jfnvkk5twerfnku5twuilrnglnuw45yhlw.vealsithe.com

kkd47eh4hdjshb5t.angortra.at

kkr4hbwdklf234bfl84uoqleflqwrfqwuelfh.brazabaya.com

kpybuhnosdrm.in

kqlxtqptsmys.in

kypsuw.pw

lpholfnvwbukqwye.onion.cab

lpholfnvwbukqwye.onion.to

luvenxj.uk

nhhyxorxbxarxe.org

nn54djhfnrnm4dnjnerfsd.replylaten.at

nnrtsdf34dsjhb23rsdf.spannflow.com

nwcpgymgh.work

o4dm3.leaama.at

odgtnkmq.pw

oehknf74ohqlfnpq9rhfgcq93g.hateflux.com

omeaswslhgdw.xyz

p54dhkus4tlkfashdb6vjetgsdfg.greetingshere.at

plfbvdrpvsm.pw

po4dbsjbneljhrlbvaueqrgveatv.bonmawp.at

prest54538hnksjn4kjfwdbhwere.hotchunman.com

pts764gt354fder34fsqw45gdfsavadfgsfg.kraskula.com

pvwinlrmwvccuo.eu

rbg4hfbilrf7to452p89hrfq.boonmower.com

rzss2zfue73dfvmj.onlinerpgame.ch

rzss2zfue73dfvmj.truewargame.ch

sdwempsovemtr.yt

sondr5344ygfweyjbfkw4fhsefv.heliofetch.at

sqrgvbgfyya.org

stgg5jv6mqiibmax.torcreator.li

stgg5jv6mqiibmax.torpoint.ch

svkjhguk.ru

swfqg.in

t54ndnku456ngkwsudqer.wallymac.com

tes543berda73i48fsdfsd.keratadze.at

tt54rfdjhb34rfbnknaerg.milerteddy.com

twbers4hmi6dc65f.onion.cab

twbers4hmi6dc65f.onion.to

twbers4hmi6dc65f.tor2web.org

u54bbnhf354fbkh254tbkhjbgy8258gnkwerg.tahaplap.com

uhgmnigjpf.biz

uhhvhjqowpgopq.xyz

uhufnlsad7bhf4ykqfbevmxergwrth.himfinn.com

uiredn4njfsa4234bafb32ygjdawfvs.frascuft.com

uj5nj.onanwhit.com

uxvvm.us

vewrb.italisumo.at

vrvis6ndra5jeggj.livegaming.ch

vrvis6ndra5jeggj.livewargaming.ch

vrvis6ndra5jeggj.onlinebattlefield.ch

w6bfg4hahn5bfnlsafgchkvg5fwsfvrt.hareuna.at


wdvxeval.ru

wor4d.slewirk.at

xfyubqmldwvuyar.yt

xyhhuxa.be

ytrest84y5i456hghadefdsd.pontogrot.com

ywjgjvpuyitnbiw.info

yyre45dbvn2nhbefbmh.begumvelic.at

estudiobarco.com.ar

jambola.com

oregonreversemortgage.com

gibdd.ws

anoukdelecluse.nl

marciogerhardtsouza.com.br

www.decorandoimoveis.com

openroadsolutions.com

tusrecetas.net

trion.com.ph

hamilton150.co.nz

takaram.ir

americancorner.udp.cl

dichiro.com

challengestrata.com.au

beyondthedog.net

lazymoosestamping.com

maternalserenity.co.uk

www.vishvagujarat.com

cursos.feyda.net

igatha.com

best-service.jp

viralcrazies.com

double-wing.de

eatside.es

domaine-cassillac.com

definitionen.de

recaswine.ro

ecocalsots.com

nupleta.com.br

national-drafting.com

haarsaloncindy.nl

takatei.com

feuerwehr-stadt-riesa.de

www.hanoiguidedtours.com

www.rippedknees.co.uk

paintituppottery.com

ecolux-comfort.com

www.granmarquise.com.br

konyavakfi.nl

abdal.com.ua

building.msu.ac.th

frame3d.de

autohaus-seevetal.com

bisofit.com

www.healthstafftravel.com.au

aditaborai.com.br

theassemblyguy.co.nz

www.001edizioni.com

madisonbootcamps.com

millsmanagement.nl

nonnuoccaobang.com

italyprego.com

www.kadinweb.net

www.plexipr.com

www.bishopbell.co.uk

studiolegalecsb.it

smartnote.co

dechehang.com

www.feddoctor.com

portret-tekening.nl

ascortimisoara.ro

8vs.com

glitchygaming.com

grochowina.net

tcblog.de

dining-bar.com

london-escorts-agency.org.uk

event-travel.co.uk


jadwalpialadunia.in

aspectdesigns.com.au

inspirenetworks.in

cheapshirts.us

patrianossa.com.br

silstop.pl

portalmaismidia.com.br

procrediti.com.ua

www.gjscomputerservices.com.au

ilovesport.kiev.ua

babylicious.ie

fun-pop.com

d3mpd.fe.uns.ac.id

icsot.na.its.ac.id

emprende21.es

kuruyaprak.com

arttoday.sk

7-eleven-handbags.com

balkanium.altervista.org

avancarvisual.com.br

anime-tuner.square7.ch

www.taoblu.com

www.weddingsonthefrenchriviera.com

markossolomon.com

jauregia.net

artsabc.com

blessingshealthuk.com

anybug.net

alushtadom.com

4turka.com

lorangeriedelareine.fr

thinktrimbebeautiful.com.au

baby.teasso.com

helcel.com

loseweightwithmysite.com

onguso.com

silocot.com

gooseart.com

bluedreambd.com

colinmccarthynfl.com

43nutrientes.com

naomihawkins.com

getdiscounts.org

traditions-and-custom.com

closerdaybyday.info

coldheartedny.com

helpdesk.keldon.info

addagapublicschool.com

thejonesact.com

theoneflooring.com

studiosundaytv.com

goldberg-share.com

hotcasinogames.org

mahmutersan.com.tr

forms.net.in

kknk-shop.dev.onnetdigital.com

casasembargada.com

csskol.org

grosirkecantikan.com

naturstein-schubert.de

vtc360.com

starsoftheworld.org

holishit.in

minteee.com

asianbooty.net

strategicdisaster.info

www.affiliateproductes.com

affiliateproductes.com

videoaminproduktion.de

mcgroupuae.com

pilfingr.com

setprosports.info

marvel-games.com

maxmpl.com

samuday.org

diwali2k15.in


masterlegue.com

toolaria.com

tradinbow.com

mkis.org

commonsenseprotection.com

classemgmt.testbada.com

exaltation.info

resumosdenovela.net

shampooherbal.com

joshsawyerdesign.com

hmgame.net

marketathart.com

esbook.com

prodocument.co.uk

esbook.com

nlhomegarden.com

emmy2015.com

kel52.com

controlfreaknetworks.com

shirongfeng.cn

sappmtraining.com

vtechshop.net

multibrandphone.com

tele-channel.com

specializedaccess.co.uk

ahlanmedicalcentre.com

cam-itour.info

www.informaticauno.net

drcordoba.com

iheartshop.net

csucanuevo.csuca.org

newculturemediablog.com

saludaonline.com

tmfilms.net

conspec.us

goktugyeli.com

iqinternal.com

fisioactivo.com

serbiotecnicos.com

onegiantstore.com

dustinhansenbook.com

ptlchemicaltrading.com

opravnatramvaji.cz

worldisonefamily.info

stacon.eu

music.mbsaeger.com

imagescroll.com

hongsi.com

biocarbon.com.ec

heizhuangym.com

surrogacyandadoption.com

jessforkicks.com

lutheranph.com

snibi.se

www.big-cola.com

salesandmarketing101.net

ikstrade.co.kr

salaeigroup.com

iglesiaelrenacer.com

dongxinh.com

dustywinslow.com

lovemydress.pl

ekop.org

mosaudit.com

yoyoeventos.com

iicsdrd.com

dunyamuzelerimuzesi.com

westhollywooddentaloffice.com

zavidovodom.com

southinstrument.org

wefindco.com

westhollywooddentaloffice.com

surusegitimmerkezi.com

toysfortheneedyandaid.org

worldinoneplace.info

wor4d.slewirk.at


kbv5s.kylepasse.at

k47d3.proporr.com

k3cxd.pileanoted.com

ibf4d.ukegaub.at

o4dm3.leaama.at

as3ws.fopyirr.com

aq3ef.goimocoa.at

h3ds4.maconslab.com

k34ew.keyedgell.com

fl43s.toabolt.at

i5ndw.titlecorta.at

d34fa.lasmeio.com

2bdfb.spinakrosa.at

88fga.ketteaero.com

uj5nj.onanwhit.com

2gdb4.leoraorage.at

6g4ds.froekuge.com

9hrds.wolfcrap.at

vewrb.italisumo.at

gwbak.nickymaru.com

8b4bb47tiaolhy4uhhlfaqerg.sofarany.at

irudhkunrlfu25fhkaqw34blr5qlby4tgq43t.orrisbirth.com

g4dhhg53jsdjnnkjwjrfyiouh3o4u4th.vinerteen.com

74nfnjhlq45nkgws4hbdbk45wekfjhqw4talefgnv.curryfort.at

94dbhbj3l4blaeyfgl7q45glbaer.giponfeste.at

uhufnlsad7bhf4ykqfbevmxergwrth.himfinn.com

h5nuwefkuh134ljngkasdbasfg.corolbugan.com

p54dhkus4tlkfashdb6vjetgsdfg.greetingshere.at

f4dsbjhb45wfiuqeib4fkqeg.meccaledgy.at

kkr4hbwdklf234bfl84uoqleflqwrfqwuelfh.brazabaya.com

974gfbjhb23hbfkyfaby3byqlyuebvly5q254y.mendilobo.com

a64gfdsjhb4htbiwaysbdvukyft5q.zobodine.at

bfd45u8ehdklrfqwlhbhjbgqw.niptana.at

kh5jfnvkk5twerfnku5twuilrnglnuw45yhlw.vealsithe.com

irhng84nfaslbv243ljtblwqjrb.pinnafaon.at

rbg4hfbilrf7to452p89hrfq.boonmower.com

t54ndnku456ngkwsudqer.wallymac.com

hrfgd74nfksjdcnnklnwefvdsf.materdunst.com

w6bfg4hahn5bfnlsafgchkvg5fwsfvrt.hareuna.at

po4dbsjbneljhrlbvaueqrgveatv.bonmawp.at

u54bbnhf354fbkh254tbkhjbgy8258gnkwerg.tahaplap.com

oehknf74ohqlfnpq9rhfgcq93g.hateflux.com

gfkuwflbhsjdabnu4nfukerfqwlfwr4rw.ringbalor.com

pts764gt354fder34fsqw45gdfsavadfgsfg.kraskula.com

sondr5344ygfweyjbfkw4fhsefv.heliofetch.at

uiredn4njfsa4234bafb32ygjdawfvs.frascuft.com

yyre45dbvn2nhbefbmh.begumvelic.at

tes543berda73i48fsdfsd.keratadze.at

gwe32fdr74bhfsyujb34gfszfv.zatcurr.com

kkd47eh4hdjshb5t.angortra.at

tt54rfdjhb34rfbnknaerg.milerteddy.com

nnrtsdf34dsjhb23rsdf.spannflow.com

ytrest84y5i456hghadefdsd.pontogrot.com

nn54djhfnrnm4dnjnerfsd.replylaten.at

dd7bsndhr45nfksdnkferfer.javakale.at

k4restportgonst34d23r.oftpony.at

5rport45vcdef345adfkksawe.bematvocal.at

b4youfred5485jgsa3453f.italazudda.com

prest54538hnksjn4kjfwdbhwere.hotchunman.com


3.3. Leider doch erwischt …

Sofort alle Netzwerkclients herunterfahren (ohne Rücksicht auf ev. gerade arbeitende

KollegInnen – Krypto-Trojaner arbeiten im angemeldeten Benutzerkontext).

Sollte das Herunterfahren der Netzwerkclients nicht rasch automatisiert erfolgen können, sofort

den Server herunterfahren (wiederum ohne Rücksicht auf angemeldete Benutzer)

Der Server darf erst wieder hochgefahren werden, wenn sichergestellt ist, dass kein Benutzer

angemeldet ist.

Suche nach verschlüsselten Dateien.

Eruieren, wer Besitzer dieser Dateien ist Löschen des betroffenen Benutzerprofils am Server

(NICHT der Daten!) und natürlich entsprechende Information an den auslösenden User geben.

In allen Ordnern, auf die der Benutzer Zugriff hat, können Daten verschlüsselt wirden sein.

Löschen der lokalen Roamingprofile (Administrations-Verknüpfung am Serverdesktop). Ein

zweimaliger Neustart der Netzwerkclients (ohne Benutzeranmeldung) ist erforderlich.

Restaurieren der betroffenen Daten aus der Datensicherung und/oder herausfinden, ob es für

den Trojaner eine (kostenlose) Entschlüsselungsmöglichkeit gibt.

Erst nach Abschluss dieser Arbeiten, stehen die Rechner den KollegInnen wieder zur Verfügung.