Posts Tagged: ‘Locky’

Schutz vor Crypto- und anderen Trojanern mit der GBS iQ.Suite

7. April 2016 Posted by Oliver Regelmann

Neben der grundsätzlich immer vorhandenen Problematik mit Viren und Trojanern, haben in letzter Zeit diverse sogenannte “Crypto-Trojaner” erheblichen Aufwand bei Privatpersonen, Unternehmen und Behörden verursacht.

Die durch die Trojaner durchgeführte Verschlüsselungen von Dateien oder ganzen Festplatten führt im schlimmsten Fall zu Datenverlusten in erheblichem Ausmaß, im besten Fall aber immer noch zu einigem Aufwand bei der Bereinigung / Neu-Installation der befallenen PCs und Wiederherstellung der Daten aus dem Backup.

Die Geschwindigkeit, mit der sich diese Dinger per Mail verbreiten, zeigt, dass auch bei einer eigentlich durch Virenscanner geschützten Mail-Infrastruktur oft noch Löcher existieren. Es zeigt sich, dass die meistens stündlichen Updates der Scanner-Signaturen oft nicht ausreichen. Dazu kommt noch, dass hier der Makro-Virus – also in Office-Dokumente eingebetter Code – eine Renaissance erlebt. Der führt zwar selbst in der Regel nicht zur Verschlüsselung, lädt aber als “Downloader” entsprechenden Code aus dem Internet nach.

Ich möchte ein paar Ansätze aufführen, wie man mit der iQ.Suite von GBS auf IBM Domino und MS Exchange damit umgehen kann. Zuvorderst muss aber immer wieder auf die Aufklärung der Benutzerinnen und Benutzer über solche Themen hingewiesen werden. Irgendwie wird sich immer ein Weg an allen technischen Schranken vorbei finden lassen und dann kommt es auf den Menschen am Arbeitsplatz an, wie er mit unbekannten Anhängen oder Links umgeht.

Aber nun zu den rein technischen Optionen:

  • Die iQ.Suite bietet die Möglichkeit, Virenscanner-Engines mehrerer Hersteller parallel einzusetzen. So erhöht man die Chance, dass zumindest einer der Hersteller eine aktuelle Signatur für eine Malware bereits erstellt und ausgeliefert hat. Zumindest sollte hier eine andere Engine verwendet werden als die, die auf den Arbeitsplätzen oder Servern im Haus installiert ist.  Ein im Vergleich zum potenziellen Schaden recht günstiges Mittel.
  • Für die Engines von AVIRA und Kaspersky gibt es inzwischen die Option der Cloud-Integration. Dabei werden Signaturen der Anhänge mit den Live-Daten des jeweiligen Herstellers abgeglichen, wodurch noch schneller auf neue Malware-Varianten reagiert werden kann.
  • Über die Dateisignaturen der iQ.Suite lassen sich ganz gezielt bestimmte Dateitypen sperren oder freigeben. So kann man z.B. Office-Dokumente mit Makros oder JS-Dateien explizit aus dem Mailverkehr rausfiltern. Das hat natürlich unter Umständen ein paar Nebenwirkungen, weil nicht jedes Word- oder Excel-Makro bösartig ist.
  • Ein paar ganz interessante Ansätze, wie man damit dann automatisiert umgehen kann, hat GBS in einem kostenlosen Guide zusammengefasst. Das Dokument kann man hier herunterladen. Hierfür sind unter Umständen zusätzliche Module der iQ.Suite notwendig.

Bei Fragen zur technischen Umsetzung mit der iQ.Suite stehen wir natürlich gerne zur Verfügung.

 

Nebenbei möchte ich auch darauf hinweisen, dass die Polizei explizit um Anzeige solcher Vorfälle bittet.

Der Beitrag Schutz vor Crypto- und anderen Trojanern mit der GBS iQ.Suite erschien zuerst auf n-komm GmbH.