Tipps, Tricks & Tools

»Vor geraumer Zeit haben wir per Zufall entdeckt, dass wir von einem CryptoLocker attackiert wurden, und konnten gerade noch rechtzeitig größeres Unheil verhindern. Allerdings sieht es nicht so aus, dass sich das Risiko in absehbarer Zeit verringern würde – eher im Gegenteil. Gibt es eine einfache Möglichkeit, Angriffe durch einen CryptoLocker zeitnah aufzudecken und alarmiert zu werden, um den Schaden einzugrenzen?«

Wenn Sie PRTG Network Monitor zur Überwachung Ihres Netzwerks einsetzen, können Sie damit ein einfaches dreistufiges System einrichten, das Sie im Fall eines Angriffs durch einen CryptoLocker umgehend informiert, sodass Sie rechtzeitig Gegenmaßnahmen ergreifen können. Ein PRTG-Nutzer beschreibt das System in der Knowledge-Base von PRTG [Link-Code https://kb.paessler.com/en/topic/68959-cryptolocker-detection-with-prtg/] wie folgt:

Im Hauptverzeichnis der öffentlichen Ordnerstruktur befinden sich eine Handvoll Dateien, die zum Beispiel "_DONT_ CHANGE.txt" beziehungsweise "_DONT_ CHANGE.TXT.jpg" heißen. Darin findet sich eine kurze Beschreibung, was ein CryptoLocker macht und warum diese Dateien nicht verändert werden dürfen. Das JPG ist ganz einfach ein Screenshot der Textdatei.

In PRTG gibt es dann einen "File Sensor", der das Änderungsdatum der "Köder-Dateien" überwacht. Ändert sich deren Datum, weil ein CryptoLocker die Datei verschlüsselt, geht der Sensor in den "Down"-Status und löst den Versand einer E-Mail aus. Diese E-Mail sollte so konfiguriert sein, dass sie eine Schritt-für-Schritt-Anleitung für das weitere Vorgehen gleich mitliefert, etwa

- Öffnen Sie den Server-Manager

- Gehen Sie zu "Roles / File Services / Share / Storage Management

- Gehen Sie zu "Properties / Permissions / Share

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.