Locky: meine Präventionsmaßnahmen zeigen Erfolg

Mittlerweile kann man wohl sagen: Locky ist weiterhin präsent doch die Schäden werden scheinbar weniger. Grund ist, dass sich die meisten IT-Abteilungen mittlerweile recht gut schützen. Zeit für Fallanalysen lesen sich mittlerweile mit einem „AHA-Effekt“. Ein Beispiel dafür:

Persönlich habe ich mittlerweile mit einigen wenigen Handgriffen und geeigneten Applikationen die Gefahr der Verschlüsselung unserer Businessdaten, meiner bescheidenen Ansicht nach, gut geschützt. Bis denn dann irgendwann die Antiviruslösungen erfolgreich erkennen. Wann das sein wird: mal schauen.

Was habe ich getan? Dazu muss man wissen, dass alle mir bekannten Fälle (!!!) stets folgendes gemeinsam hatten:

  1. Es wurden nur Dateien in den Verzeichnissen verschlüsselt, in welchem der User am PC „arbeitete“.
  2. Alle Dateien wurden verschlüsselt und mit der Dateiendung „.locky“ im Ursprungspfad abgelegt.
  3. Locky kam immer über „den Schwachpunkt User“ in das betroffene Unternehmen und immer per Mail-Attachment
  4. Er war stets in ZIP, EXE oder Word-Macro verpackt.

Daraufhin habe ich die extern gehostete ANTI-SPAM – Lösung angepasst:

  • Mails mit Attachments in Form exe, bat, cmd, doc, docX werden abgewiesen (Empfänger bekommt aber Hinweismail damit keine wertvollen Businessmails verloren gehen)
  • Mails, welche im Attachment ein Archiv (Zip, Rar usw.) haben und eine der im vorhergehenden Punkt erwähnten Dateianlagen: selbiges Verfahren wie vorher.

Das führt nun dazu, dass mein Spamreport tatsächlich etliche Attacken abwehrte; und da waren definitiv „Your-Invoice“-Mails mit ZIP dabei. Wehe dem, der sie reinlässt und öffnet.

 

Weiterhin habe ich unsere Endpoint-Protection per Blacklist animiert keine Dateiendungen „.locky“ als Ablage auf den Netzwerkshares/Speichermedien zuzulassen.

Test dann wie folgt:

  • Datei auf dem Netzwerkshare (doc) geöffnet
  • Versucht, diese im selben Pfad als „*.locky“ zu speichern
  • Resultat: geblockt und Alarm an Admin.

So weit, so gut. Ob der User-PC infiziert ist oder nicht: mir egal, mache ich ihn halt neu. Frisch installiert spart Zeit und lange Bastelei. Vielleicht ist dieser Weg ja eine Option.

 

Wer Interesse hat, mit welchen Produkten ich die Umsetzung dieses Szenarios durchführe darf mich natürlich gern anschreiben. Ganz klar betonen möchte und muss ich aber: dieses ist keine 100% Lösung sondern nur ein „Workaround nach eigenen Erfahrungen“. Ob und wie dies schützt hängt ganz klar von der jeweiligen IT-Infrastruktur ab.

Schreibe einen Kommentar