Ein PRTG-Nutzer beschreibt das System zur Alarmierung beim Angriff durch einen CryptoLocker in der Knowledge-Base von PRTG [1] wie folgt: Im Hauptverzeichnis der öffentlichen Ordnerstruktur befinden sich eine Handvoll Dateien, die zum Beispiel "_DONT_ CHANGE.txt" beziehungsweise "_DONT_ CHANGE.TXT.jpg" heißen. Darin findet sich eine kurze Beschreibung, was ein CryptoLocker macht und warum diese Dateien nicht verändert werden dürfen. Das JPG ist ganz einfach ein Screenshot der Textdatei.

In PRTG gibt es dann einen "File Sensor", der das Änderungsdatum der "Köder-Dateien" überwacht. Ändert sich deren Datum, weil ein CryptoLocker die Datei verschlüsselt, geht der Sensor in den "Down"-Status und löst den Versand einer E-Mail aus. Diese E-Mail sollte so konfiguriert sein, dass sie eine Schritt-für-Schritt-Anleitung für das weitere Vorgehen gleich mitliefert, etwa

• Öffnen Sie den Server-Manager
• Gehen Sie zu "Roles / File Ser vices / Share / Storage Management
• Gehen Sie zu "Properties / Permissions / Share Permissions"
• Entfernen Sie die Schreibberechtigung für die Gruppe "Everyone"

Damit ist die weitere Aktivität des CryptoLockers erst einmal gestoppt und Sie können sich in Ruhe auf die Suche nach dem Verursacher des Angriffs machen und eventuell bereits betroffene Dateien aus dem Backup wiederherstellen. Eine andere Option wäre, über PRTG im Alarmfall ein Skript oder eine EXE-Datei auslösen zu lassen und so das angegriffene System einfach herunterzufahren. Welche Methode Sie wählen, hängt natürlich von den möglichen Reaktionszeiten und der Wichtigkeit der möglicherweise betroffenen Systeme ab.

ln

[1] https://kb.paessler.com/en/topic/68959-cryptolocker-detection-with-prtg[...]