Lesezeit
1 Minute
CryptoLocker über PRTG-Monitoring entdecken
Das Risiko, dass Rechner im Unternehmen von einem CryptoLocker attackiert werden, dürfte sich in absehbarer Zeit wohl kaum verringern – eher im Gegenteil. Leider gibt es keine Standardlösung, um Angriffe durch einen CryptoLocker zeitnah aufzudecken und den Schaden einzugrenzen. Wenn Sie PRTG Network Monitor zur Überwachung Ihres Netzwerks einsetzen, können Sie jedoch ein dreistufiges System einrichten, das Sie im Fall eines Angriffs durch einen CryptoLocker umgehend informiert.
Ein PRTG-Nutzer beschreibt das System zur Alarmierung beim Angriff durch einen CryptoLocker in der Knowledge-Base von PRTG [1] wie folgt: Im Hauptverzeichnis der öffentlichen Ordnerstruktur befinden sich eine Handvoll Dateien, die zum Beispiel "_DONT_ CHANGE.txt" beziehungsweise "_DONT_ CHANGE.TXT.jpg" heißen. Darin findet sich eine kurze Beschreibung, was ein CryptoLocker macht und warum diese Dateien nicht verändert werden dürfen. Das JPG ist ganz einfach ein Screenshot der Textdatei.
In PRTG gibt es dann einen "File Sensor", der das Änderungsdatum der "Köder-Dateien" überwacht. Ändert sich deren Datum, weil ein CryptoLocker die Datei verschlüsselt, geht der Sensor in den "Down"-Status und löst den Versand einer E-Mail aus. Diese E-Mail sollte so konfiguriert sein, dass sie eine Schritt-für-Schritt-Anleitung für das weitere Vorgehen gleich mitliefert, etwa
ln
[1] https://kb.paessler.com/en/topic/68959-cryptolocker-detection-with-prtg[...]
In PRTG gibt es dann einen "File Sensor", der das Änderungsdatum der "Köder-Dateien" überwacht. Ändert sich deren Datum, weil ein CryptoLocker die Datei verschlüsselt, geht der Sensor in den "Down"-Status und löst den Versand einer E-Mail aus. Diese E-Mail sollte so konfiguriert sein, dass sie eine Schritt-für-Schritt-Anleitung für das weitere Vorgehen gleich mitliefert, etwa
- Öffnen Sie den Server-Manager
- Gehen Sie zu "Roles / File Ser vices / Share / Storage Management
- Gehen Sie zu "Properties / Permissions / Share Permissions"
- Entfernen Sie die Schreibberechtigung für die Gruppe "Everyone"
ln
[1] https://kb.paessler.com/en/topic/68959-cryptolocker-detection-with-prtg[...]