Vorbereitungen gegen Verschlüsselungstrojaner

In den Jahren vor den Verschlüsselungstrojanern wurde in lokalen Netzen darauf hingearbeitet, daß alles nur funktioniert. Dies ist oft auch Herausforderung genug. Wenn PCs ohne Domänenverbund (Abgleich von Benutzer-IDs) untereinander oder mit Domänenbenutzern Daten austauschen sollen.
So wurde bei Netzwerkfreigaben nur bei sensiblen Daten der Zugriff auf gewisse Personen(-Gruppen) eingeschänkt. In anderen Bereichen gilt Freigabe Jeder/Alles, Freigabe-Sicherheit Jeder/Vollzugriff.
Dies ist bei vielen Softwarelieferanten die Empfehlung oder gar absolute Notwendigkeit. Nachfragen zum „Lockdown“ stellt man augenscheinlich das erste Mal an die Crew. Wenn Dateien von Programmen mit NTFS-Attributen erzeugt werden, die vom Programm des Netzbenutzers zwar eingelesen, nach der Verarbeitung aber nicht gelöscht werden können kann man schon in ein Hotline-Pingpong geraten.
Natürlich kann man sich beim „Lockdown“ in den Fuß schießen oder gerade solche Fallen bauen, die nach Veränderungen am Netzwerk wieder Fragezeichen erzeugen, wenn beispielweise Zugriff auf Dateien für IP-Adressen/-bereiche erlaubt wurde. Also ist der Lockdown schon ziemlich weit oben in der Dokumentation zu vermerken, damit man bei Problemen nicht ewig graben muß, bis man auf die selbstgebauten Einschränkungen stößt

Was macht ein Verschlüsselungstrojaner:
Wird ein Trojaner bei einem Nutzer gestartet, beginnt dieser Dateien im Umfeld des Benutzers zu verschlüsseln. Das ist Zuerst der Bereich „Eigener Dateien“ im Benutzerprofil und grast dann alles Erreichbare in der Umgebung ab. Nach getaner Arbeit wird dem Benutzer dann eingeblendet, wie er sein Kapital vermindern kann, damit die Arbeit des Trojaners rückgängig gemacht und die Arbeit des Benutzers wieder erreichbar wird.
Um das System nicht abzuschießen (sonst funktioniert die Erpressung ja nicht) werden Dateitypen verunstaltet, die offensichtlich Benutzerdaten sind: Officedateien, Medientypen, …
Bei Netzwerken betrifft dies dann die Gruppenablagen und auch die Shares für sogenannte „Dateischnittstellen“. Der Trojaner verunstaltet (vermutlich) dagegen nicht die Benutzerprofile der Kollegen.
Während man die Gruppenablagen gegen Vertölpelung schon auf dem Sicherungs-Radar hat, treffen diese ominösen Programmfreigaben umso perfider.

Wenn nun ein Verschlüsselungstrojaner (rasender Stier) im Netz aktiv wird, ist es hilfreich, wenn das Netzwerk (die Pampa) einzelne Trenneinrichtungen (Weidezäune) vorhält.

Welche Weideflächen haben wir:
Der Karthograph muß mal wieder jeden Rechner prüfen.
net share

Wer braucht darauf Zugriff

Wie kann ich Sicherungen vorhalten
– Nicht ungeschützt im Netz
– Datenbanken geschlossen/konsistent