Crypto Ransomware Incident Response

Ransomware allgemein

Es gibt bereits einen Artikel auf meinem Blog der zeigt, wie man sich vor Verschlüsselungstrojaner bzw. Crypto Ransomware schützt. Einen 100%igen Schutz dagegen gibt es leider nicht, aber gerade deswegen ist es wichtig zu wissen, wie man bei einer Infektion reagiert.

Folgendes Video von Brett Hawinks (@hawkbluedevil) zeigt, wie ein Incident Response mit Hilfe seines Tools crsponse aussehen könnte und was hinter Ransomware steckt:

crsponse Tutorial

Wer sich das ZIP Paket auf der github Seite zu crspone heruntergeladen hat, bekommt auch die fertig kompilierte ausführbare exe Datei im bin Verzeichnis. Von dort aus lässt sich das Programm ganz einfach nutzen, in dem man wie folgt dort hingelangt. Wichtig hierbei ist, dass crsponse direkt auf einer Maschine laufen muss, von der man vermutet sie sei infiziert.

  • Windowstaste + R
  • Eintippen: cmd und bestätigen
  • Navigation zum crsponse/bin/Release Verzeichnis mit cd Befehl (Beispiel: “cd Verzeichnis” für eine Ebene tiefer oder “cd ..” für eine Ebene höher)

Ab hier gibt es nun die Möglichkeit einen Scan durchzuführen, um folgende Bereiche eines Rechners zu überprüfen:

  • Registry
  • Prozesse
  • Dateien
  • Alles zusammen

Als Befehl bezieht sich der Scan immer auf einen bestimmten User (C:\Benutzer oder C:\Users verrät alle scanbaren Nutzer)

  • crsponse -user <benutzer> -reg
  • crsponse -user <benutzer> -proc
  • crsponse -user <benutzer> -files
  • crsponse -user <benutzer> -all

Die entsprechenden Output Daten können dann in Unterordnern eingesehen werden. Dort legt crsponse nun im Zuge des Incident Response einige CSV Dateien ab, die mit Excel oder jeder anderen Spreadsheet Software gelesen und interpretiert werden können.

Weiterführendes

Ein interessanter Artikel, sowie eine tolle Infografik zum Thema Ransomware ist auf dem Blog der Konica Minolta IT Solutions zu finden.

Beitragsbild von Moyan Brenn – Keys unter der Creative Commons Lizenz CC-BY-2.0

Artikel teilen:

Kommentar verfassen