Der Ransomware Notfall Manager

GIb Ransomware Notfall - Manager - AddOn für baramundi

Die gezielten Attacken mittels Ransomware auf Unternehmensnetzwerke nehmen ständig zu. Um mehr als 800% hat sich die Zahl alleine im Jahr 2016 erhöht. Egal ob "Locky", "Chimera", oder "Goldeneye", die Angriffe werden dabei immer gezielter und setzen die IT-Abteilung zusätzlich unter Druck. Trotz Firewall und Antivirus erreichen dennoch viele Angriffe ihr Ziel und beginnen ihr zerstörerisches Werk. 

Präventiv können Sie sich nur bedingt gegen diese Angriffe erwehren. Letztlich hängt der Erfolg / Misserfolg der Abwehr auch immer an verschiedenen Faktoren:

  • Wurde das Patch - Management zeitnah umgesetzt?

  • Konnten die Sicheheitslücken in den Standard - Programmen geschlossen werden?

  • Sind die Mitarbeiter geschult, nicht jedem Dokument / Link zu vertrauen?

  • Erkennt der Antivirenschutz die Signatur der Ransomware?

 

Trotz aller Vorsicht, kann ein Ransomware - Angriff "erfolgreich" verlaufen. Wichtig ist jetzt ein Notfall - Plan, der unmittelbar nach der Attacke in Kfraft tritt.

Mit dem GIb Notfall - Manager, als AddOn zur baramundi Management Suite, können Sie den infizierten Rechner schnell isolieren und bis zur Beseitigung der Ransomware außer Betrieb nehmen.

Der Ablauf erfolgt in 4 Schritten:

  1. Shutdown des Rechners, ohne die Möglichkeit des Benutzers, sich unmittelbar wieder anzumelden.

  2. Start einer Linux - Distribution über PXE im RAM des PCs. Das installierte Windows auf der Festplatte bleibt bestehen, wird aber nicht gestartet.
    Somit kann die Ransomware auch nicht aktiv werden.

  3. Start der Desinfec't - Ransomeware Scan - Engine bei gleichzeitigem Download von Erkennungsmustern 4 verschiedener Antivirenhersteller.

  4. Beseitigung der Ransomware und Ausgabe des Status.

  Eine Ausbreitung der Schadsoftware kann so unmittelbar gestoppt werden.

 Hier die chronologische Auflistung des Ablaufs:

 Der fertige Job in der baramundi Konsole

Der Desinfec't - Job wird in der baramundi Management Suite angezeigt und kann von dort dem betroffenem PC zugewiesen werden.

Bootloader

Der PC wird heruntergefahren und sichergestellt, dass er nicht durch den Benutzer wieder gestartet werden kann. Anschließend wird der PC über DHCP gestartet. Es erscheint der PXE Boot für den Start der Linux Distribution.

PXE Bootloader

Linux Boot

Die Linux - Distribution startet im RAM Des infizierten PCs. Das Windows Betriebssystem wird nicht gestartet. Dadurch kann die Ransomeware nicht mit ihrem "Werk" beginnen.

Desinfec't startet

Es werden nun die Virensignaturen von 4 verschiedenen Antivirenherstellern aus em Internet aktualisiert, bzw. mit den bereits im DIP gespeicherten Signaturen abgeglichen.

Der Scan des PCs beginnt

 Der Scan des infizierten PCs beginnt unmittelbar danach.

Das Ergebnis wird angezeigt

Das Ergebnis des Scans wird angezeigt. Der baramundi Job ist fertig durchgelaufen und wird in der baramundi Konsole angezeigt.

Der Job wurde erfolgreich beendet 

Das GiB Ransoware - Notfall - AddOn für die baramundi Management Suite besteht aus dem fertigen Skript inkl. Einbindung in Ihre baramundi Umgebung. Lizenzgebühren fallen dabei nicht an. In der Regel benötigen wir ca. 1-2 Tage Dienstleistung für die Einrichtung und den Test in Ihrem Netzwerk.

 Sie möchten mehr erfahren? Senden Sie uns eine Nachricht: