17
Geschwindigkeit Verschlüsselungstrojaner
Hallo zusammen,
hat jemand eine Erfahrungswert (mein Beileid wenn aus erster Hand) wie schnell Verschlüsselungstrojaner álá Wannacry etc. Dateien verschlüsseln? Also eine pro Minute / 10 pro Sekunde. ich nehme jetzt mal die üblichen Office Dateigrößen an.
EDIT: Es geht um Serverfreigaben. Gehobene Office PCs mit i3/i5 Prozessor und Gigabit Anbindung.
lg
Theo
hat jemand eine Erfahrungswert (mein Beileid wenn aus erster Hand) wie schnell Verschlüsselungstrojaner álá Wannacry etc. Dateien verschlüsseln? Also eine pro Minute / 10 pro Sekunde. ich nehme jetzt mal die üblichen Office Dateigrößen an.
EDIT: Es geht um Serverfreigaben. Gehobene Office PCs mit i3/i5 Prozessor und Gigabit Anbindung.
lg
Theo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 458515
Url: https://administrator.de/contentid/458515
Printed on: April 18, 2024 at 08:04 o'clock
17 Comments
Latest comment
Moin,
und was nimmst du nun als Hardware an? Nen üblichen grauen PC?
Gruß
und was nimmst du nun als Hardware an? Nen üblichen grauen PC?
Gruß
Moin ,
kann man so schlecht sagen . Hängt ja stark von der Hardware ab.
Bei ner SSD geht das Ratz fatz . Willst du Erfahrungswerte, verschlüssle deine HDD mal komplett mit Bitlocker o.Ä. Dann siehst du den Speed.
Gruss
kann man so schlecht sagen . Hängt ja stark von der Hardware ab.
Bei ner SSD geht das Ratz fatz . Willst du Erfahrungswerte, verschlüssle deine HDD mal komplett mit Bitlocker o.Ä. Dann siehst du den Speed.
Gruss
Hallo zusammen,
Die lokalen Rechner sind nicht das Problem, mir gehts um die Serverfreigaben. Hätte ich mal schreiben können.
Rechner sind gehobene Office PCs i3-i5 mit Gigabit Anbindung an die Server.
lg
Theo
Die lokalen Rechner sind nicht das Problem, mir gehts um die Serverfreigaben. Hätte ich mal schreiben können.
Rechner sind gehobene Office PCs i3-i5 mit Gigabit Anbindung an die Server.
lg
Theo
Was juckt die eigentlich der Speed ?
Wenn ein Verschlüsselungstrojaner wütet, ist glaube ich die Geschwindigkeit noch das kleinere Problem.
Wir kennen den Speed deinen Netzwerkes auch nicht , um das zu beurteilen.
Gruss
Wenn ein Verschlüsselungstrojaner wütet, ist glaube ich die Geschwindigkeit noch das kleinere Problem.
Wir kennen den Speed deinen Netzwerkes auch nicht , um das zu beurteilen.
Gruss
Die Geschwindigkeit steht oben. Gigabit Linespeed und das machen die Server natürlich auch mit.
Kurzes Wort zum Hintergrund:
Ein Server wertet die Dateiänderungen der einzelnen shares aus. Diese werden nach Clients geordnet. Ab einer gewissen Änderung pro Zeiteinheit trenne ich den Client vom Netz zusammen mit reporting der veränderten files usw.
Der Wert wird natürlich weit über der üblichen Nutzung liegen die ich seit ca. zwei Wochen analysiere.
Das ganze soll neben allen anderen üblichen Schutzmaßnahmen quasi als letzte Bastion dienen.
LG
Theo
Kurzes Wort zum Hintergrund:
Ein Server wertet die Dateiänderungen der einzelnen shares aus. Diese werden nach Clients geordnet. Ab einer gewissen Änderung pro Zeiteinheit trenne ich den Client vom Netz zusammen mit reporting der veränderten files usw.
Der Wert wird natürlich weit über der üblichen Nutzung liegen die ich seit ca. zwei Wochen analysiere.
Das ganze soll neben allen anderen üblichen Schutzmaßnahmen quasi als letzte Bastion dienen.
LG
Theo
Kommt drauf an wie effizient die cryptotrojaner eben geschrieben sind, mein bauchgefühl sagt das das bottleneck die SMB Performance des Servers ist, die sich aus Platte und Netzwerk zusammensetzt.
Da die meisten Datei für Datei mit asynchronen Schlüsseln verschlüsseln, kann man das verhalten mit z.b. GnuPG simulieren, indem du eine Dateiliste an gpg pipest und einen öffentlichen schlüssel zur crypten verwendest
Da die meisten Datei für Datei mit asynchronen Schlüsseln verschlüsseln, kann man das verhalten mit z.b. GnuPG simulieren, indem du eine Dateiliste an gpg pipest und einen öffentlichen schlüssel zur crypten verwendest
Na siehste an gnupg hab ich noch garnicht gedacht obwohl am naheliegendsten...
Das werde ich wohl morgen mal auf einen Test Share loslassen.
Lg Theo
Das werde ich wohl morgen mal auf einen Test Share loslassen.
Lg Theo
Moin,
das hängt davon ab
Im Normalfall in der gleichen Geschwindigkeit wie Du Dateien auf den Server schreiben kannsts.
Aber gehen wir mal von 40 MB/Sekunde.
Es soll auch Trojaner geben die nur die ersten und letzten 2 MB verschlüsseln.
Dann schaffen die deutlich mehr Dateien in Abhängigkeit von den Dateigrößen.
Stefan
das hängt davon ab
Im Normalfall in der gleichen Geschwindigkeit wie Du Dateien auf den Server schreiben kannsts.
Aber gehen wir mal von 40 MB/Sekunde.
Es soll auch Trojaner geben die nur die ersten und letzten 2 MB verschlüsseln.
Dann schaffen die deutlich mehr Dateien in Abhängigkeit von den Dateigrößen.
Stefan
Das ist auch nochmal ne interessante Info. Auch wenn für mich eher die Differenz von „Normaler Nutzung“ zu „Trojaner verschlüsselt“ interessant ist. Alles was schneller ist wird ja sowieso erkannt.
Hi,
Den Schnelltest kannst Du selber machen.
Nimm ein beliebiges Pack-Programm (ohne GUI) und lass das auf die Ordnerstruktur los.
Ein optimierter Trojaner ist u.U. schneller.
Im Endeffekt ist es unerheblich, wie schnell das "Tierchen" ist.
Erheblich ist, wie schnell Du das merkst.
BFF
Den Schnelltest kannst Du selber machen.
Nimm ein beliebiges Pack-Programm (ohne GUI) und lass das auf die Ordnerstruktur los.
Ein optimierter Trojaner ist u.U. schneller.
Im Endeffekt ist es unerheblich, wie schnell das "Tierchen" ist.
Erheblich ist, wie schnell Du das merkst.
BFF
Hi BFF,
packen die Trojaner denn? Ich meine die Verschlüsseln jede Datei einzeln. In dem Fall müsste ich Umdenken, da ich „read“ Ereignisse aktuell außen vor lasse um keinen zu hohen Count zu bekommen. Das geht nämlich auch mal schnell wenn man die Windows Suche auf ein höheres Verzeichnis loslässt.
Und merken tue ich es sofort. Die Auswertung erfolgt in Echtzeit und 10 Sekunden später ist der Client aus. Hängt natürlich auch davon ab welche Schwellen wie schnell überschritten werden.
LG
Theo
packen die Trojaner denn? Ich meine die Verschlüsseln jede Datei einzeln. In dem Fall müsste ich Umdenken, da ich „read“ Ereignisse aktuell außen vor lasse um keinen zu hohen Count zu bekommen. Das geht nämlich auch mal schnell wenn man die Windows Suche auf ein höheres Verzeichnis loslässt.
Und merken tue ich es sofort. Die Auswertung erfolgt in Echtzeit und 10 Sekunden später ist der Client aus. Hängt natürlich auch davon ab welche Schwellen wie schnell überschritten werden.
LG
Theo
Bei einer zugekauften Firma hat sich eine Mitarbeiterin letztes Jahr mal den Grandcrab V4 eingefangen.
Dort konnte man tatsächlich zuschauen, wie die Dateien irgendwo im Sekundentakt verschlüsselt wurden. Ja, da hab ich mt Teamviewer draufschauen können.
Vorgegangen wurde ordnerweise, aber die Reihenfolge war nachträglich nicht wirklich ersichtlich. Der mischte auch lokale und gemappte Ordner auf dem Server.
Insgesamt ging da nicht viel verloren innerhalb von ca. 30 Minuten. Es kam auf, weil ziemlich schnell der Programmordner eines Bankingprogramms verschlüsselt wurde und das nicht mehr funktionierte.
Es war natürlich ein Bewerbungsschreiben. Gezippt.
h.
Dort konnte man tatsächlich zuschauen, wie die Dateien irgendwo im Sekundentakt verschlüsselt wurden. Ja, da hab ich mt Teamviewer draufschauen können.
Vorgegangen wurde ordnerweise, aber die Reihenfolge war nachträglich nicht wirklich ersichtlich. Der mischte auch lokale und gemappte Ordner auf dem Server.
Insgesamt ging da nicht viel verloren innerhalb von ca. 30 Minuten. Es kam auf, weil ziemlich schnell der Programmordner eines Bankingprogramms verschlüsselt wurde und das nicht mehr funktionierte.
Es war natürlich ein Bewerbungsschreiben. Gezippt.
h.
Vergleiche diese Trojaner mit 7zip.
Verzeichnis komprimierung, dabei mit Kennwort verschlüsseln und Dateien danach löschen.
Bei einem Kunden hat so ein Ding innerhalb von 12 Minuten ca. 60 GB Daten verschlüsselt (SSD).
Stefan
Verzeichnis komprimierung, dabei mit Kennwort verschlüsseln und Dateien danach löschen.
Bei einem Kunden hat so ein Ding innerhalb von 12 Minuten ca. 60 GB Daten verschlüsselt (SSD).
Stefan
Spätestens wenn die ersten Files gelöscht werden, werden Sie ja wieder erfasst.
Es geht ja auch nicht darum, dass sofort zu verhindern. Dafür gibt es ja Backups. Aber halt schnell zu beenden. Und ich möchte halt nicht in die unangenehme Situation kommen, dass mehrere verschlüsselte Versionen in den Backups landen und sich die Katze dann nach ein paar Tagen in den ### beißt.
Dann werde ich mehrere Kriterien festlegen:
Generell Änderungen f/sec, f/min, f/h.
Und für Read Vorgänge einen wirklich hohen Wert um Fehlalarme zu vermeiden. Mal sehen was da die Erfahrungswerte zeigen wenn ich die mit auswerte.
Mit GnuPG Verschlüsselung habe ich hier ungefähr 80 files/sec bei Word/Excel files von rund 1-1,5 MB. Also quasi Netzwerk Vollauslastung.
Edit: Interessant zu sehen, dass Administrator.de Wörter "wegpiept" :D
Es geht ja auch nicht darum, dass sofort zu verhindern. Dafür gibt es ja Backups. Aber halt schnell zu beenden. Und ich möchte halt nicht in die unangenehme Situation kommen, dass mehrere verschlüsselte Versionen in den Backups landen und sich die Katze dann nach ein paar Tagen in den ### beißt.
Dann werde ich mehrere Kriterien festlegen:
Generell Änderungen f/sec, f/min, f/h.
Und für Read Vorgänge einen wirklich hohen Wert um Fehlalarme zu vermeiden. Mal sehen was da die Erfahrungswerte zeigen wenn ich die mit auswerte.
Mit GnuPG Verschlüsselung habe ich hier ungefähr 80 files/sec bei Word/Excel files von rund 1-1,5 MB. Also quasi Netzwerk Vollauslastung.
Edit: Interessant zu sehen, dass Administrator.de Wörter "wegpiept" :D
Zitat von @theoberlin:
Ein Server wertet die Dateiänderungen der einzelnen shares aus. Diese werden nach Clients geordnet. Ab einer gewissen Änderung pro Zeiteinheit trenne ich den Client vom Netz zusammen mit reporting der veränderten files usw.
Ein Server wertet die Dateiänderungen der einzelnen shares aus. Diese werden nach Clients geordnet. Ab einer gewissen Änderung pro Zeiteinheit trenne ich den Client vom Netz zusammen mit reporting der veränderten files usw.
Dann denke doch mal anders herum:
Wie viele Dateien / Änderungen an Dateien würde ein normaler User schreiben, wenn er bzw. seine Software intensiv arbeitet?
- bei Word und Excel 5 bis 10x Speichern pro Minute incl. Temp-Datei und Sicherungsdatei
- bei BranchenSoftware 3 bis 4x Speichern pro Minute x 10 Dateien
- CAD/CAM mit diversen Verknüpfungen und Anbindung an Datenbanken ... ??
Danach setzt Du das Limit für Änderungen und neue Dateien +10% und probierst es aus. Kommen Beschwerden von Nutzern, musst Du schauen, welche Software da so sehr aktiv ist.
Dann musst Du ggf. noch Sonderfälle beachten, z.B. wenn ein Ordner mit vielen Daten verschoben oder kopiert wird oder wenn ein Mitarbeiter von einem Ortstermin 100 Fotos mitbringt und diese kopiert oder bei vorhandenen Fotos alle Fotos im Verzeichnis in einem Rutsch verkleinert oder wenn Dateien von Projektpartnern importiert werden oder wenn eine altes Projekt in einem ZIP-Archiv ausgepackt wird... usw.
Gruß
Hi Dilbert,
genauso mache ich es auch. Seit ca. zwei Wochen analysiere ich das Verhalten. Aber dennoch ist es ja wichtig zu wissen was der Trojaner veranstaltet. Wenn die beiden Aktivitäten zu nah beieinander liegen müsste ich mir zusätzliche Methoden zurechtlegen um das auseinanderzuhalten.
lg
Theo
genauso mache ich es auch. Seit ca. zwei Wochen analysiere ich das Verhalten. Aber dennoch ist es ja wichtig zu wissen was der Trojaner veranstaltet. Wenn die beiden Aktivitäten zu nah beieinander liegen müsste ich mir zusätzliche Methoden zurechtlegen um das auseinanderzuhalten.
lg
Theo
Hi..
Ich hatte mal so einen Fall und da interessiert es nicht wirklich wie schnell das Ding ist. Bis die User Ihren Kaffee ausgetrunken haben und sich unterhalten haben ob dies oder das bei den anderen noch geht, ist das Ding durch.. Viele User merken auch erst Tage später, daß etwas nicht stimmt...
Da die Platten mittlerweile nicht wirklich teuer sind, hilft hier auch einen Storage mit Filesystem-Versioning zu hinterlegen (wie Synology o.ä.)
Zielsystem hat hier keine normale Freigabe für Admin oder normalen User... via Script nen Robocopy mit speziellem User laufen lassen und das halt für etliche Tage vorhalten... bisher ToiToiToi..
Man muss aber auch sagen, daß die Endpointsecurity von etlichen AV-Herstellern auch gut geworden ist - leider auf kosten der Performance...
Gruss Globe!
Ich hatte mal so einen Fall und da interessiert es nicht wirklich wie schnell das Ding ist. Bis die User Ihren Kaffee ausgetrunken haben und sich unterhalten haben ob dies oder das bei den anderen noch geht, ist das Ding durch.. Viele User merken auch erst Tage später, daß etwas nicht stimmt...
Da die Platten mittlerweile nicht wirklich teuer sind, hilft hier auch einen Storage mit Filesystem-Versioning zu hinterlegen (wie Synology o.ä.)
Zielsystem hat hier keine normale Freigabe für Admin oder normalen User... via Script nen Robocopy mit speziellem User laufen lassen und das halt für etliche Tage vorhalten... bisher ToiToiToi..
Man muss aber auch sagen, daß die Endpointsecurity von etlichen AV-Herstellern auch gut geworden ist - leider auf kosten der Performance...
Gruss Globe!
