[Eisfair] E1 - BFB 0.8.0 - Locky in action

[Olaf Jaehrling]

Hallo Jürgen,

Jürgen Pfautsch schrieb am 09.05.2016 um 03:20:
> Hi Olaf,
> folgendes Verhalten beobachtet:
> Ich war gerade dabei, eine große Anzahl von kleinen Dateien auf den Eis
> zu kopieren, als plötzlich die Verbindung abbrach.
> 
> Dann kam folgende Mail:
> Die IP 192.xxx.xxx.xxx ist vermutlich von einem
> Verschluesselungstrojaner verseucht. Der Zugang wurde durch eine
> Nullroute blockiert.
> Bitte ueberpruefe nun den Rechner. Nach erfolgreicher Saeuberung kannst
> Du ihn wieder mittels
> route del -host 192.xxx.xxx.xxx reject
> freigeben.

Lustig, ging mir vorhin auch so. Ich hatte mehrere Dateien kopiert, u.a.
auch keepassdateien. Und dort gibt es Dateien, die mit .key enden. Doof,
dass einer der Trojaner genau diese Endung verwendet.
Gefunden habe ich das mit folgendem Befehl:
cat /var/log/messages | grep smb |grep -f
/usr/local/brute_force_blocking/cryptotrojanerndetect.list

(Alles in einer Zeile)
Damit kannst Du zumindest die beanstandete Datei herausfinden. Wenn du
der Meinung bist, dass die Endung da nicht mit reingehört, dann lösche
Sie aus der Datei
/usr/local/brute_force_blocking/cryptotrojanerndetect.list
raus. Ein Hinweis an mich wäre super.
In einer der nächsten Versionen werde ich das Konzept so machen, dass
ich deine Default-Datei ausliefere und diese nur verwende, wenn es diese
Datei noch nicht gibt. Mein Problem würde dann nur darin bestehen, das
ich neue Endungen nicht mehr einfach so hinzufügen kann.

> 
> Ein Scan auf dem Host ergab keine Infektion.
> Ein Blick in die messages ergab keine Auffälligkeiten (nur die Einträge
> der kopierten Dateien) und auch keinen Hinweis auf den Block.
> Eine Mißinterpretation von BFB?
> Finde ich da noch woanders ein log dazu?

Vermutlich.

> 
> Uuuund:
> nach einen Neustart des Servers hatte ich wieder Zugriff vom Host auf
> den Server.
> Der Block überlebt also scheinbar einen Neustart nicht?

Nein, die Nullroute ist nur temporär drin.


Gruß

Olaf